morfizm (morfizm) wrote,
morfizm
morfizm

Categories:

Анонимность в интернете

Статья о том, как хакнули сообщество girls-only. http://globalvoicesonline.org/2010/05/23/girls_only/

От кого-то, говорят, уже муж ушёл, прочитав о пост о том, что он сам стирает носки (типа, стыдно перед пацанами). (Правда, я лично думаю, такой муж пусть уходит, это хорошее дело.)

Я, вот, думаю, почему бы им не написать скрипт (неужели там нет девчонок-программеров?), который сначала отфрендит всех, а потом будет обратно зафренживать по одному, постить и смотреть на зеркало. Если зеркало не manage'ится, и в нём нет серьёзных задержек, то, типа, за сутки, можно было бы идентифицировать все хакнутые account'ы (при поддержке команды ЖЖ, которая должна будет временно снять защиту от роботов, чтобы этот скрипт быстро отработал).

Оставшихся в живых юзеров - обязать сдать тест на умение составлять правильной сложности пароли и секьюрить свой домашний компьютер. Сертификатами о сдаче теста обменяться лично, по иерархии доверия.

Ещё - можно обязать мемберов время от времени, по личной цепочке доверия, передавать информацию о том, что их аккаунт не хакнули. В случае отсутствия регулярного позывного - удалять мембера. От единоразвого слива это не защитит, но от регулярного слива - запросто.

А чтобы хорошо защититься от единоразового слива, мне кажется, необходимо просто удалять посты старее определённой давности. Я вот теперь сам задумался: может, мне такую практику ввести.

* * *

Кстати, друзья, а у вас достаточно криптостойкий пароль? Надеюсь, ни у кого нет пароля типа qwerty123? Вы ставите регулярные обновления на ваш софт и ОС? Вы используете разные учётные записи для разных членов семьи и для гостей?

* * *

Посмотрел сообщество girls-only, и увидел инициативу "приостановление новых членов". Совершенно бессмысленный шаг. Мне как программисту очевидно, что произошло следующее (с вероятностью 99%): хакер написал скрипт, перебирающий существующих членов сообщества и пытающийся взломать их пароль. Среди многих тысяч пользователей обязательно найдутся некоторые, у кого пароль слаб, и он поддастся взлому. Таким образом, слив, вероятнее всего, происходит через десятки или сотни существующих членов. Новые члены - все с намного большей вероятностью - реальные люди, чем существующие.

Чтобы защититься, можно сделать, например, следующее:

1. Обязать всех заново пройти процедуру личных referral'ов. Кто не прошёл - удалять. Это позволит закрыть источник слива. Вероятно, полезно будет время от времени повторять эту процедуру...

2. Ввести практику удаления старых записей. Вроде "автор поста обязан его удалить через месяц, иначе штраф - исключение из сообщества (с возможностью добавиться заново через стандартную процедуру)". Это позволит ограничить impact от потенциального слива в будущем.

* * *

Update: я не подумал о варианте мужа, который "протащил" своё членство уже давно, за-referr'ив его из-под аккаунта жены, и сидел долго выжидал. Сложно придумать, как можно было бы защититься от подобного случая. Обязать членов завести себе вируталов и никогда не логиниться под ними, находясь дома?

Update: получается, я ошибся, сказав, что "приостановление новых членов" - бессмысленная инициатива. Если это один из мужей, кто давно уже "порекомендовал" себя в сообщество, зайдя под юзером жены, то защититься от такого варианта очень сложно. Любой технически подкованный муж может это сделать, если (а) жена не всегда дома, и (б) жена хоть раз логинилась с домашнего компьютера в girls-only. Соответственно, сейчас, на волне ажиотажа по этой теме, многие мужья захотят себе завести такие "подпольные" account'ы, чтобы в будущем, когда зеркало прибьют, иметь возможность продолжать читать. Таким образом, да, ограничение новых членов - разумный шаг.
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 17 comments