Четверг, 28.03.2024, 18:38Главная | Регистрация | Вход

Меню сайта

    Форма входа

    Логин:
    Пароль:

    Статистика

    Поиск

    Основы безопасности на форуме. Читать всем пользователям! - Список форумов Хроники Нарнии - NarniaNews.Ru
    [ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
    • Страница 1 из 1
    • 1
    Список форумов Хроники Нарнии - NarniaNews.Ru » Обсуждение работы сайта и форума » Обсуждение работы форума » Основы безопасности на форуме. Читать всем пользователям!
    Основы безопасности на форуме. Читать всем пользователям!
    СоколДата: Понедельник, 06.04.2009, 22:52 | Сообщение # 1
    Грозный Админ
    Группа: Администраторы
    Сообщений: 902
    Репутация: 2
    Статус: Offline
    Здравствуйте!

    В связи с тем, что участились взломы аккаунтов наших форумчан, хочу дать пояснение и рекомендации.
    Перво-наперво, нужно помнить, что на этом ресурсе взлом аккаунта возможен ТОЛЬКО через взлом почты.
    Разные хакерские утилиты, которые, во множестве, лежат на хакерских форумах, тут не прокатывают.
    Данный форум находится на движке Ucoz - эта система защищена от подавляющего большинства хакерских атак.

    Однако ахиллесова пята есть и тут: почтовые аккаунты наших пользователей.
    Если e-mail того или другого пользователя известен, взломав его, можно получить доступ на форум.
    Самая плохая почтовая ситстема, которую легче всего взломать, - Mail.Ru:
    Все взломы аккаунтов наших пользователей были совершены именно через взлом почты на Mail.Ru!

    Наибольшая вероятность взлома тех ящиков, которые используются для прокета "Мой Мир".
    Это - практически гарантированный взлом, - ибо данные ящики знает очень много людей.
    Тут, что называется, без вариантов.
    Однако, если e-mail показывается на форуме, - взлом тоже практически гарантирован.

    Очень советую выполнить следующие рекомендации:

    1) Заменить адрес электронной почты.
    При этом новый ящик должен быть где угодно, - только не на Mail.Ru.
    Я понимаю, кто-то влюблён в Mail.Ru и не захочет с него уходить.
    Тогда, хотя бы, создайте там новый ящик, - ТОЛЬКО для форума, и обратите внимание на то, что сказано ниже.

    2) В своём профиле сделать так, чтобы Ваш e-mail не показывался и чтобы с форума на e-mail никто не мог писать.
    Смею Вас уверить, - личных сообщений для приватных разговоров - достаточно.
    Кроме того, есть аськи и прочие програмки-общалки.
    Не давайте никому шанса узнать, какой e-mail Вы используете для форума (если надо дать e-mail, дайте другой).

    Прошу запомнить:
    Администрация этого ресурса НИКОГДА не просит сообщить Ваши пароль или e-mail.
    Если такая просьба прозвучит, она, гарантированно, исходит от злоумышленника!
    Мы, как Админы, знаем все Ваши почтовые адреса, ну, а пароли Ваши нам и вовсе не нужны, - нам хватает своих.

    3) Поменяйте пароль на форуме (пароль должен быть сложным - а не по типу 123456, который легко подобрать).
    Эта рекомендация относится ко всем, кто, по состоянию на сегодняшний день, показывал свою почту на форуме.
    Вы находитесь в группе риска, поэтому - подстрахуйтесь.
    Лучше, слегонца, перестраховаться, чем недостраховаться.

    Мне бы хотелось сделать некоторое уточнение - касательно пароля.
    А то у меня, в основном посте, очень уж кратко получилось.
    Итак, - пароль, как уже было сказано ранее, не должен быть простым.
    Дело в том, что существуют не только программки по подбору паролей, но и просто квалифицированные люди.
    Если пароль написан путём нажатия идущих подряд кнопок (123456, qwerty и так далее), - его легко подобрать.
    Даже программки-подбиралки не надо, - у опытного злодея в голове сотни подобных комбинаций.
    Нельзя использовать в качестве пароля свои дату, месяц и год роджения - никак - ни цифрами, ни словами.
    Нельзя использовать в качестве пароля свой ник, - даже в изменённом виде, - сразу вычислят.
    Нельзя использовать в пароле свои Ф.И.О. - даже в изменённом виде, - сразу вычислят.
    Нельзя использовать свои серию и номер паспорта (эти данные, как правило, есть в программках-подбиралках).
    Нельзя использовать номера телефонов, даже мобильных (эти данные обычно есть в программках-подбиралках)
    Нельзя использовать в пароле повторяющиеся символы (то есть две одинаковые буквы или цифры).
    Нельзя использовать имена собственные и названия (Moscow, Bog, God, koshka и так далее).
    Особенно опасны слова, где, так или по-другому, фигурирует Бог или Его имена:
    Уж ЭТО, поверьте, есть даже в самых древних программках-подбиралках, - слово "Бог" тешит "Я" миллионов людей.
    Не рекомендуется использовать осмысленные фразы (Mama_vyshla_zamuz и так далее), - их можно вычислить.
    Хочу отметить особо:
    - На этом форуме не надо использовать в пароле слово "Narnia" - это слово злодей будет искать в первую очередь.
    - На этом форуме не надо использовать названия, имена и фамилии героев Хроник, - их легко вычислить.
    Идеальный вариант пароля - полная, бессмысленная и длинная абракадабра - с использованием разных символов.
    На этом ресурсе можно делать пароль длиной до 15 знаков (для сравнения, американский стандарт - 8 знаков).
    Кроме букв и цифр у нас можно использовать нижнее подчёркивание и тире.
    Так что, вот, привожу пример (Не использовать в качестве пароля!) полной абракадабры из 15 знаков:
    dckpL1k_0feQ-J4
    Такая комбинация знаков, едва ли, есть в голове злодея.
    И подобную комбинацию программка-подбиралка будет подбирать очень долго.
    Ещё одна рекомендация:
    Не зацикливайтесь именно на 15-значном пароле, - это тоже облегчит задачу злодея.
    Пусть пароль будет, например, в 10 знаков (хотя и не менее восьми), - но принцип составления - такой же.

    Прграммка-подбиралка, чаще всего, так работает:
    Сперва она пытается подставить всё, что есть в её базе (некоторые программки даже вариации делать умеют)...
    Если пароль не найден, а база исчерпана, - программка-подбиралка начинает искать комбинацию знаков сама.
    И тут уж - как повезёт, - но, как правило, сложные пароли-абракадабры подбираются очень долго.

    Надеюсь, пользователи нашего форума сделают для себя правильные выводы и выполнят все рекомендации.
    Безоапасность - наше общее дело.
    Создатели этого интернет-ресурса сделали очень многое, чтобы нам жилось поспокойнее.
    Вот, и нам не грех маленько потрудиться.

    P.S.

    Данную тему я делаю закрытой, поскольку считаю, что, в данном случае, обсуждать нечего.
    Всё, что требуется от наших пользователей, - усвоить материал и выполнить все рекомендации.
    Если, всё же, будут вопросы, - пишите мне в личку.
    Но, я надеюсь, вопросов не будет, ибо я рассказал всё очень доходчиво.

    P.P.S.

    Вниманию всех, у кого есть аккаунты на Gmail!
    Предпринята попытка дорваться до аккаунтов пользователей (просто так войти, как на Mail.Ru, на Gmail не выходит, поэтому хакеры решили поизобретательствовать).
    На мыло пользователя или в чат приходит следующее сообщение:
    "hey, check out this video: ..."
    Из соображений безопасности, ссылку я убрал.
    Так вот:
    Если зайти по ссылке, - злоумышленник получает пароль от Gmail через браузер.
    Поэтому настоятельно рекомендую:
    Не заходить по ссылке, а удалить сообщение, её содержащее и, желательно, создать фильтр, дабы все прочие подобные сообщения летели в корзину. Если же по ссылке был хоть один заход, - срочно меняйте пароль.
    Данную тревожную информацию мне сообщил сын маминой подруги, - я от него получил такое письмо (со взломанных аккаунтов тут же по всей адресной книге эта хрень рассылается), - он прочувствовал взлом своего аккаунта на собственной шкуре и поспешил меня предупредить, - за что я говорю большое, соколиное, спасибо.
    Так что, вот, - спешу оповестить всех.

    Сообщаю новость специально для тех, кто, всё ещё, юзает Mail.Ru:
    Администрация этого сервиса ввела возможность запаролить папки.
    Можно зайти в почту и чуть выше списка папок нажать на "Папки", а потом на "Редактирование".
    Любую папку можно закрыть отдельным паролем + сделать недоступной для почтовых программ.
    Письма приходят обычно в папку "Входящие", - её и надо защищать.
    Скажу честно:
    Учитывая общую дырявость системы на Mail.Ru, - утешение это слабое.
    Думаю, такая мера остановит злоумышленника, максимум, на 10-15 минут.
    Но, как говорится, на безрыбье и рак рыба.
    Помните: пароль для папки не должен совпадать с паролем для входа в почту!
    Можно ещё зайти в "Настройки", ввести повышенный уровень безопасности.
    Однако, как говорит Narnianka с Нарния Лэнд, злоумышленника это не останавливает.
    На её ящике был установлен повышенный уровень безопасности, выставлены все галочки - не помогло.
    Эх, друзья, не используйте Вы ящики на Mail.Ru на форумах, в блогах и в социальных сетях!
    Я уже устал народ предупреждать, - но буду это делать столько, сколько потребуется...


    "...благородная смерть - это сокровище, и каждый достаточно богат, чтобы купить его".

    К.С. Льюис, "Последняя Битва".
     
    СоколДата: Понедельник, 04.05.2009, 14:44 | Сообщение # 2
    Грозный Админ
    Группа: Администраторы
    Сообщений: 902
    Репутация: 2
    Статус: Offline
    Всем привет!

    Пару дней назад мне пришло следующее письмо - цитирую дословно, за исключением ссылки, которую я убрал в целях безопасности:

    Quote
    "Лицом, ответственным за создание или поддержание указанного сайта была нарушена «Лицензия на использование поисковой системы Яндекса». В частности, Ваш сайт использует ссылочный спам, то есть размещает и получает ссылки, предназначенные исключительно для обмана поисковой системы и манипулирования результатами ее работы.

    В силу того, что "Яндекс" не может корректно отранжировать страницы вашего сайта и сайтов, цитируемых вашим, по многим поисковым запросам, мы вынуждены временно игнорировать ссылки на сайт _mathelp.spb.ru_.

    Мы не вступаем в переписку по поводу степени тяжести нарушения, конкретных адресов страниц на сайте и/или конкретных технических приемов, а также способов устранения проблемы.

    Чтобы ссылки на сайт снова учитывались, вам необходимо убрать с сайта элементы, нарушающие упомянутую выше Лицензию. Восстановление может быть произведено после заполнения специальной формы для связи с техническим отделом.


    С уважением, Платон Щукин
    Служба поддержки Яндекс.Ру"

    Ну, я от этого письма малость прифигел, но ни по каким ссылкам для заполнения "специальной формы" заходить не стал, а просто напостил Админам Яндекса и спросил, что за на фиг.
    И вот какой я получил ответ:

    Quote
    "Благодарим за сообщение! Это была попытка мошенников получить Ваши
    регистрационные данные (фишинг), ни в коем случае не вводите их на незнакомых
    сайтах. Обратный адрес в этом письме поддельный. Мы уже принимаем все
    возможные меры по закрытию указанного сайта."

    В общем, будьте бдительны, друзья.
    Если что-то странное приходит, - сразу пишите в службу поддержки Яндекса.


    "...благородная смерть - это сокровище, и каждый достаточно богат, чтобы купить его".

    К.С. Льюис, "Последняя Битва".
     
    СоколДата: Четверг, 25.02.2010, 03:28 | Сообщение # 3
    Грозный Админ
    Группа: Администраторы
    Сообщений: 902
    Репутация: 2
    Статус: Offline
    Всем привет!

    И снова о горячо нелюбимом сервисе Mail.Ru.
    Я консультировался с одним знакомым хакером (это слово я употребил не в ругательном смысле, а в самом что ни на есть хорошем - он, действительно, крутой специалист, а не дурачок, использующий утилиты, которые другие создали). Так вот... Оказывается, всё ещё хуже, чем я думал раньше:
    Для того, чтобы взломать ЛЮБОЙ ящик на Mail.Ru - даже программок-подбиралок не надо, - всё просто, что называется, до поросячьего визга! В адресной строке вводится несколько дополнительных символов, нажимается на Enter - и - вуаля - пароль в лапах! Единственная сложность в том, что пароли зашифровны. Но их расшифровывает обычная программка дишифратор - в долю секунды. Короче говоря, - любой ящик на Mail.Ru можно в течение трёх минут открыть и делать с ним что угодно.

    P.S.

    Я спросил моего знакомого хакера, знают ли об этой уязвимости Админы Mail.Ru и он ответил, что им об этом писали много раз. Внимания - ноль. Админам на Mail.Ru - плевать, что почта у пользователей уязвима - им куда как важнее на рекламе зарабатывать, поскольку сервис - массовый, пользователей - миллионы.
    Так что, - в который раз уже говорю, - дорогие форумчане, - драпайте с Mail.Ru или, хотя бы, не используйте этот сервис в качестве почты для регистрации на сайтах и форумах!

    angry


    "...благородная смерть - это сокровище, и каждый достаточно богат, чтобы купить его".

    К.С. Льюис, "Последняя Битва".
     
    Список форумов Хроники Нарнии - NarniaNews.Ru » Обсуждение работы сайта и форума » Обсуждение работы форума » Основы безопасности на форуме. Читать всем пользователям!
    • Страница 1 из 1
    • 1
    Поиск:

    Copyright - Элементы дизайна © Tonks. Site © 2024 | Бесплатный конструктор сайтов - uCoz