Tag Archives: security

И ещё про утекшие SMS

Posted on 19/07/2011 by dil

А в Гугл тоже Яндекс.Бар и Яндекс.Метрика настучали, да? Страниц, правда, проиндексировано меньше трёх десятков, и текстов не видно. Но адреса этих страниц со статусом отправки, получается, давно не секретные. И не закрытые в robots.txt…  

Posted in Uncategorized | Tagged | Leave a comment

Make me unsee it…

Posted on 10/07/2011 by dil

Я видел много разных криво настроенных прав в веб-серверах, но ТАКОЕ — в первый раз. Основные файлы конфигурации апача (в apache/conf/) не только читабельны, но и писабельны для пользователя, от которого этот апач работает. И SSLные ключи вместе с сертификатами … Continue reading

Posted in Uncategorized | Tagged , | Leave a comment

GET и POST. Печальная история про безопасность и быдлокодеров

Posted on 05/07/2011 by dil

Большинство веб-разработчиков знают Правило Правой Руки для HTTP: если запрос меняет состояние сервера, его надо отправлять методом POST, если не меняет — можно использовать GET. Веб-форма при отправке на сервер меняла его состояние, поэтому разработчки совершенно справедливо указали method=”POST”. Но … Continue reading

Posted in Uncategorized | Tagged , , | Leave a comment

И ключ от квартиры, где деньги лежат

Posted on 21/04/2011 by dil

LinkedIn прислал сегодня письмо с непонятным предложением: Join Timur, Petr, and 23 other connections who have found people they already know on LinkedIn. Ну я в ссылочку ткнул и… офигел. Вы, типа, дайте нам пароль от своей почты, а мы … Continue reading

Posted in Uncategorized | Tagged , , , | Leave a comment

Серьёзная уязвимость в IE

Posted on 23/12/2010 by dil

http://blogs.technet.com/b/srd/archive/2010/12/22/new-internet-explorer-vulnerability-affecting-all-versions-of-ie.aspx http://www.microsoft.com/technet/security/advisory/2488013.mspx

Posted in Uncategorized | Tagged , , | Leave a comment

Письма наших писателей

Posted on 20/12/2010 by dil

“Dear Yandex.ru Administrator, Recently, the *** government network operation center noticed that your address is performing abuse \ malicious attack operations towards one or more of the servers hosted in our hosting farm. Please locate the user and stop these … Continue reading

Posted in Uncategorized | Tagged , , | Leave a comment

Если у вас есть паранойя, это ещё не значит, что на самом деле за вами никто не следит

Posted on 18/12/2010 by dil

Для успокоения (или усиления, это уж как получится) свой паранойи сходите сюда, вбейте там в формочку wifi’ные мак-адреса своего компьютера и роутера и нажмите кнопочку Search MAC. У меня географическое положение определилось: а) по мак-адресу точки доступа, которая к внешнему … Continue reading

Posted in Uncategorized | Tagged , , | Leave a comment

Какая гадость этот ваш IPSec

Posted on 03/10/2010 by dil

В очередной раз поискав линуксовый клиент к Checkpoint VPN-серверу, нашел Shrew Soft VPN. Поставился из штатного пакета, всего каких-то три часа подбора правильных параметров, и вуаля – оно подцепилось к серверу. Получило IP-адрес, создало соответствующие записи Security Policy, setkey их … Continue reading

Posted in Uncategorized | Tagged , , | Leave a comment

Мне уже реально страшно

Posted on 26/05/2010 by dil

Обсуждаем тут с партнёрской компанией вопрос о шифровании файлов, которые мы должны передавать им. Они предложили PGP/GPG. И при этом попросили нас сгенерировать ключи и прислать им. Я несколько удивился, но сгенерировал ключи от их имени и прислал им приватный … Continue reading

Posted in Uncategorized | Tagged , , | Leave a comment

Кстати, о паролях

Posted on 18/05/2010 by dil

Мне тут вчера о паролях напомнили.. Так у меня вопрос есть про хранение пользовательских паролей на сервере. Обычным способом является хранение хэша от пароля с приклеенной солью и самой соли открытым текстом. Иногда ещё используется дополнительная соль,  индивидуальная для экземпляра … Continue reading

Posted in Uncategorized | Tagged , | Leave a comment