Уголок параноика |
Добро пожаловать, гость ( Вход | Регистрация )
Уголок параноика |
-=CHE@TER=- |
Jun 26 2013, 12:36
Сообщение
#1
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Надо создать отдельную тему про паранойю.
Позавчера кидал знакомому файлы через Skype - дико медленно передавались, чуть ли не сутки ожидания. Тогда я сунул их в архив и кинул на один сервак, чтобы дать ссылку на HTTP. Кинул, дал прямую ссылку в Skype на закачку, знакомый минут за 10 скачал, после чего я файл удалил. Сегодня просматриваю логи апача на серваке на предмет ошибок и... капец. После того как знакомый скачал файл, где-то через 2 часа к этому же файлу полез 65.52.100.214 принадлежащий MICROSOFT-1BLK. Файл он, конечно же, не нашёл, но я просто охреневаю с наглости Microsoft, а возможно, и забугорных спец.служб. Так явно палиться - это же звездец просто. Я гарантирую, что: 1) Знакомый живёт в России, у него статический IP, к тому же там диапазон адресов совсем другой - т.е. это не он с другого динамического адреса ломанулся за этим файлом (кстати, качал файл он через Chrome, а тот Microsoft'у никак не принадлежит - они с Google'ом адско конкурирующие конторы). 2) Ссылку на закачку знакомый никому дать не мог, потому что знал что я удалю файл, как он докачает (места на серваке мало), и даже сказал мне "можешь удалять, я скачал". 3) Ссылку на имя файла нельзя было подобрать случайно. 4) Наконец, я лично никому эту ссылку больше не давал и нигде не вводил, кроме chat-окна Skype. |
Siberian GRemlin |
Jun 26 2013, 15:55
Сообщение
#2
|
Advanced Member Группа: CTPAX-X Сообщений: 537 Регистрация: 4-February 08 Пользователь №: 2 Спасибо сказали: 221 раз(а) |
Чем больше шифруешься, тем больше за тобой следят.
|
Grom PE |
Jun 26 2013, 16:00
Сообщение
#3
|
Advanced Member Группа: CTPAX-X Сообщений: 84 Регистрация: 7-February 08 Из: i@grompe.org.ru Пользователь №: 3,120 Спасибо сказали: 95 раз(а) |
Вполне ожидаемо. Раньше MSN / Windows Live Messenger так себя вёл — по переданным ссылкам ходил, а теперь и Skype, после покупки Microsoft'ом.
Это ж их "борьба с > Чем больше шифруешься, тем больше за тобой следят. Таки-да, если шифроваться, то шифроваться полностью, а то ведь частичное шифрование может быть сигналом "эй, следите за мной". |
-=CHE@TER=- |
Jun 26 2013, 16:20
Сообщение
#4
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Чем больше шифруешься, тем больше за тобой следят. В данном случае ничего криминального - просто музыкой обменивались, но сам факт заставляет напрячься.Вполне ожидаемо. Раньше MSN / Windows Live Messenger так себя вёл — по переданным ссылкам ходил, а теперь и Skype, после покупки Microsoft'ом. Возможно (MSN'ом никогда не пользовался), но какого, простите, лешего они лезут за файлами, которые были выложены в частной (личной) переписке? Это как понимать? Против проверки ссылок доступных в публичном доступе (на сайтах) я ничего против не имею - проверяйте. А если бы здесь были какие-нибудь корпоративные документы (во многих фирмах сейчас после устройства на работу заставляют профиль в Skype заводить для общения по работе), которые бы потом с серверов Microsoft случайно утекли? Это же долбануться надо, чтобы так нагло лезть в личную переписку пользователей.Это ж их "борьба с |
-=CHE@TER=- |
Jun 27 2013, 06:11
Сообщение
#5
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Посовещался тут со знакомыми и мне вот что сказали:
QUOTE Чисто теоретически нужно еще учитывать следующие факторы: 1. Skype - это P2P сеть, и взаимодействие между двумя клиентами идет через супер-ноды. Быть или не быть супернодом конкретный клиент скайпа выбирает сам на основании каких-то метрик типа скорости инета и мощности компа. Теоретически кто-нибудь может создать "левый" супер-нод и каким-нибудь образом расшифровать траффик через него. 2. Chrome собирает всю статистику, включая все урлы. 3. То, что IP-шник принадлежит MS, еще ничего не значит. MS предоставляет платформу Windows Azure и виртуалки в датацентрах, и если ты хостишь там любой свой код, то наружу ты будешь ходить с IP, принадлежащих MS. При этом MS будет абсолютно фиолетово что именно делает твой код. Теоретически гугл может так шифроваться :) Собирать какую-то статистику хромом, и дабы не палиться, использовать Windows Azure чтобы потом кравлить по "сомнительным" адресам. Вообще, все параноики уже давно не пользуются хромом и гмэйлом. MS гораздо лучше защищает прайваси и не использует данные пользователей. 1. Кстати, да, ещё пару лет назад была новость, что утекла какая-то незащищённая версия Skype в сеть и её, вроде как, даже дизассемблировали. Ещё слышал, примерно тогда же, что китайцы сами научились эмулировать чат в Skype (шифрование и прочее). Сейчас, наверное, уже и не это могут. 2. Блин, точно! Совсем забыл, что хром стучит куда надо. 3. Про Windows Azure слышал, но что-то в голову не пришло что так круто шифроваться можно. В общем, проведу эксперимент: дам человеку ссылку через Skype и попрошу не открывать. Ещё одну ссылку дам через что-нибудь другое (или зашифровав) и попрошу открыть через хром. Хотя теперь я думаю, даже на 80% уверен, что палится именно хром. Но FTGJ надо проверить. |
Grom PE |
Jun 27 2013, 11:00
Сообщение
#6
|
Advanced Member Группа: CTPAX-X Сообщений: 84 Регистрация: 7-February 08 Из: i@grompe.org.ru Пользователь №: 3,120 Спасибо сказали: 95 раз(а) |
Вместо Chrome лучше пользоваться Iron, это Chromium, которому стучалку вырезали.
> какие-нибудь корпоративные документы Такие исключительно по внутренней сети и внутренним протоколам должны пересылаться (например, через локальный джаббер-сервер). Доверять подобное скайпу — себе искать приключений. > Теоретически кто-нибудь может создать "левый" супер-нод и каким-нибудь образом расшифровать траффик через него. Да что там суперноды и китайцы, уже давно всё перехвачено, от P2P там мало что осталось. Спасибо сказали:
|
Axsis |
Jun 27 2013, 18:28
Сообщение
#7
|
Advanced Member Группа: CTPAX-X Сообщений: 121 Регистрация: 6-February 08 Пользователь №: 374 Спасибо сказали: 149 раз(а) |
Ну мне наиболее вероятной видится версия отлова разного рода малвари. Хотя возможно ещё и индексируют ссылки Bing'ом, а это тоже может много чем обернуться. Про мутное нутро скайпа читал ещё до покупки майкрософтом, там 2 или 3 слоя враппера на exe-шнике было тогда. Раз так старательно прятали значит было что прятать.
А кто-нибудь читал EULA к нему вообще (или Privacy Policy, или где там это обговаривается)? А то может там в открытую пишут что ваши сообщения будут "обрабатываться"? |
-=CHE@TER=- |
Jun 27 2013, 21:43
Сообщение
#8
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Провёл эксперимент.
Всё очень плохо и Google, как оказалось, тут совсем не при чём... Отправил новую ссылку в Skype знакомому, объяснил ситуацию, сказал не открывать. Файла этого на сервере не было (просто от балды server.com/testname.zip). В логах зафиксировано ровно 1 обращение к этому файлу, два часа спустя со злополучного 65.52.100.214. Не вынесла душа поэта - залез в Интернет, нашёл вот это: Skype — Да, мы читаем все, что Вы пишете Несмотря на то, что статья за май 2013, там многое уже не соответствует действительности - например, обе ссылки, которые я давал, были HTTP, хотя в статье утверждается что Skype ходит только по HTTPS. В общем-то, вариантов немного: либо это кто-то лезет с платформы Windows Azure, либо это сами MS. Я даже больше склоняюсь к тому, что это сами MS, потому что у разных людей и лезет с одного IP - трудно поверить, чтобы какой-то хакер умудрялся все запросы через себя отправлять, подделав себя супернодом. Ну, конечно, если это не какая-нибудь контора при спец.службах Китая с мощным железячным обеспечением - эти, наверное, могут. А кто-нибудь читал EULA к нему вообще (или Privacy Policy, или где там это обговаривается)? А то может там в открытую пишут что ваши сообщения будут "обрабатываться"? Это, случаем, не у них в EULA написано было что сообщения не принадлежат пользователям? |
-=CHE@TER=- |
Aug 17 2014, 06:25
Сообщение
#9
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Продолжаем разводить паранойю.
1) Со вчерашнего дня старые версии Skype приказали долго жить. Войти невозможно - сразу вышибает с сообщением, что, мол, пользуетесь старой версией - всем спасибо, все свободны. Пишут, что в новых версиях полностью вынесли P2P (мол, заребежом все давно используют Skype на сотовых, а там P2P в принципе не сделаешь, так что мы его убираем), всё теперь идёт через сервера Microsoft, при этом текстовые и аудио/видео сообщения могут там храниться по их словам до месяца, а на деле, может быть, сколько угодно. Та версия Skype, что стояла у меня, тоже работать перестала. А я был вынужден на неё откатиться, т.к. новые работали как куча не буду говорить чего. Поставил вчера новую версию в песочнице - походу, уйду я со Skype на другой сервис. Новые версии Skype (в хронологическом порядке): - сначала падали с фатальной ошибкой при выходе; - потом зависали и жрали 100% CPU, в результате чтобы снять задачу мне приходилось минут 10 открывать Диспетчер задач или сразу убивать там Skype не завершая работу нормально; - последняя версия просто зависает при выходе в процессах - CPU не жрёт, а просто там висит. И я даже ничего не сказал про увеличение размера, всё большие и большие тормоза и пожирание оперативной памяти. В Интернете, кстати, по этому поводу шум стоит нехилый - погуглите. 2) Ещё в 2009 писал: К слову сказать, отечественные почтовые сервисы не отстают. Так, например, на yandex.ru письма после удаления (даже спам!) хранятся неделю в разделе "Удалённые" и никакими средствами их оттуда удалить нельзя (натурально лежат целиком все письма, вместе с вложениями и прочим). А с 14 августа 2014 Яндекс расширил эту тему - теперь письма не удаляются из ящика вообще, если забирать почту почтовой программой. Второй раз почту не заберёте (письма, видимо, как-то помечаются в БД), но чтобы удалить письмо нужно зайти в почту, удалить и ещё раз удалить из корзины. Ещё немного и будет как в сраном gmail. Я сейчас даже не говорю о том, что если кто-то прислал вам несколько больших писем, то придётся лезть в ящик и удалять их, чтобы освободить место, а то почта приходить не будет. На мой резонный вопрос WTF?! служба поддержки ответила невозмутимо:QUOTE К сожалению, при работе по протоколу POP3, письма больше не будут очищаться с сервера. Это сделано для того, чтобы пользователи всегда могли вернуться в веб интерфейс, без потери личных и конфиденциальных данных. Единственный вариант удаления писем при работе по POP3 - это очистка их вручную из веб интерфейса. Короче, Яндекс за последние пару лет очень сильно просел и не просто в лужу, а прямо в ж*пу. К слову сказать mail.yandex.ru рушит с фатальной ошибкой Opera 12.17 (последняя Opera, которая ещё не успела стать хромой), на что мне служба поддержки предложила воспользоваться лёгкой версией mail.yandex.ru/lite/inbox - спасибо, что хоть так открывается.Если место в ящике начинает заканчиваться, достаточно зайти в веб интерфейс Яндекс.Почты, и оно автоматически увеличится в два раза. |
-=CHE@TER=- |
Sep 6 2014, 15:46
Сообщение
#10
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Все упомянутые ниже ссылки рекомендуются к прочтению.
Не так давно, уже не помню по какому поводу, попал я на статью: Деанонимизация для домохозяек (RU, март 2014) В комментариях к статье была ссылка вот на это: How Apple and Amazon Security Flaws Led to My Epic Hacking (EN, август 2012) Обратите внимание, как мужика быстро и просто разделали под орех, а служба поддержки, которая должна была оперативно всё пресечь, валяла дурака. Особенно "греет", что злоумышленники могли запросто получить доступ к банковской карте. Ну и совсем свежее: August 2014 celebrity photo leaks (EN, сентябрь 2014) Хакеры устроили масштабный "слив" интимных фото со смартфонов звёзд (RU, тоже самое, с парой фото) Что имею сказать по этому поводу лично я: 1) 2) Все социальные сервисы (не только соц.сети) - такая же хрень подлежащая очищению огнём. 3) Хранить приватную информацию какого-либо рода и вида на Интернет-площадках - лютый идиотизм. Разве что в RAR архиве с километровым паролем и шифрованием имён файлов. 4) Обычным людям, конечно же, бояться нечего - мы не знаменитости, однако, лучше переспать, чем недоесть. До нас весь этот треш, ад, чума и содомия ещё не успели толком дойти, а вот зарубежом, к примеру, можно запросто потерять работу из-за случайно обронённого слова или нелицеприятного фото в соц.сети. См. свежие, за 2014 год, комедии "Walk Of Shame" ("Блондинка в эфире") и "SexTape" ("Домашнее видео") - если честно, то фильмы никакие, но я в них заметил некоторые интересные вещи о современных технологиях и их влиянии на окружающих, которые там, между делом, упомянуты (у них это уже реальность, так что они не придают ей большое значение). |
Siberian GRemlin |
Sep 6 2014, 16:06
Сообщение
#11
|
Advanced Member Группа: CTPAX-X Сообщений: 537 Регистрация: 4-February 08 Пользователь №: 2 Спасибо сказали: 221 раз(а) |
Все эти массовые продукты такие как «iPhone» и пр. лабуда давно используются для «порабощения» и контролирования домохозяек, блондинок обоих полов и офисного планктона. Никогда не испытывал желания обладать им.
Что думаешь о «TOR»? |
-=CHE@TER=- |
Sep 6 2014, 16:51
Сообщение
#12
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Насчёт продукции Apple - это ты очень правильно делаешь.
Что касается TOR, то пользоваться им не приходилось, так что прокомментировать не могу. Однако, прозреваю, что в скором времени придётся - очень мне не нравится желание некоторых организаций (в отдельности) и государств (в целом) влезать в чужую личную жизнь. Из того, что читал - говорят, что можно вычислить, не мгновенно, но можно (подробностей уже не помню и могу наврать, но, вроде бы, что-то связанное с выбором хоста при соединении). Ничем противозаконным не занимаюсь (пока что, но если завтра госдума в порыве очередного маразматического экстаза запретит дышать, то, да, буду преступником), так что мне хватает Web-проксей если не хочу светиться (незабаненные, правда, достаточно сложно найти бывает). Главное зарубежными проксями пользоваться - в связи с достаточно напряжёнными отношениями между нашей страной и забугорьем, нужно ОЧЕНЬ сильно постараться, чтобы забугорные спецслужбы сдали тебя нашим. Смысл такой: не хочешь светиться у наших спец.служб - забугорные прокси к твоим услугам, а не хочешь светиться за бугром - используй наши. А ещё в какой-то из статей на подобную тему видел ссылку на VPN-сервис (платный) в какой-то стране, где сиё не запрещено законами, но ОЧЕНЬ напрягло, что сервис всего на трёх языках, один из которых русский, причём грамотный - как бы не оказалось, что всю эту лавочку крышуют наши же спец.службы, чтобы сильно напрягаться при поимке "преступников" не нужно было... |
Siberian GRemlin |
Feb 15 2015, 08:28
Сообщение
#13
|
Advanced Member Группа: CTPAX-X Сообщений: 537 Регистрация: 4-February 08 Пользователь №: 2 Спасибо сказали: 221 раз(а) |
|
-=CHE@TER=- |
Feb 15 2015, 20:26
Сообщение
#14
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Нагребизнес такой нагребизнес.
На зарубежных сайтах, кстати, просто правилами указано, что проведение сделки за пределами сайта не запрещено, но тогда сайт не сможет выступить поручителем по ним и в случае проблем никакие жалобы рассматриваться не будут. Т.е. всё честно - решил торгануть напрямую - несёшь всё ответственность сам. А хочешь с гарантией - отстёгивай процент за работу гаранта. |
Siberian GRemlin |
Feb 16 2015, 03:29
Сообщение
#15
|
Advanced Member Группа: CTPAX-X Сообщений: 537 Регистрация: 4-February 08 Пользователь №: 2 Спасибо сказали: 221 раз(а) |
Дак, они никакие гарантии не дают даже если через них сделки совершать, тупо берут комиссию. А в некоторых разделах, например, компьютерного железа ещё и за факт простого выставления лота на торги берут плату.
|
-=CHE@TER=- |
Feb 18 2015, 17:48
Сообщение
#16
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
"Вот до чего бывают люди до чужого добра жадные!" © Печкин
Этакими темпами они скоро за каждый клик мышкой на их сайте деньги брать начнут. Но, вернёмся к теме. Сегодня отсылал по работе программу человеку с мыльницей на сраном gmail.com. Если кто помнит, то присылать любые исполняемые файлы (.EXE, .DLL и даже .BAT) "мудрой политикой безопасности" сраного гугля запрещено (даже в архивах). Поэтому все выкручивались отсылая архивы с паролями. Вот и сегодня я выслал RAR-архив на который, конечно же, поставил пароль с шифрованием имён файлов, чтобы вообще непонятно было что отсылается. Пароль был простой: test и указан в теле письма. До сегодняшнего дня всё было нормально, а вот сегодня письмо не дошло: QUOTE This message was blocked because its content presents a potential security issue. Сраный гугель теперь просто блокирует все письма с архивами под паролем, ибо в таком случае очень сложно читать и следить за пользователями.Please visit http://support.google.com/mail/bin/answer.py?answer=6590 to review our message content and attachment content guidelines. Желаю гуглу гореть в аду вечно. |
-=CHE@TER=- |
Mar 21 2015, 15:13
Сообщение
#17
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Кто ещё не знает, есть такое сраное приложение как WhatsApp, которое позволяет обмениваться сообщениями через Интернет минуя мобильного оператора (чтоб дешевле было).
Существует эта хрень в виде приложения для смартфонов. При мне один человек, у которого эта хрень уже стояла, объяснил другому как поставить и после того как тот, второй, поставил - у него сразу высветилось, что у первого тоже стоит WhatsApp. В подробности работы я не вдавался, но это приложение, по сути, прочитало и отправило на сервер список контактов (иначе я не понимаю, как бы оно узнало, что у первого человека уже стоит это приложение)! Это ж охренеть просто! Самое "офигенное" в этой ситуации, что я не могу заставить всех у кого так или иначе есть мой телефон, записать меня как "Вася Пупкин" или ещё как - записывают моим реальным ФИО. Мне даже думать не хочется, сколько эти содомиты сраные из ватсапа уже данных на пользователей нагребли. С учётом дикой популярности этого дерьма у офисного планктона и других завсегдатаев сраных социальных сетей, охват людей получается гораздо больше. На примере: если ты зареген в сраном контактике, то очень легко получить список всех, с кем ты общаешься. Но если тебя нет в сраных соц.сетях, то и добраться до тебя не могли. Теперь же твой телефон и ФИО будут иметь все кому не лень, потому что список контактов уходит на сервер без твоего согласия! А тому, кому ты был вынужден (например, по работе) дать телефон, на тебя и твои проблемы, в общем-то, глубоко пофигу. Все желающие могут считать меня законченным параноиком, но я ПРОСТО ОХРЕНЕВАЮ от того, насколько современные корпорации лезут человеку в задницу без мыла, а человек радостно им помогает ставя всякие ватсапы. |
Siberian GRemlin |
Mar 21 2015, 17:33
Сообщение
#18
|
Advanced Member Группа: CTPAX-X Сообщений: 537 Регистрация: 4-February 08 Пользователь №: 2 Спасибо сказали: 221 раз(а) |
Я сильно удивлялся откуда незнакомые мне люди пишут на мыло и указывают моё ФИО. Спросил у одного, он сказал, что «Яндекс» (кажется) сам подставляет! Это при том, что на почте «Яндекса» у меня левые данные указаны, реальные только в кошельке «ЯД» и там же моё основное мыло для отчёта об операциях!
Спасибо сказали:
|
-=CHE@TER=- |
Mar 22 2015, 10:46
Сообщение
#19
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
Спросил у одного, он сказал, что «Яндекс» (кажется) сам подставляет! Более того, ещё когда Народ был на Яндексе, я офигевал, как у людей с e-mail на yandex.ru при ответе в стандартной гостевой народа не только имя, но и фото (!) подставлялось в сообщение. Яндекс, кстати, вообще очень давно и очень сильно испортился, а с безопасностью персональных данных у них, совсем всё плохо. Я поэтому и не стал заводить Яндекс.Деньги, а так на WebMoney и остался (хотя они тоже не идеальны). |
-=CHE@TER=- |
Apr 3 2015, 15:35
Сообщение
#20
|
Walter Sullivan Группа: Root Admin Сообщений: 1,361 Регистрация: 4-February 08 Пользователь №: 3 Спасибо сказали: 314 раз(а) |
YouTube закрыл уязвимость, позволяющую удалить чужие видеоролики
Это же каким гуглерастом надо быть, чтобы не знать, что первое, что нужно делать при запросе операций создания, изменения или удаления - это проверка прав пользователя (а может ли он это делать)? Кто им там только код пишет? Вы думаете Google заботится о безопасности данных своих пользователей? Хо-хо-хо. У меня для вас плохие новости... Кстати говоря, занимался разработкой сайтов (крупных веб-проектов) в одной фирме когда-то, так с меня начальство ржало, когда я в PHP делал полную проверку прав доступа. А ржали потому что считали что достаточно скрыть в шаблоне POST-форму для изменений данных у групп пользователей с меньшими правами и всё. А вот и не всё! |
Упрощённая версия | Сейчас: 18th November 2024 - 02:37 |