Уголок параноика Опции

[-=CHE@TER=-]

Надо создать отдельную тему про паранойю.

Позавчера кидал знакомому файлы через Skype - дико медленно передавались, чуть ли не сутки ожидания.
Тогда я сунул их в архив и кинул на один сервак, чтобы дать ссылку на HTTP.
Кинул, дал прямую ссылку в Skype на закачку, знакомый минут за 10 скачал, после чего я файл удалил.
Сегодня просматриваю логи апача на серваке на предмет ошибок и... капец.
После того как знакомый скачал файл, где-то через 2 часа к этому же файлу полез 65.52.100.214 принадлежащий MICROSOFT-1BLK.
Файл он, конечно же, не нашёл, но я просто охреневаю с наглости Microsoft, а возможно, и забугорных спец.служб. Так явно палиться - это же звездец просто.

Я гарантирую, что:
1) Знакомый живёт в России, у него статический IP, к тому же там диапазон адресов совсем другой - т.е. это не он с другого динамического адреса ломанулся за этим файлом (кстати, качал файл он через Chrome, а тот Microsoft'у никак не принадлежит - они с Google'ом адско конкурирующие конторы).
2) Ссылку на закачку знакомый никому дать не мог, потому что знал что я удалю файл, как он докачает (места на серваке мало), и даже сказал мне "можешь удалять, я скачал".
3) Ссылку на имя файла нельзя было подобрать случайно.
4) Наконец, я лично никому эту ссылку больше не давал и нигде не вводил, кроме chat-окна Skype.

[Siberian GRemlin]

Чем больше шифруешься, тем больше за тобой следят.

[Grom PE]

Вполне ожидаемо. Раньше MSN / Windows Live Messenger так себя вёл — по переданным ссылкам ходил, а теперь и Skype, после покупки Microsoft'ом.
Это ж их "борьба с терроризмомвирусами".


> Чем больше шифруешься, тем больше за тобой следят.

Таки-да, если шифроваться, то шифроваться полностью, а то ведь частичное шифрование может быть сигналом "эй, следите за мной".

[-=CHE@TER=-]

Чем больше шифруешься, тем больше за тобой следят.

В данном случае ничего криминального - просто музыкой обменивались, но сам факт заставляет напрячься.

Вполне ожидаемо. Раньше MSN / Windows Live Messenger так себя вёл — по переданным ссылкам ходил, а теперь и Skype, после покупки Microsoft'ом.
Это ж их "борьба с терроризмомвирусами".

Возможно (MSN'ом никогда не пользовался), но какого, простите, лешего они лезут за файлами, которые были выложены в частной (личной) переписке? Это как понимать? Против проверки ссылок доступных в публичном доступе (на сайтах) я ничего против не имею - проверяйте. А если бы здесь были какие-нибудь корпоративные документы (во многих фирмах сейчас после устройства на работу заставляют профиль в Skype заводить для общения по работе), которые бы потом с серверов Microsoft случайно утекли? Это же долбануться надо, чтобы так нагло лезть в личную переписку пользователей.

[-=CHE@TER=-]

Посовещался тут со знакомыми и мне вот что сказали:

Чисто теоретически нужно еще учитывать следующие факторы:

1. Skype - это P2P сеть, и взаимодействие между двумя клиентами идет через супер-ноды. Быть или не быть супернодом конкретный клиент скайпа выбирает сам на основании каких-то метрик типа скорости инета и мощности компа. Теоретически кто-нибудь может создать "левый" супер-нод и каким-нибудь образом расшифровать траффик через него.

2. Chrome собирает всю статистику, включая все урлы.

3. То, что IP-шник принадлежит MS, еще ничего не значит. MS предоставляет платформу Windows Azure и виртуалки в датацентрах, и если ты хостишь там любой свой код, то наружу ты будешь ходить с IP, принадлежащих MS. При этом MS будет абсолютно фиолетово что именно делает твой код.
Теоретически гугл может так шифроваться :) Собирать какую-то статистику хромом, и дабы не палиться, использовать Windows Azure чтобы потом кравлить по "сомнительным" адресам.

Вообще, все параноики уже давно не пользуются хромом и гмэйлом.
MS гораздо лучше защищает прайваси и не использует данные пользователей.

1. Кстати, да, ещё пару лет назад была новость, что утекла какая-то незащищённая версия Skype в сеть и её, вроде как, даже дизассемблировали. Ещё слышал, примерно тогда же, что китайцы сами научились эмулировать чат в Skype (шифрование и прочее). Сейчас, наверное, уже и не это могут.

2. Блин, точно! Совсем забыл, что хром стучит куда надо.

3. Про Windows Azure слышал, но что-то в голову не пришло что так круто шифроваться можно.

В общем, проведу эксперимент: дам человеку ссылку через Skype и попрошу не открывать. Ещё одну ссылку дам через что-нибудь другое (или зашифровав) и попрошу открыть через хром. Хотя теперь я думаю, даже на 80% уверен, что палится именно хром. Но FTGJ надо проверить.

[Grom PE]

Вместо Chrome лучше пользоваться Iron, это Chromium, которому стучалку вырезали.

> какие-нибудь корпоративные документы

Такие исключительно по внутренней сети и внутренним протоколам должны пересылаться (например, через локальный джаббер-сервер).
Доверять подобное скайпу — себе искать приключений.

> Теоретически кто-нибудь может создать "левый" супер-нод и каким-нибудь образом расшифровать траффик через него.

Да что там суперноды и китайцы, уже давно всё перехвачено, от P2P там мало что осталось.

[Axsis]

Ну мне наиболее вероятной видится версия отлова разного рода малвари. Хотя возможно ещё и индексируют ссылки Bing'ом, а это тоже может много чем обернуться. Про мутное нутро скайпа читал ещё до покупки майкрософтом, там 2 или 3 слоя враппера на exe-шнике было тогда. Раз так старательно прятали значит было что прятать.
А кто-нибудь читал EULA к нему вообще (или Privacy Policy, или где там это обговаривается)? А то может там в открытую пишут что ваши сообщения будут "обрабатываться"?

[-=CHE@TER=-]

Провёл эксперимент.
Всё очень плохо и Google, как оказалось, тут совсем не при чём...
Отправил новую ссылку в Skype знакомому, объяснил ситуацию, сказал не открывать.
Файла этого на сервере не было (просто от балды server.com/testname.zip).
В логах зафиксировано ровно 1 обращение к этому файлу, два часа спустя со злополучного 65.52.100.214.
Не вынесла душа поэта - залез в Интернет, нашёл вот это:
Skype — Да, мы читаем все, что Вы пишете
Несмотря на то, что статья за май 2013, там многое уже не соответствует действительности - например, обе ссылки, которые я давал, были HTTP, хотя в статье утверждается что Skype ходит только по HTTPS.
В общем-то, вариантов немного: либо это кто-то лезет с платформы Windows Azure, либо это сами MS.
Я даже больше склоняюсь к тому, что это сами MS, потому что у разных людей и лезет с одного IP - трудно поверить, чтобы какой-то хакер умудрялся все запросы через себя отправлять, подделав себя супернодом. Ну, конечно, если это не какая-нибудь контора при спец.службах Китая с мощным железячным обеспечением - эти, наверное, могут.

А кто-нибудь читал EULA к нему вообще (или Privacy Policy, или где там это обговаривается)? А то может там в открытую пишут что ваши сообщения будут "обрабатываться"?

Это, случаем, не у них в EULA написано было что сообщения не принадлежат пользователям?

[-=CHE@TER=-]

Продолжаем разводить паранойю.

1) Со вчерашнего дня старые версии Skype приказали долго жить. Войти невозможно - сразу вышибает с сообщением, что, мол, пользуетесь старой версией - всем спасибо, все свободны.
Пишут, что в новых версиях полностью вынесли P2P (мол, заребежом все давно используют Skype на сотовых, а там P2P в принципе не сделаешь, так что мы его убираем), всё теперь идёт через сервера Microsoft, при этом текстовые и аудио/видео сообщения могут там храниться по их словам до месяца, а на деле, может быть, сколько угодно.
Та версия Skype, что стояла у меня, тоже работать перестала. А я был вынужден на неё откатиться, т.к. новые работали как куча не буду говорить чего. Поставил вчера новую версию в песочнице - походу, уйду я со Skype на другой сервис. Новые версии Skype (в хронологическом порядке):
- сначала падали с фатальной ошибкой при выходе;
- потом зависали и жрали 100% CPU, в результате чтобы снять задачу мне приходилось минут 10 открывать Диспетчер задач или сразу убивать там Skype не завершая работу нормально;
- последняя версия просто зависает при выходе в процессах - CPU не жрёт, а просто там висит.
И я даже ничего не сказал про увеличение размера, всё большие и большие тормоза и пожирание оперативной памяти. В Интернете, кстати, по этому поводу шум стоит нехилый - погуглите.

2) Ещё в 2009 писал:

К слову сказать, отечественные почтовые сервисы не отстают. Так, например, на yandex.ru письма после удаления (даже спам!) хранятся неделю в разделе "Удалённые" и никакими средствами их оттуда удалить нельзя (натурально лежат целиком все письма, вместе с вложениями и прочим).

А с 14 августа 2014 Яндекс расширил эту тему - теперь письма не удаляются из ящика вообще, если забирать почту почтовой программой. Второй раз почту не заберёте (письма, видимо, как-то помечаются в БД), но чтобы удалить письмо нужно зайти в почту, удалить и ещё раз удалить из корзины. Ещё немного и будет как в сраном gmail. Я сейчас даже не говорю о том, что если кто-то прислал вам несколько больших писем, то придётся лезть в ящик и удалять их, чтобы освободить место, а то почта приходить не будет. На мой резонный вопрос WTF?! служба поддержки ответила невозмутимо:

К сожалению, при работе по протоколу POP3, письма больше не будут очищаться с сервера. Это сделано для того, чтобы пользователи всегда могли вернуться в веб интерфейс, без потери личных и конфиденциальных данных. Единственный вариант удаления писем при работе по POP3 - это очистка их вручную из веб интерфейса.

Если место в ящике начинает заканчиваться, достаточно зайти в веб интерфейс Яндекс.Почты, и оно автоматически увеличится в два раза.

Короче, Яндекс за последние пару лет очень сильно просел и не просто в лужу, а прямо в ж*пу. К слову сказать mail.yandex.ru рушит с фатальной ошибкой Opera 12.17 (последняя Opera, которая ещё не успела стать хромой), на что мне служба поддержки предложила воспользоваться лёгкой версией mail.yandex.ru/lite/inbox - спасибо, что хоть так открывается.

[-=CHE@TER=-]

Все упомянутые ниже ссылки рекомендуются к прочтению.

Не так давно, уже не помню по какому поводу, попал я на статью:
Деанонимизация для домохозяек (RU, март 2014)

В комментариях к статье была ссылка вот на это:
How Apple and Amazon Security Flaws Led to My Epic Hacking (EN, август 2012)
Обратите внимание, как мужика быстро и просто разделали под орех, а служба поддержки, которая должна была оперативно всё пресечь, валяла дурака. Особенно "греет", что злоумышленники могли запросто получить доступ к банковской карте.

Ну и совсем свежее:
August 2014 celebrity photo leaks (EN, сентябрь 2014)
Хакеры устроили масштабный "слив" интимных фото со смартфонов звёзд (RU, тоже самое, с парой фото)

Что имею сказать по этому поводу лично я:
1) При Стиве Джобсе такого не было! Вся продукция и сервисы Apple - угробищная хрень как в плане дизайна, так и в плане удобства, функционала и безопасности. Единственное её достойное применение - выбросить и сжечь.
2) Все социальные сервисы (не только соц.сети) - такая же хрень подлежащая очищению огнём.
3) Хранить приватную информацию какого-либо рода и вида на Интернет-площадках - лютый идиотизм. Разве что в RAR архиве с километровым паролем и шифрованием имён файлов.
4) Обычным людям, конечно же, бояться нечего - мы не знаменитости, однако, лучше переспать, чем недоесть.

До нас весь этот треш, ад, чума и содомия ещё не успели толком дойти, а вот зарубежом, к примеру, можно запросто потерять работу из-за случайно обронённого слова или нелицеприятного фото в соц.сети.
См. свежие, за 2014 год, комедии "Walk Of Shame" ("Блондинка в эфире") и "SexTape" ("Домашнее видео") - если честно, то фильмы никакие, но я в них заметил некоторые интересные вещи о современных технологиях и их влиянии на окружающих, которые там, между делом, упомянуты (у них это уже реальность, так что они не придают ей большое значение).

[Siberian GRemlin]

Все эти массовые продукты такие как «iPhone» и пр. лабуда давно используются для «порабощения» и контролирования домохозяек, блондинок обоих полов и офисного планктона. Никогда не испытывал желания обладать им.

Что думаешь о «TOR»?

[-=CHE@TER=-]

Насчёт продукции Apple - это ты очень правильно делаешь.

Что касается TOR, то пользоваться им не приходилось, так что прокомментировать не могу.
Однако, прозреваю, что в скором времени придётся - очень мне не нравится желание некоторых организаций (в отдельности) и государств (в целом) влезать в чужую личную жизнь.
Из того, что читал - говорят, что можно вычислить, не мгновенно, но можно (подробностей уже не помню и могу наврать, но, вроде бы, что-то связанное с выбором хоста при соединении).
Ничем противозаконным не занимаюсь (пока что, но если завтра госдума в порыве очередного маразматического экстаза запретит дышать, то, да, буду преступником), так что мне хватает Web-проксей если не хочу светиться (незабаненные, правда, достаточно сложно найти бывает). Главное зарубежными проксями пользоваться - в связи с достаточно напряжёнными отношениями между нашей страной и забугорьем, нужно ОЧЕНЬ сильно постараться, чтобы забугорные спецслужбы сдали тебя нашим.
Смысл такой: не хочешь светиться у наших спец.служб - забугорные прокси к твоим услугам, а не хочешь светиться за бугром - используй наши.
А ещё в какой-то из статей на подобную тему видел ссылку на VPN-сервис (платный) в какой-то стране, где сиё не запрещено законами, но ОЧЕНЬ напрягло, что сервис всего на трёх языках, один из которых русский, причём грамотный - как бы не оказалось, что всю эту лавочку крышуют наши же спец.службы, чтобы сильно напрягаться при поимке "преступников" не нужно было...

[Siberian GRemlin]

«Молоток» читает так называемые личные сообщения пользователей и даже редактирует их!

[-=CHE@TER=-]

Нагребизнес такой нагребизнес.
На зарубежных сайтах, кстати, просто правилами указано, что проведение сделки за пределами сайта не запрещено, но тогда сайт не сможет выступить поручителем по ним и в случае проблем никакие жалобы рассматриваться не будут. Т.е. всё честно - решил торгануть напрямую - несёшь всё ответственность сам. А хочешь с гарантией - отстёгивай процент за работу гаранта.

[Siberian GRemlin]

Дак, они никакие гарантии не дают даже если через них сделки совершать, тупо берут комиссию. А в некоторых разделах, например, компьютерного железа ещё и за факт простого выставления лота на торги берут плату.

[-=CHE@TER=-]

"Вот до чего бывают люди до чужого добра жадные!" © Печкин
Этакими темпами они скоро за каждый клик мышкой на их сайте деньги брать начнут.

Но, вернёмся к теме.
Сегодня отсылал по работе программу человеку с мыльницей на сраном gmail.com. Если кто помнит, то присылать любые исполняемые файлы (.EXE, .DLL и даже .BAT) "мудрой политикой безопасности" сраного гугля запрещено (даже в архивах). Поэтому все выкручивались отсылая архивы с паролями.
Вот и сегодня я выслал RAR-архив на который, конечно же, поставил пароль с шифрованием имён файлов, чтобы вообще непонятно было что отсылается. Пароль был простой: test и указан в теле письма.
До сегодняшнего дня всё было нормально, а вот сегодня письмо не дошло:

This message was blocked because its content presents a potential security issue.
Please visit http://support.google.com/mail/bin/answer.py?answer=6590
to review our message content and attachment content guidelines.

Сраный гугель теперь просто блокирует все письма с архивами под паролем, ибо в таком случае очень сложно читать и следить за пользователями.
Желаю гуглу гореть в аду вечно.

[-=CHE@TER=-]

Кто ещё не знает, есть такое сраное приложение как WhatsApp, которое позволяет обмениваться сообщениями через Интернет минуя мобильного оператора (чтоб дешевле было).
Существует эта хрень в виде приложения для смартфонов.
При мне один человек, у которого эта хрень уже стояла, объяснил другому как поставить и после того как тот, второй, поставил - у него сразу высветилось, что у первого тоже стоит WhatsApp.
В подробности работы я не вдавался, но это приложение, по сути, прочитало и отправило на сервер список контактов (иначе я не понимаю, как бы оно узнало, что у первого человека уже стоит это приложение)! Это ж охренеть просто!
Самое "офигенное" в этой ситуации, что я не могу заставить всех у кого так или иначе есть мой телефон, записать меня как "Вася Пупкин" или ещё как - записывают моим реальным ФИО.
Мне даже думать не хочется, сколько эти содомиты сраные из ватсапа уже данных на пользователей нагребли. С учётом дикой популярности этого дерьма у офисного планктона и других завсегдатаев сраных социальных сетей, охват людей получается гораздо больше.
На примере: если ты зареген в сраном контактике, то очень легко получить список всех, с кем ты общаешься. Но если тебя нет в сраных соц.сетях, то и добраться до тебя не могли.
Теперь же твой телефон и ФИО будут иметь все кому не лень, потому что список контактов уходит на сервер без твоего согласия!
А тому, кому ты был вынужден (например, по работе) дать телефон, на тебя и твои проблемы, в общем-то, глубоко пофигу.

Все желающие могут считать меня законченным параноиком, но я ПРОСТО ОХРЕНЕВАЮ от того, насколько современные корпорации лезут человеку в задницу без мыла, а человек радостно им помогает ставя всякие ватсапы.

[Siberian GRemlin]

Я сильно удивлялся откуда незнакомые мне люди пишут на мыло и указывают моё ФИО. Спросил у одного, он сказал, что «Яндекс» (кажется) сам подставляет! Это при том, что на почте «Яндекса» у меня левые данные указаны, реальные только в кошельке «ЯД» и там же моё основное мыло для отчёта об операциях!

[-=CHE@TER=-]

Спросил у одного, он сказал, что «Яндекс» (кажется) сам подставляет!

Более того, ещё когда Народ был на Яндексе, я офигевал, как у людей с e-mail на yandex.ru при ответе в стандартной гостевой народа не только имя, но и фото (!) подставлялось в сообщение. Яндекс, кстати, вообще очень давно и очень сильно испортился, а с безопасностью персональных данных у них, совсем всё плохо. Я поэтому и не стал заводить Яндекс.Деньги, а так на WebMoney и остался (хотя они тоже не идеальны).

[-=CHE@TER=-]

YouTube закрыл уязвимость, позволяющую удалить чужие видеоролики
Это же каким гуглерастом надо быть, чтобы не знать, что первое, что нужно делать при запросе операций создания, изменения или удаления - это проверка прав пользователя (а может ли он это делать)? Кто им там только код пишет?
Вы думаете Google заботится о безопасности данных своих пользователей? Хо-хо-хо. У меня для вас плохие новости...

Кстати говоря, занимался разработкой сайтов (крупных веб-проектов) в одной фирме когда-то, так с меня начальство ржало, когда я в PHP делал полную проверку прав доступа. А ржали потому что считали что достаточно скрыть в шаблоне POST-форму для изменений данных у групп пользователей с меньшими правами и всё. А вот и не всё!