Наверное, это такое психическое расстройство — стремление во что бы то ни стало реализовать что-то свое, желательно с нуля. Особенно приятно предварительно разрушить до основания сделанное предшественниками. Неуемное желание построить собственный велосипед объясняется и тем, что все существующие на текущий момент решения обязательно обладают фатальными недостатками — слишком мало колес, чрезмерное количество педалей, неудобно рулить при посадке задом наперед и так далее. Тут включается буйная фантазия, и через некоторое время мировая общественность оказывается осчастливлена принципиально новым транспортным средством, эксклюзивно адаптированным для двух рептилоидов и одного енота.

На днях крупнейший в мире интернет-гипермаркет Амазон анонсировал крупнейшую распродажу в своей истории — Prime Day. Гигант интернет-ритейла поставил перед собой амбициозную цель — затмить традиционное осеннее скидочное-акционное безумие под названием "Черная Пятница". Кроме того, несколько счастливчиков (по одному из каждой страны, где действует акция) получат приз в размере 10 000 долларов в виде подарочной карты Амазона.



Чтобы получить доступ к специальным распродажным предложениям Амазона и попасть в число участников розыгрыша, нужно выполнить всего два условия:
1) стать или уже быть подписчиком Amazon Prime на момент до 15 июля 2015;
2) на страничке розыгрыша загрузить фото лучшего момента в своей жизни и подтвердить участие.

Достаточно долго на хабре не было новостей о проекте FLProg. К сожалению занятость на основной работе и домашние заботы не оставляло мне времени на написание постов. Но проект не умер, а продолжает развиваться. Что нового произошло со времени публикации последнего поста?

Не успели мы рассказать о новых роутерах семейства EdgeRouter, как Ubiquiti радует нас новой новинкой, на этот раз в области видеонаблюдения.
Рассмотрим новинку в линейке видеокамер — беспроводную мегапиксельную камеру, помещающуюся в кармане и не требующую прокладки Ethernet кабеля.
Забегая вперёд, скажу, что, следуя логике X линейки оборудования, новинка получилась компактнее, доступнее и при этом не хуже по параметрам, чем предшествующие модели.

(внимание: сервиса нет, есть только идея)

Во время публикации информации в обход цензуры, возникает проблема: как опубликовать информацию без раскрытия своей личности и данных, ведущих к раскрытию личности? IP адрес можно считать достаточной информацией для выяснения личности обратившегося к серверу. С учётом, что все хостеры обычно вполне кооперируются с тоталитарными правительствами, процесс установления владельца/автора того или иного сайта не представляет проблем. Наивные обещания компаний «не раскрывать данные клиентов» требуют очень высокого доверия, кроме того, не всегда могут быть исполнены (lavabit тому примером).

Ниже предлагается техническое решение, исключающее фактор высокого доверия (защиту от шпионажа) и предполагающая умеренное доверие (не скроются с деньгами).

Коммерческая компания покупает услуги хостинга (VDS, dedicated server и т.д.), конфигурирует там i2p роутер плюс ssh-сервер, работающий через i2p, и отдаёт реквизиты своему клиенту, который заказывает и оплачивает услуги только через i2p. Оплата происходит любой криптовалютой (пока условимся, что bitcoin), всё взаимодействие происходит через i2p сеть.

Описание со стороны компании

Компания имеет сайт в i2p, принимает биткоины. При поступлении оплаты компания заказывает услугу у указанного поставщика (в обычном интернете), настраивает i2p, отдаёт реквизиты клиенту. По запросу клиента сервер перезагружается/переустанавливается, так же возможна пересылка почты с саппортом. В самом продвинутом варианте — API для управления.

Описание со стороны клиента

Зайдя на i2p сайт клиент заказывает хостинг «в интернете», получает доступ на свой сервер через i2p, где размещает нужную информацию.

Описание со стороны тоталитарного режима

В интернете есть сайт. Сайт находится на сервере. Сервер принадлежит хостеру, был заказан компанией-посредником, после чего продан анониму за биткоины, у которых в истории фигурируют несколько миксеров и операции внутри i2p-сети. Можно изъять сервер, можно наказать компанию (если она находится в юрисдикции тоталитарного режима), найти автора по логам, записанному трафику и посредством ханипотов не получается.

Доверие серверу

Совсем недавно в публичный доступ попали базы паролей популярных почтовых сервисов [1,2,3] и сегодня мы их проанализируем и ответим на ряд вопросов о качестве паролей и возможном источнике (или источниках). Так же мы обсудим метрики качества отдельных паролей и всей выборки.

Не менее интересными являются некоторые аномалии и закономерности баз паролей, возможно, они смогут пролить свет на то, что могло служить источником данных и насколько данная выборка является опасной с точки зрения обычного пользователя.

Формально, мы рассмотрим следующие вопросы: насколько надежными являются пароли в базе и могли ли они быть собраны словарной атакой? Есть ли признаки фишинговых атак? Могла ли «утечка» данных быть единственным источником данных? Могла ли данная база быть аккумулирована в течение длительного периода или данные исключительно «свежие»?

Структура статьи:

1. Описание данных
2. Невалидные пароли и не-пароли
3. Распределение длины паролей
4. Распределение надёжности паролей
5. Словарная атака
6. Топ паролей
7. Выборка Gmail
8. Выборка Rambler
9. Анализ открытых источников
10. Заключение