Как стать автором
Обновить

Комментарии 35

>>>софт для бакапа жж уже есть

Расскажите поподробнее.
Отличный пост. Сделал бы обязательным ридми для кучи своих знакомых...
надо еще облагородить, дополнить и структурировать... материал, да. полезный, но без методических указаний.
Ну, времени тебе и желания, добрый хабрачеловек!
Тогда уже пора и в сервисах поменять дефолтные значения для поля "Ответ на секретный вопрос" и рядом написать комментарий, объясняющий всю важность выбора ответа. Иначе до масс это не донести.

Лучше всего конечно использовать набор букв и цифр, т.е. аналог пароля.
угу. методов для осздания пароля много. умный сайты (жужуль, ютюб - вообще, вся галактика жужуля, яху и сотоварищи) сразу показывают вам "силу" пароля... поэтому комбинации типа dFeo4eto25!,er могут спасти жизнь
читал где-то про халявный способ подбора пароля — два любых четырёх- или пятибуквенных слова через любой знак препинания или какой-то символ. например float%both

P.S. знаю, что both это к clear, просто чтобы поинтереснее было…
Хороший способ создания пароля — аббревиатура.
“I have been in London in August 2007” — “IhbiLiA2007”
в принципе, можно делать "произвольный вопрос" - "ответ" ...
правда запомнить связку не всегда легче, чем пароль ... :)

зато лучше любого крипта ...
а если ещё и с умышленными ошибками, то и никакой подбор не поможет ...
но это для "здоровых" компов, т. к. от клавирного трекера может и не спасти ...
в посте есть указания как не подхватить клаверного трекера:)
Давно уже пора отказаться от порочной практики программировать и требовать в обязательном порядке с пользователей завязывать безопасность учётки на эти идиотские псевдосекретные вопросы!

(извините за ответ на _старый_ пост — но блин наболело, хоть тут слегка душу отведу)
GMail таки однозначно шифрует трафик, однако пользовать нужно https://mail.google.com/
Не забудьте вЫключить слабое шифрование в любимом браузере.
насколько я знаю он шиврует вход (пароль) по https. любимый броузер обязан изначально уметь включаьт "сильное" шифрование:)
Если зайти как указано выше, то GMail будет шифровать весь трафик. Я хоть и не параноик, но любопытства для проверял.
я думал речь про броузер. почтовик, понятно, по особому общается с мейл.сервером.
можно еще сверху и pgp-шифрование добавить.
Я и говорю про браузер, других почтовых клиентов не пользую :-)
Кстати, для этой цели можно поставить GM-скрипт, который заставляет GMail пользовать SSL, чтобы не заморачиваться вовсе. Ссылку не дам, ищется по словам «gmail https» на userscript.org наверняка.
Или, как вариант, он есть в компиляции-экстеншене BetterGMail. Зовется «Forve encrypted GMail connection (https)» и эта опция по умолчанию включена.
Не знаю, не знаю... Чем интересно какой-то неизвестный скрипт может быть лучше встроенного стандартного шифрования, проверенного на тараканы людьми из опенсорц комьюнити?!
Все, что делает этот скрипт — это «заставляет» GMail использовать SSL. То есть все запросы уходят по https, а не http. И ничего более:)
Вы про какие-то чудеса чудесные рассказываете, чесслово.
Добавьте одну букву в адресе, сделайте букмарк, наконец-то, включите уже https и не нужно будет вам никаких волшебных скриптов.
Да что ж вы так завелись:) У меня, собственно, так и есть.. :)
А Вы проверяли — скриптом данные действительно шифруются, или просто заворачиваются в 443 порт? Мне очень кажется, что никакого шифрования там нет вообще, видимость одна.
Я вот специально сейчас посмотрел исходники пары подобных скриптов на userscripts (просто, я не знаю какой из них в BetterGmail использован). Так вот, один из них меняет в location.href http на https (http://userscripts.org/scripts/review/59…), а второй плюс к этому еще и во внутренних ссылках (только тех, что ссылаются на используемый google-сервис) (http://userscripts.org/scripts/review/74…).
Можно просто отправить жертве письмо, с линком на внешнюю картинку.
Если жертва пользует GMail без https, и включит отображение картинок, то при попытке загрузить хацкер получит сессию жертвы как есть. И прощай аккаунт.
вариант (с).

но для этого умный гмайл и блокирует внешние картинки и только после "дисплей картинки" загружает их и отдаёт ссылку. так же, почему-то не даёт при "просмотреть приложенную картинку" её сохранить. Только нажатие на "сохранить приложенную картинку" позволяет сохранить на диск. Вот такое разграничение
IP разве не проверяется?
Даже если и проверяется, то это не мешает украсть сессию.

Пользуйтесь веб-интерфейсом, https, нормальным шифрованием, хорошим паролем и всё у вас будет тип-топ :-)
В материале очередной раз указаны прописные истины и это не плохо.
предлагаю собирать голосы на привлечение автора сюда.
Насчет IE неправда. ActiveX ничего не устанавливает сам.
все это - прописные истины. ничего нового не узнал.
Соблюдение простых истин и есть безопасность LJ. Порой афишируя email, на который зарегистрирован аккаунт, пользователь не задумывается о том, что ответ на его секретный вопрос "Откуда я?" - строчка из местоположения в LJ. После этого возникают дикие задумки, какая же 0-day уязвимость поразила его.

В тему о браузерном malware, скажу что особый контроль стоит осуществлять за компонентами, который использует браузер. Дело в том, что "связки" минувших дней связаны именно с ними (Quick time, к примеру), а не с брешами в реализации ПО от эталонных разработчиков.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.