• Всё, что вы хотели знать об уязвимости Shellshock (но боялись спросить)
    +2
    Не надо зацикливаться на веб-векторах, которые в современном мире не представляют массовой угрозы (речь конкретно о Shellshock). Есть и другие, более актуальные и опасные варианты эксплуатации уязвимости.
  • За нами следят или clickjacking для бизнеса
    +3
    Clickjacking — не единственная угроза. Несколько лет назад писал статью на эту тему — «Получение информации о пользователях» (https://forum.antichat.ru/showthread.php?t=352133). Большинство примеров уже не работают, но теоретическая часть сейчас не менее актуальна, чем раньше.
  • Венчурные инвестиции для биения сердца
    0
    Считать ритм сердца труда не составит. Взлом алгоритма генерации ключа на основе ритма — вопрос времени.
    Незаметно прижался в метро к человеку специальным девайсом — получил доступ ко всему, что у него есть.
  • Роскомнадзор уведомил Facebook, Gmail и Twitter о необходимости регистрации в России в качестве «организаторов распространения информации»
    +1
    СМИ перепутали слова «gmail» и «google», обычное дело. Или кто-то видел официальные документы, в которых речь идет именно о gmail?
  • Власти требуют у студентов исходный код js-майнера Tidbit
    –2
    Вы все пытаетесь уйти от темы и подменить понятия. Или реально не понимаете разницы между получением информации и ее созданием?
    Насчет картинок в браузере читайте часть 4 Гражданского Кодекса и вышеупомянутый ФЗ «Об информации, информационных технологиях и о защите информации»
  • Власти требуют у студентов исходный код js-майнера Tidbit
    0
    > В обмен на это ваш компьютер тоже рендерит чужие сцены при простое.
    И это прописано в условиях использования программы. Куда не в ту сторону ушли.
  • Так ли приватен HTTPS?
    +3
    На черном рынке найдется все, в том числе зеленый сертификат, были бы деньги.
    Certificate pinning — общее понятие, стандарта нет. Поэтому в зависимости от реализации может пропускать некоторые нежелательные сертификаты.
  • Власти требуют у студентов исходный код js-майнера Tidbit
    +1
    Я не санкционирую системные драйвера, а они выполняются. Это все код, ничем принципиально не отличающийся от кода руткитов. Среда исполнения та же и привилегии те же.

    Текст менять не стал, он ничем принципиально не отличается от вашего. Хабр тот же и привилегии те же.
  • Власти требуют у студентов исходный код js-майнера Tidbit
    0
    Программа получена пользователем легально. Запуск программы инициируется пользователем (пусть даже без его ведома) при открытии страницы, а не разработчиком. Соответственно информацию создает пользователь, с помощью программы, на использование которой он имел право.
    Имеет ли право разработчик получать результат работы программы без явного согласия пользователя на это?

    Может ли вообще быть легально использование чужого имущества в корыстных целях без разрешения владельца?
  • Власти требуют у студентов исходный код js-майнера Tidbit
    0
    Конечно студенты ничего не нарушали. Они придумали и реализовали отличный виджет.
    Но опять же, желтая пресса умеет вырывать слова из контекста. Могли связать написание кода и суд, пропустив важные промежуточные детали этого дела.
  • Власти требуют у студентов исходный код js-майнера Tidbit
    –3
    На хабре так принято — понимать, о чем была речь, но все равно пытаться докопаться до каждого слова и создавать спор на ровном месте? Ведь очевидные вещи — что такое хорошо, а что такое плохо.

    p.s.: qw1, к вам не относится.
  • Власти требуют у студентов исходный код js-майнера Tidbit
    +1
    Оговорка «простыми словами» в начале предложения не просто так. Более подробную формулировку можно расширять до бесконечности.
    Если майнинг необходим для финансирования, можно прописать в правила, а не заниматься этим скрыто. Кому-то может быть необходима рассылка спама с вашего ящика через скрытый фрейм и XSS на почтовом сервере, но вы же понимаете, что это плохо.

    На хабре все написано в пользовательском соглашении, что куда отправляется и какие сторонние скрипты используются для аналитики. Насчет ferra.ru думаю, что можно подать в суд, если сможете обосновать ущерб, причиненный сторонними виджетами.
  • Власти требуют у студентов исходный код js-майнера Tidbit
    0
    Признаю, с нарушением работы ЭВМ ошибся, поскольку примерно в те годы изменил сферу деятельности.
    Принадлежит ли пользователю информация, сгенерированная с использованием ресурсов его компьютера, вопрос спорный. Принадлежность информации, кстати, вообще не фигурирует в этой статье, а только ее несанкционированное копирование. Судебная практика показывает, что даже рассылка смс-спама может оказаться «несанкционированным копированием информации» на телефон пользователя…
  • Власти требуют у студентов исходный код js-майнера Tidbit
    –2
    Отрисовка баннера лежит на плагинах и браузере. Читайте пользовательское соглашение и системные требования.
    habrahabr.ru/post/237755/?reply_to=7993553#comment_7993391
    «Если баннер будет скрыто майнить биткоины, это незаконно.»
  • Власти требуют у студентов исходный код js-майнера Tidbit
    –3
    Показывать анимацию и обрабатывать JS — это прямое предназначение браузера. Если тормозит анимация, виной могут быть недочеты реализации обработки этой анимации в браузере. Но к JS-коду разработчик браузера отношения не имеет. Так же, как разработчик компилятора не отвечает за компилируемый с помощью него код.
    Скриптовая анимация — тема отдельная. Как я уже писал выше, за нее как и за JS отвечает тот, кто ее написал.
  • Власти требуют у студентов исходный код js-майнера Tidbit
    0
    Кривые ресурсоемкие баннеры не ставят целью нарушение работы компьтера. Если баннер будет скрыто майнить биткоины, это незаконно.
    Простыми словами, нельзя делать того, что юзер не знает. На всех нормальных сайтах есть пользовательское соглашение.
    habrahabr.ru/info/agreement/ — обратите внимание на пункт «Конфиденциальность»:
    «При использовании Пользователями Хабрахабра на страницах Хабрахабра могут присутствовать коды Интернет-ресурсов третьих лиц, в результате чего такие третьи лица получают данные, указанные выше.»
  • Власти требуют у студентов исходный код js-майнера Tidbit
    +6
    Несанкционированное использование ресурсов компьютера в своих целях — явный признак вредоносного ПО. Вы же не будете спорить с тем, что троян на компьютере, который майнит биткоины — вредоносный софт. Почему тогда вызывает сомнения аналогичный JS-код?
  • Власти требуют у студентов исходный код js-майнера Tidbit
    0
    Конкретно в данном случае дело не в отправке, а в несанкционированном использовании ресурсов копьютера, нарушающем его нормальную работу.
  • Власти требуют у студентов исходный код js-майнера Tidbit
    0
    Вряд ли имелась ввиду серверная часть. Если JS отправляет куда-то данные, с точки зрения закона не имеет значения, как эти данные дальше обрабатываются. То есть, если мой троян будет слать ваши пароли на несуществующий домен, с меня это ответственности не снимет.
    Думаю, что проблема в другом. Раньше только обфускация мешала нормально читать код, но сейчас программа может быть написана на C, Java и других языках, а потом скомпилирована в JS. Соответственно, исходный код и тот код, который выполняется в браузере — не обязательно одно и то же.
  • Власти требуют у студентов исходный код js-майнера Tidbit
    +1
    Вы сомневаетесь в возможности JS работать с сетью?
  • Власти требуют у студентов исходный код js-майнера Tidbit
    0
    «page source» — это не всегда исходник JS-приложения. С таким же успехом можно называть исходником десктопного приложения его дизассемблированный код.
  • Власти требуют у студентов исходный код js-майнера Tidbit
    +6
    Скрипт, выполняющийся в браузере, несомненно является самостоятельным программным обеспечением, а не частью браузера. Не знаю, как в США, но согласно законодательству РФ этот скрипт имеет признаки вредоносного ПО.
    Рекламная анимация не является ПО и обрабатывается браузером или плагином, которые пользователь установил самостоятельно.

  • Меня попросили взломать программу на собеседовании
    +19
    Работа заключается в написании крякми для новых кандидатов.
  • Локальный интернет?
    +2
    Любая территория кому-то подвластна. И если этот кто-то захочет ограничить доступ, он это сделает.
  • Локальный интернет?
    0
    «Правительство контролирует не интернет»
    Расскажите это Ким Чен Ыну.
  • Как не надо делать федеральные информационные системы
    +1
    Проблема менталитете. Четко следуешь должностным инструкциям — жди ответных санкций.
    К примеру, если при проверке режима секретности в бухгалтерии я укажу в акте все нарушения, то начнутся «случайные» ошибки при подсчете моей премии, задержки зарплаты, обнаружится нехватка средств для предоплаты проезда к месту проведения отпуска. Проверка в отделе кадров — в графике отпусков я с июля перемещусь на ноябрь. Связь — начнет чаще падать сеть в кабинете.
  • Как не надо делать федеральные информационные системы
    +1
    В любом случае, ограничение доступа к системе не является альтернативой устранению уязвимостей в ней.
    При целевой атаке ограничение доступа не будет серьезной проблемой. Любой, кто работал в гос.учреждениях, знает как там обстоят дела с компьютерной грамотностью сотрудников. Вставить личную флешку, полную вирусов, в компьютер предназначенный для обрабтки секретной информацией — обычное дело.
  • Анализ Simplelocker-a — вируса-вымогателя для Android
    +7
    Зачем в первом шаге получать манифест через aapt.exe, если decompileandroid.com во втором шаге его и так выдаст? А сам decompileandroid.com лучше заменить на dex2jar, JAD и apktool. Не вижу смысла заливать куда-то свои файлы, если вручную это делается так же быстро и просто.
  • Как не надо делать федеральные информационные системы
    +3
    Дайте логин: пароль, завтра выложу базу.
  • Простые вещи (безопасность e-mail)
    +1
    Пункт 9 очень обрадует владельцев серых IP-адресов.
  • 29% россиян верят, что онлайн-сервисы надежно охраняют их пароли
    +1
    Если говорить о причинах, то у нас три версии
    И все неправильные. Никакие «хакеры» друг у друга базы не крали. Все три слива были частью одной базы, которая досталась человеку в счет долга, но оказалась не нужна, поэтому и выложена в паблик.
    Из-за того что СМИ раздули из этого проблему мирового масштаба, первоисточник загуглить непросто, но тем не менее возможно. Вся информация лежит на открытом форуме и видна без регистрации (за исключением ссылок на базы).

    p.s.: база, кстати, старая и давно отработанная по всем направлениям черного и серого интернет бизнеса.
  • А теперь и gmail.com: в сеть выложена база на 5 000 000 адресов
    +2
    Пусть телефон сам помнит. SMS Scheduler
    iOS — play.google.com/store/apps/details?id=com.lylynx.smsscheduler
    Android — itunes.apple.com/ru/app/sms-scheduler/id646308617
  • Tabnabbing: экстравагантный фишинг
    0
    Видимо, ваш трафик уже идет через соседский charles.
  • Tabnabbing: экстравагантный фишинг
    +2
    location.replace решает эту проблему. Заодно и домен можно сменить на более соответствующий фейковой странице.
  • А теперь и gmail.com: в сеть выложена база на 5 000 000 адресов
    0
    Господа минусующие видимо не в курсе, что гугл игнорирует точки в логинах. Мой аккаунт username@gmail.com:pass в базе может быть записан как user.name@gmail.com:pass, что усложнит его поиск для меня, но никак не отразится на возможности авторизации в гугле.
  • Tabnabbing: экстравагантный фишинг
    +16
    Опасность атаки в настоящее время значительно выше, чем на момент публикации. Связано с ростом числа мобильных устройств, на которых, как правило, неактивные вкладки скрыты от пользователя, в отличие от десктопных браузеров.
  • А теперь и gmail.com: в сеть выложена база на 5 000 000 адресов
    0
    Пусть еще логины назначает вида «а*;№АП(Щ8пиа? И№А*П», чтобы уж наверняка ;)
  • Коллективное расследование: как появилась база данных с паролями аккаунтов «Яндекса»?
    +1
    Посмотрел базы яндекса, мейла и гугла.
    Очевидно, что аккаунты собирались из разных источников и в разное время. Много признаков:
    1) Наличие несуществующих логинов. Маловероятно при сливе базы с самого почтового сервиса.
    2) Логины, написанные буквами разного регистра. Признаки кейлоггеров и фишинга.
    3) Одинаковые пары логин: пароль проверялись на разных сайтах. На это указывает указывает брут яндекса по дате рождения. Такой тип массового взлома характерен для мейлру, благодаря их сервису МойМир, в котором адрес страницы (с указанной датой рождения) соответствует логину в системе — my.mail.ru/DOMAIN/LOGIN
    Аккаунты вида НОМЕРТЕЛЕФОНА(а)yandex.ru: ПАРОЛЬ скорее всего были аккаунтами ВКонтакте, собранными с фейка.
    4) Процент авторега и брутфорса в базах яндекса и мылру выше, чем у гугла. Связано с техническими особенностями данных сервисов.

    Как они попали в паблик? Все просто. У %username1% были базы, но не был денег. У %username2% был должник. Принять базы в счет долга %username2% согласился, но использовать их в корыстных целях не захотел и поделился со всеми.
    Насчет объемов утечки согласен с этим комментом. На черном рынке за относительно небольшую сумму денег можно базу значительно больше.
    Особой опасности для пользователей такие базы не представляют, используясь в основном для массовых рассылок. Но при утечке в паблик вероятность целевых атак на конкретных людей и их личные данные очень велика.