Даже в сях можно напороться на то, что функция system вызывает shell. Да, она небезопасна сама по себе, но это не отменяет того, что она много где встречается.
system() executes a command specified in command by calling /bin/sh -c command
Во многих системах /bin/sh — симлинк на баш:
lrwxrwxrwx 1 root root 4 Sep 4 16:52 /bin/sh -> bash
В мейллистах мелькает даже вектор атаки через ssh, но я не вникал.
Это значит что там используют что-то самописное. Скорее всего банальный словарь, линуксовый cracklib умеет распознавать пароли, составленные из двух словарных слов и такой фокус в *nix системе не работает. Более того, на «хороший» пароль, рекомендованный на security.yandex.ru, cracklib ругается, если убрать восклицательный знак. Этот пароль — самый наглядный пример для известного комикса.
Я не враг себе, чтобы сохранять пароль, который я только что опубликовал на всеобщее обозрение:) Но даже если бы при сохранении мой пароль окажется вдруг слабым — это вызовет ещё большее удивление пользователя.
Не сочтите за грубость, НО:
1. Берём какой-нибудь пароль из того списка (я имею ввиду TOP-200), я выбрал наугад porol777 — его предпочитают 146 человек из миллиона.
2. Вводим.
ещё раз всем порекомендовать выбирать сложные пароли
Наглядная статистика демонстрирует, как относится по крайней мере треть пользователей к таким рекомендациям. Почему бы не поставить адекватный фильтр хотя бы на словарные пароли?
P.S. Да и в том же треде: habrahabr.ru/post/235949/#comment_7941581
Одна кнопка «сгенерировать пароль» для ленивых пользователей уже сведёт на нет подобные масштабные бедствия. Даже если пользователям наплевать на свой ящик — яндексу как борцу со спамом не должно быть всё равно.
Печатал не глядя. Иногда при наборе вслепую получаются совершенно другие слова, например, печатал qwerty, а мозг в этот момент подумал «Что за qwerty? Давай напишем хоть что-то близкое к нормальному слову query». К тому же я не отношусь к той категории интернет-пользователей, которые могут без ошибок воспроизвести слово «qwerty» — зачем такие глупости, когда 123123 набрать проще и быстрее?
Не факт что именно эта, но действительно какие-то массовые уязвимости в софте могли привести к такому сливу.
И ещё:
Opera before 12.12 on UNIX uses weak permissions for the profile directory, which allows local users to obtain sensitive information by reading a (1) cache file, (2) password file, or (3) configuration file, or (4) possibly gain privileges by modifying or overwriting a configuration file.
Я не имею ввиду что виной именно данная уязвимость — яндексу видней, какими браузерами пользуются клиенты, но поводов беспокоиться достаточно даже в nix-системах.
Есть такое понятие репрезентативность выборки. Выбираются учётки наугад из разных мест файла и они работают. Думаю, что случайная выборка вполне адекватно представляет совокупность.
Поэтому и нужно использовать cracklib для проверки на стойкость, а не скрипт дяди Вани на ПХП. Кряклиб имеет систему кредитов, если пароль содержит только латиницу — минимальная длина должна быть 9 символов, а если пароль имеет более четырёх групп различных символов — достаточно шести. В целом нареканий эта система, использующаяся в линуксе, не вызывает.
А при навыке слепой печати никто не мешает таким образом запоминать пароли длиной в 20-30 символов.
Просто не все печатают слепым десятипальцевым методом, для них может быть сложно набрать весь пароль. Опять же если сделать нормальный генератор, предлагающий варианты — пользователь сможет сам выбрать, какой пароль ему проще набирать и запоминать.
cracklib уже давно существует, умеет ломать по словарю, сообщает о том, что пароль совпадает с логином и о том, что пароль имеет слишком мало различающихся символов.
А вообще нужно ещё при регистрации предлагать генератор хорошо запоминающихся паролей. Не какой-то там Swo75rBRCh, а например «Слепая лошадь считает до десяти» — берем по три буквы от слова и получаем что-то вроде Cktkjicxblj10. Не идеально, но лучше чем 123456. А при навыке слепой печати никто не мешает таким образом запоминать пароли длиной в 20-30 символов. Такой генератор написать несложно, если раздобыть словари существительных, прилагательных глаголов и т.п. Уверен, у яндекса такие словари есть — поисковик как никак.
Во многих системах /bin/sh — симлинк на баш:
lrwxrwxrwx 1 root root 4 Sep 4 16:52 /bin/sh -> bash
В мейллистах мелькает даже вектор атаки через ssh, но я не вникал.
Так что habrahabr.ru/company/yandex/blog/236007/#comment_7943101 всё ещё имеет силу.
1. Берём какой-нибудь пароль из того списка (я имею ввиду TOP-200), я выбрал наугад porol777 — его предпочитают 146 человек из миллиона.
2. Вводим.
Результат:
Наглядная статистика демонстрирует, как относится по крайней мере треть пользователей к таким рекомендациям. Почему бы не поставить адекватный фильтр хотя бы на словарные пароли?
P.S. Да и в том же треде: habrahabr.ru/post/235949/#comment_7941581
Одна кнопка «сгенерировать пароль» для ленивых пользователей уже сведёт на нет подобные масштабные бедствия. Даже если пользователям наплевать на свой ящик — яндексу как борцу со спамом не должно быть всё равно.
Пруфов не нашёл.
Не факт что именно эта, но действительно какие-то массовые уязвимости в софте могли привести к такому сливу.
И ещё:
Я не имею ввиду что виной именно данная уязвимость — яндексу видней, какими браузерами пользуются клиенты, но поводов беспокоиться достаточно даже в nix-системах.
Просто не все печатают слепым десятипальцевым методом, для них может быть сложно набрать весь пароль. Опять же если сделать нормальный генератор, предлагающий варианты — пользователь сможет сам выбрать, какой пароль ему проще набирать и запоминать.
А вообще нужно ещё при регистрации предлагать генератор хорошо запоминающихся паролей. Не какой-то там Swo75rBRCh, а например «Слепая лошадь считает до десяти» — берем по три буквы от слова и получаем что-то вроде Cktkjicxblj10. Не идеально, но лучше чем 123456. А при навыке слепой печати никто не мешает таким образом запоминать пароли длиной в 20-30 символов. Такой генератор написать несложно, если раздобыть словари существительных, прилагательных глаголов и т.п. Уверен, у яндекса такие словари есть — поисковик как никак.
pastebin.com/HNb8U4Pp