Холиварофорум
Вы не вошли.
#1 2017-10-08 21:44:17
- Анон
Нововведения на дайри
Вся актуальнуя информацию по ООО "Дайри.ру" из КонтурФокуса
Обсуждение судьбы ФБ проводится здесь.
Гости не могут голосовать
#54526 2021-02-02 08:35:00
- Анон
Re: Нововведения на дайри
Если пароль действительно утекает только в момент каких-то действий с ним, это сужает перечень вариантов взлома.
а) Кража происходит на клиентской стороне, прямо из поля ввода. Скорее всего, в браузерном инспекторе в журнале сетевых запросов при использовании страниц, требующих ввода пароля, найдётся лишний скрипт или запрос на левый сайт (только надо полный лог включить, не сбрасывающийся для каждой новой страницы). Потом можно выяснять, кто и как его добавил.
б) Кража происходит на стороне сервера — например, запрятана в коде Diary или в каком-то триггере в базе данных. Не очень понятно, что мешало человеку, получившему доступ к коду или базе данных, утащить сразу всё, а не ловить редкие события. Разве что программист на самом деле вставил куда-то кусок кода, найденный в интернете, и только в этих местах он срабатывает и шлёт привет автору.
в) Самый анал-карнавал-вариант: на Дайри была настроена синхронизация базы с каким-то побочным сервисом (вручную в нужных местах или средствами самой базы данных), который так и продолжает получать отдельные изменения (например, паролей), но уже не контролируется администрацией. Тут мы вспоминаем про diary-media: возможно, говноспамеры заинтересовались, что за информацию пытаются прислать им сервера diary.
А Google, само собой, не может узнать о том, что пароль украли, в тот же момент, как вы его поменяли (если с ним сразу не попытаются залогиниться в учётную запись откуда-нибудь из Индии или Бразилии). У них примерно та же самая база сливов, что и на haveibeenpwned.com, из которой выжата подборка популярных (быстрее подбираемых) паролей, и при совпадении комбинации логина (почты) и пароля или его неуникальности выдаётся предупреждение. Скорее всего, это специально срабатывает только тогда, когда пользователь вводит пароль на каком-нибудь сайте или заходит в менеджер паролей, чтобы не пугать и не путать людей, пользующихся одним компьютером совместно.
#54527 2021-02-02 09:20:39
- Анон
Re: Нововведения на дайри
Я не уверен в том, как это работает, напишу свой опыт. У меня есть 2 дневника, основной и вирт для всякого разного.
Пароль на основном дневнике сложный, менял я его в ночь, когда можно было логиниться под любым паролем в любого юзера, т.е. около недели-полутора назад. Этот пароль не утёк.
А вот старый пароль от вирта, который я запрашивал на почту за последние месяцы неоднократно (постоянно забываю пароль) после проверки оказался утёкшим. И только он, если что, остальных паролей (у меня их около 200 разных) это не коснулось.
Проверял это проверкой гугловской учётки и телеграм ботом mailsearch_bot
#54528 2021-02-02 09:58:59
- Анон
Re: Нововведения на дайри
Я не уверен в том, как это работает, напишу свой опыт. У меня есть 2 дневника, основной и вирт для всякого разного.
Пароль на основном дневнике сложный, менял я его в ночь, когда можно было логиниться под любым паролем в любого юзера, т.е. около недели-полутора назад. Этот пароль не утёк.
А вот старый пароль от вирта, который я запрашивал на почту за последние месяцы неоднократно (постоянно забываю пароль) после проверки оказался утёкшим. И только он, если что, остальных паролей (у меня их около 200 разных) это не коснулось.
Проверял это проверкой гугловской учётки и телеграм ботом mailsearch_bot
Иными словами, учитывая полный игнор админов (даже агрессию к рассказавшим) этой проблемы... Теперь нельзя будет поменять на дайри пароль, или попытаться удалить акк, что бы пароль не утек?
Интересно, а касается ли это банального ввода пароля при заходе в свой акк на дайри-2?
#54529 2021-02-02 10:05:41
- Анон
Re: Нововведения на дайри
Поставила д2 на удаление. В профиль пока пускает. И даже уведомления и дискуссии больше не подтягивает. Зато теперь новый анекдот. В цитатнике оставалось пять постов, четыре из которых были закрыты. Сейчас зашла - постов четыре, закрыт один, один пост реально из моего цитатника (на д1 он тоже есть, единственный оставшийся), а еще два - из чужого.
#54530 2021-02-02 10:11:15
- Анон
Re: Нововведения на дайри
Я тоже хотела удалить дайр, но меня напрягает мысль о том, что они постоянно подтягивают посты с сохраненки. И в итоге окончательного переезда - не случится ли так, что они снова, сливая дайри 1 и 2 вытащат мой днев из архива, вот только доступа к нему у меня уже не будет?
Поэтому удалю после окончательного сливания...
#54531 2021-02-02 10:29:12
- Анон
Re: Нововведения на дайри
Вот я сейчас понял, что на дайри у меня нерабочая древняя рамблеровская почта.
Лучше это дерьмо не менять?
#54532 2021-02-02 10:30:37
- Анон
Re: Нововведения на дайри
Поэтому удалю после окончательного сливания...
Ну да, аналогично. Смысл сейчас бегать, если все трусы в шкафу Че?
#54533 2021-02-02 10:30:49
- Анон
Re: Нововведения на дайри
А как включить проверку(?) паролей в гугл-аккаунте?
Зайти в раздел Аккаунт в гугле (тыкни три точки справа сверху, например, из гугл-почты). А дальше сразу будет весеть плашка, есть какая-то опасность или нет. Если есть, то на плашку с предупреждением жми и дальше по инструкции.
#54534 2021-02-02 10:30:54
- Анон
Re: Нововведения на дайри
Аноны, а можно вползти совсем зелёному и тупенькому? Я как читаю тему, так нихрена непонятно, но очень интересно.
У меня вообще нет дневника, просто была регистрация в дветыщилохматом году, чтобы читать юзеров и битвы. В профиле одна почта, ничего не подвязано. Чтобы не терять избранное, нужно как-то лезть ещё и в Д2, регаться там и подписываться?
#54535 2021-02-02 10:31:54
- Анон
Re: Нововведения на дайри
Удалила на д2 только дневник, он удалился моментально (на д1 же надо было ждать две недели?), и профиль теперь не открывается - внутренняя ошибка сервера. Зато избранное по-прежнему вижу в своем дизайне. Как все чудесно работает, это вам не забагованные старые дайри 
На д1 оставила пустой дневник ради эксперимента, что будет дальше при подгрузках базы и переезде. Как сказали у меня в избранном, хочется еще понаблюдать эту ебанину из первых рядов.
#54536 2021-02-02 10:33:04
- Анон
Re: Нововведения на дайри
Чтобы не терять избранное, нужно как-то лезть ещё и в Д2, регаться там и подписываться?
Нет. Ты там уже есть. На д2 база д1.
#54537 2021-02-02 10:35:23
- Анон
Re: Нововведения на дайри
Нет. Ты там уже есть. На д2 база д1.
Спасибо)
#54538 2021-02-02 11:13:49
- Анон
Re: Нововведения на дайри
Значит, как подтягивать постоянно старую базу на д2, это нейросеть запросто, а как из бэкапа восстановить дневник, который сами же и удалили, нажав не туда, так у нейросети лапки.
#54539 2021-02-02 11:31:21
- Анон
Re: Нововведения на дайри
Тогда они бэкапов не делали.
#54540 2021-02-02 12:00:14
- Анон
Re: Нововведения на дайри
да-да, закрытые пароли, никто их не видит
говорю же, пиздИт
Справедливости ради, в базе они действительно могут храниться в зашифрованном виде. Но вот когда приходит время отсылать письмо, хэш пароля любезно расшифровывается и присылается в открытом виде.
#54541 2021-02-02 12:17:58
- Анон
Re: Нововведения на дайри
Анон пишет:Поэтому удалю после окончательного сливания...
Ну да, аналогично. Смысл сейчас бегать, если все трусы в шкафу Че?
Я боюсь, Че сейчас читает темку, мотает на ус и такой говорит прогеру "Милый, а убери-ка еще мне опцию "удалить дневник" на дайри", и прогер идет и выламывает опцию своими лапками и швыряет в кучу к терабайтам мусора. 
#54542 2021-02-02 12:24:49
- Анон
Re: Нововведения на дайри
А как включить проверку(?) паролей в гугл-аккаунте?
Если ты сейчас в хроме, то по этой ссылке в настройках, вроде бы chrome://settings/passwords/check?start=true
#54543 2021-02-02 12:27:02
- Анон
Re: Нововведения на дайри
Анон, который вчера специально качал хром и менял свой пароль в дайри1, докладывает:
Проверенные пароли • только что
Проблемы с безопасностью не обнаружены.
Вы получите уведомление от Chrome, если войдете в аккаунт с паролем, который был раскрыт.
Хром пишет, что все пока ок.
Возможно, надо еще попробовать залогиниться в дайри2 
и посмотреть, что будет.
#54544 2021-02-02 12:33:15
- Анон
Re: Нововведения на дайри
хэш пароля любезно расшифровывается
#54545 2021-02-02 12:34:51
- Анон
Re: Нововведения на дайри
Анон пишет:У тебя слишком простой пароль, который многие используют. Держи: hJh$?10_gJJH7l.
спасибо, этот пароль не введу даже я
А зачем его каждый раз ручками вводить? Сохрани в браузере и всё.
В файрфоксе так вообще есть встроенный генератор сложных паролей, он тебе на каждый сайт его придумает и сам сохранит.
#54546 2021-02-02 12:36:26
- Анон
Re: Нововведения на дайри
Проверял это проверкой гугловской учётки и телеграм ботом mailsearch_bot
Я ща в таком шоке был - вбив свою мейловскую почту, получил список паролей, которыми я реально пользовался......... сижу с лицом лица
#54547 2021-02-02 12:41:54
- Анон
Re: Нововведения на дайри
В файрфоксе так вообще есть встроенный генератор сложных паролей, он тебе на каждый сайт его придумает и сам сохранит.
у гугла тоже есть такой
#54548 2021-02-02 13:13:43
- Анон
Re: Нововведения на дайри
Анон пишет:Проверял это проверкой гугловской учётки и телеграм ботом mailsearch_bot
Я ща в таком шоке был - вбив свою мейловскую почту, получил список паролей, которыми я реально пользовался......... сижу с лицом лица
Я тоже вбил и увидел старые пароли к гмылу 
слава богу, актуального там нет.
#54549 2021-02-02 13:15:33
- Анон
Re: Нововведения на дайри
У тебя слишком простой пароль, который многие используют. Держи: hJh$?10_gJJH7l.
У меня на дайри типа такого, использую только там. Проверила, утек 1 раз. Интересно, откуда бы он мог утечь? 
#54550 2021-02-02 13:17:12
- Анон
Re: Нововведения на дайри
Только что проверил свои пароли гугл-хромом. Ну, он тупо перестраховывается. У вас овер ста утечек, смените сейчас же. Нафиг надо. Эти свои пароли я наизусть помню, а потом сменишь на какую-то хуйню и забудешь.