| 1.1, A.Stahl (ok), 20:41, 16/02/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
 >Утечки параметров кредитных карт не произошло.
Я от безопасности далёк, но здравый смысл подсказывает, что такое утверждение можно делать только в том случае если метод взлома известен.
Если известно как взломали, то почему я не вижу этой информации?
Есть несколько вариантов:
1) Неизвестно как взломали. Следовательно неизвестно и ЧТО взломали.
2) Как взломали известно, но нам не говорят ибо дырка не закрыта.
3) Утечка всплыла и умолчать возможности не было.
Ни одного хорошего варианта для администрации кикстартера я не вижу.
| | |
| |
| 2.3, Онаним (?), 20:44, 16/02/2014 [^] [^^] [^^^] [ответить]
| +4 +/– |
Здравый смысл подсказывает, что номера кредитных карт не хранятся на серверах Кикстартера.
| | |
| |
| 3.4, Ыефрд (?), 20:48, 16/02/2014 [^] [^^] [^^^] [ответить]
| –11 +/– |
А здравый смысл не подсказал им, что взлом не привёл к повышению радиоактивности рядом с Фукусимой и обвалу монгольского тугрика?
Почему не перечислили ВСЁ, к чему не привёл взлом?:)
| | |
| |
| 4.8, Аноним (-), 23:45, 16/02/2014 [^] [^^] [^^^] [ответить]
| +5 +/– |
Потому что для пользователей эти являния никак не связаны.
А вот номера карт и ресурс, на котором проходила оплата связаны.
И пользователей надо успокоить.
Улавливаешь?
| | |
|
|
| 2.5, SirZ (ok), 21:27, 16/02/2014 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Да с картами тут всё очень просто, если вы хотя бы раз использовали кикстартер. Все финансовые транзакции проходят через Amazon Payments. Так что за деньги можно не переживать.
Но от этого не стало лучше, т.к. в кикстертере хранится тьма других личных данных (телефоны, адреса, ФИО).
| | |
| |
| 3.16, Аноним (-), 09:08, 17/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
Нет, не все. Для некоторых проектов кикстартер сам спрашивает реквизиты карты.
| | |
| 3.18, vn971 (ok), 13:01, 17/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
 Не совсем:
> For pledges to projects outside of the US, we store the last four digits and expiration dates for credit cards. None of this data was in any way accessed. | | |
|
| 2.14, Аноним (-), 03:18, 17/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
> Я от безопасности далёк, но здравый смысл подсказывает, что такое утверждение можно
> делать только в том случае если метод взлома известен.
Или если известно что данные не хранились на сайте. Сложно спереть то чего нет...
| | |
| 2.15, VoDA (ok), 08:45, 17/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
 Единственный вариант для однозначного ответа, что "Утечки параметров кредитных карт не произошло" - это тот факт, что на взломанных серверах эти самые кредитки НЕ ХРАНИЛИСЬ!
И это самый нормальный вариант для администрации кикстартера ;)
| | |
|
| |
| 2.9, x0r (??), 00:35, 17/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
Главное кому и для чего? Не стесняйтесь, развивайте мысль!
| | |
| |
| 3.19, vn971 (ok), 13:09, 17/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
Потенциально, разработчикам кикстартера.
*вспоминает про вариацию аутизма когда человек всегда ставит вещи на свои места и поправляет их*
| | |
|
|
| 1.6, arisu (ok), 21:35, 16/02/2014 [ответить] [﹢﹢﹢] [ · · · ]
| –3 +/– |
 небось снова очередной придурок-недоадмин на винде кейлогер поймал.
| | |
| |
| |
| 3.13, Аноним (-), 03:14, 17/02/2014 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Тебе везде винда мерещится...
Учитывая как на винде относятся к безопасности софта и шаред библ, вполне логичная точка зрения.
Нашли допустим дыру в libpng, используемой 100500 программ.
В нормальных системах: приезжает апдейт 1 либы. Все программы юзающую либу автоматически починеныю.
В винде: юзер буеет с зоопарка апдейтеров всех мастей. Уровень реакции авторов варьируется от "всем пофиг" до "уже пофиксили". Куча апдейтеров имеет мозг юзверю. Но половина софта все-равно остается не починена. В половине либа вообще намертво влинкована в бинарь статично. Поэтому юзеж системы начинает напоминать минное поле: никогда не знаешь где PNG с эксплойтом все-таки долбанет либу и таки выполнит вражеский код, который с удовольствием скачает пару троянов, поставит руткит и чего там еще полезного, так что потом еще и не заметишь гадость вплоть до момента когда слишком поздно рыпаться.
| | |
| |
| 4.28, Аноним (-), 01:26, 19/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
>[оверквотинг удален]
> починеныю.
> В винде: юзер буеет с зоопарка апдейтеров всех мастей. Уровень реакции авторов
> варьируется от "всем пофиг" до "уже пофиксили". Куча апдейтеров имеет мозг
> юзверю. Но половина софта все-равно остается не починена. В половине либа
> вообще намертво влинкована в бинарь статично. Поэтому юзеж системы начинает напоминать
> минное поле: никогда не знаешь где PNG с эксплойтом все-таки долбанет
> либу и таки выполнит вражеский код, который с удовольствием скачает пару
> троянов, поставит руткит и чего там еще полезного, так что потом
> еще и не заметишь гадость вплоть до момента когда слишком поздно
> рыпаться.
Справедливости ради, использование в Linux (или, что реже, но всё-таки тоже бывает, в других Unix-like ОС) всяких пропиетарных поделок, типа "драйверов NVIDIA" и прочих Опер, приводит к тому же самому. Так что дело не столько в конкретной ОС, сколько в целом в подходе.
| | |
|
|
|
| 1.11, Аноним (-), 02:06, 17/02/2014 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
> Для хэширования паролей старых аккаунтов использовался SHA-1, для новых - bcrypt.
А пора бы уже scrypt или catena...
| | |
| |
| |
| |
| 4.20, Аноним (-), 13:45, 17/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
Говорить вслух свою систему построения пароля - уже не секьюрно. Но мне интересно, в какую ценовую область попадет такая схема: имясайта.произвольные13букв . С одной стороны, это не меньше чем произвольные 13 букв, т.е. уже не плохо. С другой стороны, количество букв обычно больше 25.
Ответ, наверное, в том, что по сложности это как примерно 16 букв. Но всё же любопытно (16 потому что есть атака через склейки популярных слов).
| | |
| |
| 5.23, arisu (ok), 17:36, 17/02/2014 [^] [^^] [^^^] [ответить]
| +3 +/– | |
> Говорить вслух свою систему построения пароля - уже не секьюрно.
security by obscurity на практике обозначает ровно одно: «мы настолько криворукие макаки, что нам стыдно рассказать, как и что сделано.»
| | |
|
| 4.27, Аноним (-), 07:52, 18/02/2014 [^] [^^] [^^^] [ответить]
| +/– | |
> используйте 40-значные пароли)
Да что там, войну и мир сразу. Правда, вы печатать задолбаетесь, а атакующий ее из клипборда копипастой воткнет.
| | |
|
| |
| 4.30, Аноним (-), 09:18, 19/02/2014 [^] [^^] [^^^] [ответить]
| +/– |
Catena на данный момент выглядит получше. Там время счета не зависит от cache hit/miss, что не позволяет производить атаки по замеру времени выполнения.
| | |
|
|
|
|
