| 1.4, Аноним (-), 12:28, 04/08/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
Если код вставлял свою рекламу, то, по идее, не сложно должно быть выяснить (для гугла, например), кто за эту рекламу деньги получает. А тут уже и до уголовного дела не далеко.
| | |
| |
| 2.8, Аноним (-), 12:46, 04/08/2017 [^] [^^] [^^^] [ответить]
| +/– |
Осталось доказать, а разумные люди вставляли бы не только свою рекламу.
| | |
| |
| 3.62, feudor (ok), 14:48, 08/08/2017 [^] [^^] [^^^] [ответить]
| +/– |
 тех кто занимается разбоем и грабежами можно как угодно назвать но только они от этого разумными не становятся.
| | |
|
|
| 1.5, Аноним (-), 12:28, 04/08/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Кстати, фишинг может быть правдоподобной оплаченной попыткой под дурачка закосить.
| | |
| |
| 2.24, рептилоид (?), 14:32, 04/08/2017 [^] [^^] [^^^] [ответить]
| +7 +/– | |
> Кстати, фишинг может быть правдоподобной оплаченной попыткой под дурачка закосить.
да, мы везде!
| | |
| 2.36, paulus (ok), 17:56, 04/08/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
 >фишинг может быть правдоподобной оплаченной попыткой под дурачка закосить.
Сорри, я тут бабла и данных чуток покосил :)
| | |
|
| 1.7, Аноним (-), 12:42, 04/08/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Я думаю google надо запретить публиковать дополнения тем у кого нет второго фактора. Это будет правильное решение. Что это за разраб который не способен защитить свое приложение? В лес такого разраба
| | |
| |
| 2.9, Аноним (-), 12:51, 04/08/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
И чем тут поможет второй фактор? На фишинг-страничке ещё одно поле для ввода сделать не осилят? Это средство эффективно только при краже отдельно взятого пароля, а когда юзер сам всё вводит — толку никакого.
| | |
| |
| |
| 4.15, Аноним (-), 13:17, 04/08/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Второй фактор - подтверждение СМС, не?
и ты этот код введешь на той же фишинговой странице, большое спасибо.
А мы тебе покажем после этого сообщение об ошибке аутентификации, или вообще что твой акаунт заблокирован, звоните в бубен, пишите роботу. Причем даже адрес робота дадим настоящий, он все равно цитатами из фак отвечает.
| | |
| |
| |
| 6.19, анон (?), 13:46, 04/08/2017 [^] [^^] [^^^] [ответить]
| +3 +/– | |
Почему? Фишинговая форма прикручена через условный селениум к настоящей странице аутентификации. Как только в фишинговоую форму вводятся нужные данные они тут же через селениум уходят на настоящую форму. С точки зрения google тут все ок, поэтому смс будет отправлен.
Учитвая целенаправленность аттаки там вообще не селениум мог быть а человек.
Двухфакторка работает от прямой утечки паролей, но не от mitm.
| | |
| |
| 7.29, анонимно (?), 16:04, 04/08/2017 [^] [^^] [^^^] [ответить]
| +6 +/– | |
Ну во первых фишинговая страничка ворующая логин с паролем это намного проще чем страничка с перенаправлением на сервер google.
Во вторых сервер google может заартачиться
В третьих получив доступ к аккаунту злоумышленник не сможет сменить пароль без СМСки которую уже неоткуда взять.
Сделай google дальше загрузку обновленного ПО через подтверждение СМС и всё, атака остановлена
(заметили что банки на транзакцию тоже СМС хотят не смотря на то что вас они по 2 фактору уже аутентифицировали)
Человек получит сообщения что что-то не то и на его акк вошли с другого устройства и быстро поменяет пароль и остановит атаку на порядок быстрее чем это сделает техсаппорт google.
Видите сколько неоспоримых плюсов если подумать.
| | |
| |
| 8.33, Аноним (-), 17:17, 04/08/2017 [^] [^^] [^^^] [ответить] | +/– | Злоумышленнику никто не мешает сменить привязанный телефон Выдоить из пользоват... текст свёрнут, показать | | |
| |
| |
| 10.58, Аноним (-), 14:13, 07/08/2017 [^] [^^] [^^^] [ответить] | +1 +/– | При вводе кода подтверждения авторизации просто сообщаем пользователю, что код в... текст свёрнут, показать | | |
|
| 9.43, Аноним (-), 20:40, 04/08/2017 [^] [^^] [^^^] [ответить] | +/– | 1 От клинического случая ничего не поможет, но не думаю что это случай который ... текст свёрнут, показать | | |
|
|
|
|
|
| 4.20, Ergil (ok), 13:59, 04/08/2017 [^] [^^] [^^^] [ответить]
| +3 +/– |
 Не обязательно.TOTP(RFC 6238) у того же гугла, да вроде и железный второй фактор у них был, если правильно помню.
А, да, еще есть вариант подтверждения нажатия на мобиле залогиненной в аккаунт кнопки подтверждения, что это ты сейчас пытаешься войти в аккаунт.
| | |
| |
| 5.23, Аноним (-), 14:29, 04/08/2017 [^] [^^] [^^^] [ответить]
| +/– |
> Не обязательно.TOTP(RFC 6238) у того же гугла, да вроде и железный второй
> фактор у них был, если правильно помню.
был, ubiquity, но вот в эреф ты ее попробуй-ка купи. Я пытался - хрен там :-(
| | |
| |
| 6.30, анонимно (?), 16:08, 04/08/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
>> Не обязательно.TOTP(RFC 6238) у того же гугла, да вроде и железный второй
>> фактор у них был, если правильно помню.
> был, ubiquity, но вот в эреф ты ее попробуй-ка купи. Я пытался
> - хрен там :-(
В РФ бери fido u2f JaCarta U2F
| | |
| |
| 7.53, Kuromi (?), 00:12, 05/08/2017 [^] [^^] [^^^] [ответить]
| +/– |
Джакарта дорогая и ненужно. Проще посмотреть на амазоне (там бывают недорогие варианты), а потом через Shipito переслать в РФ, почта выходит копеечная, благ весь мизерный. Например ePass FIDO от Feitian
| | |
| |
| 8.56, Аноним (-), 15:18, 05/08/2017 [^] [^^] [^^^] [ответить] | +1 +/– | а потом, приехав побухать с друзьями в LA, неожиданно присесть лет на двадцать ... текст свёрнут, показать | | |
|
|
|
|
|
|
| 2.13, Аноним (-), 13:15, 04/08/2017 [^] [^^] [^^^] [ответить] | +/– | гуглю давно надо запретить выделываться с угрозами немедленно блокировать дополн... большой текст свёрнут, показать | | |
| |
| 3.21, Ergil (ok), 14:03, 04/08/2017 [^] [^^] [^^^] [ответить]
| +/– |
> и да, при мало-мальской грамотности фишера никакая двухфакторка не поможет, ты второй
> код введешь ровно туда же, куда и первый. И оно радостно
> авторизуется за тебя.
Хорошо. Введешь. Авторизуется. И тебе придет письмо «Вы только что залогинились с такого-то IPшника», а ты смотришь и понимаешь, что страна-то не твоя, не то что IPшник. Ну и да, однократно может и залогинятся, но повторить аттракцион не удастся.
И это хорошо если тебе гугл вообще даст сходу войти с незнакомого адреса, если у них не сработает защита.
| | |
| |
| 4.22, Аноним (-), 14:28, 04/08/2017 [^] [^^] [^^^] [ответить] | +/– | ну так ему и пришло, и он именно тогда и понял, что попал, когда ж еще А если д... большой текст свёрнут, показать | | |
| |
| 5.31, анонимно (?), 16:10, 04/08/2017 [^] [^^] [^^^] [ответить]
| +/– |
Ну т.е. вы описываете уж совсем клинический случай. Таких надо банить и по делом.
| | |
| |
| 6.41, Аноним (-), 19:39, 04/08/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> Ну т.е. вы описываете уж совсем клинический случай.
то есть вы никогда не опечатываетесь, ни в пароле, ни в длинной бессмысленной строчке второго ключа, копируя ее с телефона, и вам насpать, что гугль ваш плагин сейчас забанит вместе с автором, вы еще десять напишете и зарегистрируетесь через тор, можно не торопиться реагировать на предупреждение?
> Таких надо банить и по делом.
правильно, чтоб остались только плагины, которые никому не нужны, включая их авторов, мальчиков с феноменальной зоркостью.
Я, в целом, поддерживаю - кто играет с гуглем на деньги, сам виноват.
| | |
| |
| 7.44, Аноним (-), 20:42, 04/08/2017 [^] [^^] [^^^] [ответить]
| –1 +/– |
>[оверквотинг удален]
> то есть вы никогда не опечатываетесь, ни в пароле, ни в длинной
> бессмысленной строчке второго ключа, копируя ее с телефона, и вам насpать,
> что гугль ваш плагин сейчас забанит вместе с автором, вы еще
> десять напишете и зарегистрируетесь через тор, можно не торопиться реагировать на
> предупреждение?
>> Таких надо банить и по делом.
> правильно, чтоб остались только плагины, которые никому не нужны, включая их авторов,
> мальчиков с феноменальной зоркостью.
> Я, в целом, поддерживаю - кто играет с гуглем на деньги, сам
> виноват.
у меня есть yubico токен яжепраграммист
| | |
|
|
|
| 4.34, Аноним (-), 17:43, 04/08/2017 [^] [^^] [^^^] [ответить]
| +/– | |
> И это хорошо если тебе гугл вообще даст сходу войти с незнакомого адреса, если у них не сработает защита.
Какая защита? Если злоумышленник арендует хост в твоём регионе и часовом поясе, как гугл его от тебя отличит?
| | |
| |
| 5.42, Злоумышленник (?), 19:41, 04/08/2017 [^] [^^] [^^^] [ответить]
| +1 +/– | |
> Какая защита? Если злоумышленник арендует хост в твоём регионе и часовом поясе,
может мне еще и собственной кредиткой за него заплатить, чтоб совсем уж спалиться?
ломанул гнилую жумлу на vps'е, вот тебе и хост.
| | |
|
|
|
|
| 1.26, Kodir (ok), 15:05, 04/08/2017 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
 Вот что значит неконтролируемый выход в сеть - СУДИТЬ надо любую компанию, ПО которой вылезает в Интернет без разрешения автора.
Если бы плагины обновлялись по желанию юзера, инфицированная база была бы стократ меньше.
| | |
| |
| 2.28, Аноним84701 (ok), 15:40, 04/08/2017 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Если бы плагины обновлялись по желанию юзера, инфицированная база была бы стократ меньше.
А если бы кое-кто (не будем показывать пальцем на хромающего лидера и "законодателя мод" в мире веба, как и на на тройку отстающих-подражателей) вместо встраивания и дополнения все новыми и разными свистелками и перделками, сделал _нормальную_ aутентификацию, вместо старого доброго гоняния паролей в плейнтексте ... уводить учетки фишингом стало бы даже без двухфактроной аутентификации намного сложнее.
Но на этом же особо не попиаришься, поэтому лучше сделаем вид, что обертка в виде tls (ssl), в контексте передачи паролей – совсем не костыль, прикрученный скотчем, а как раз для этого и задумывался, угу.
| | |
|
| 1.54, НяшМяш (ok), 00:48, 05/08/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
 Если уж разработчики умудряются свои данные слить добровольно, то простых юзеров даже бить за это не хочется теперь.
| | |
| 1.59, Аноним (-), 17:29, 07/08/2017 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Да лаадна. Быть того не могёт. Дыряв только флеш. Остальные нашлепки на браузеры прочнее брони. Сами браузеры вообще не могут быть дырявыми. Никогда. Ни за что.
| | |
| |
| |
| 3.61, Аноним (-), 13:20, 08/08/2017 [^] [^^] [^^^] [ответить]
| +/– |
Сарказм - это приём сатиры, высшая степень иронии, он вообще не свойственен юмору.
| | |
|
|
|
