Ъ

Для Ъ: ПОЛЬЗОВАТЕЛИ САМИ ВИНАВАТЫ ЧТО ПОТЕРЯЛИ СВОИ ПОРОЛИ!!11 ЭТО ВСЁ ФИШИНГ И КЕЙЛОГГЕРЫ! ПРОВОКАЦЫЯ!!1 У НАС НИКАКИЕ ПАРОЛИ НЕ УТЕКАЛИ! ОНИ НЕ МОГУТ УТЕЧЬ, ПОТОМУ ЧТО НЕ ЖИДКИЕ.

Короче маркетинговый высер 9/10.

Пароли от почты практически нереально хранить НЕ открытым текстом.

Да ладно ?!

Из-за зоопарка протоколов почты и зоопарка протоколов аутентификации к ним.

Бред какой-то.

Насколько знаю, линуксоиды не пострадали, а виндузятники как то в том году огребли. Швабра: http://habrahabr.ru/post/204580/

есть моя почта.Пароль только бредовый,я такой никогда не ставил .

давай представим что на подбор одного пароля уходило 10 минут, перебирали каким-нибудь hashcat'ом. 10*1000000/60 = 166666 роботочасов

Это если предположить, что хэш с солью

Можешь его проверить? У хешей бывают коллизии

Это ты просто забыл. Старый бекап всё помнит. 1000000 паролей от почтовых ящиков Яндекса утекли в сеть (комментарий)

[wizard@home temp]$ echo "$( grep -P ':1234(?:5(?:6(?:7(?:8(?:9)?)?)?)?)?\s' ./1000000\ yandex\ accounts.txt | wc -l ) $(cat ./1000000\ yandex\ accounts.txt | wc -l) " | awk '{printf("%2.2f%%\n", $1 / $2 * 100)}'
4.91%

А это же почта, которую люди должны хранить как зеницу ока...

Всё понятно. Опер сказал — «не использующих», значит так оно и будет.

Расскажи, как ты себе представляешь сниффинг трафика, зашифрованного ssl.

Опер сказал

Какой в звезду опер? Ты же сам написал, что это требования к сорм.

Ты какой то адовый наркоман с полным отсутствием логики.

А это же почта, которую люди используют один раз, чтобы зарегистрироваться в соцсетях.

Чтобы зарегаться в вк, надо только телефон. Если я не ошибаюсь.

Ты намекаешь что в Яндексе работают полные дебилы? И почему именно брут? Почему не взлом?

«На всякий случай, опровергнем и спекуляции о предоставлении доступа сотрудникам спецслужб к серверам Яндекса. Мы никому не предоставляем ни пароли в открытом виде, ни даже их хеши. Сотрудники ФСБ, ЦРУ, АНБ, Моссада и других субъектов ОРМ не имеют доступа к серверам Яндекса».

А как же SPECTRE? Представители Яндекса об этом даже не упомянули. Дела плохие.

Я намекаю, что твои выкладки основаны на предположении.

Ясно-понятно.

появился комментарий яндекса: http://habrahabr.ru/company/yandex/blog/236007/

newpunkies, добавь пожалуйста ссылку

Abu @abunyasha · 28m

увели аккаунт от Cloudflare восстанавливаю

Нет ли здесь связи? Сосач предоставлял почту на яндексе, может и у абу она там была? :3

Это так мило, что даже мило.

mail.ru фсё

http://habrahabr.ru/post/236077/

Э, а где скачать-то?

как всегда: это не мы, это фишинг, а мы уже все пофиксили и сменили все пароли, а вы вот продолжайте дальше пользоваться. о том что они обосрались чуть ли не хуже за всю их историю - молчок, лицемерные дебилы.

и что самое смешное - найдутся верующие и дальше будут продолжать пользоваться.

вот видишь, при всей моей нелюбви к гуглу там сидят хорошие специалисты, к которым яндексу как до марса раком ползти.

Проверил.Нет.

Я менял пароль всего 2 раза.Новый пароль -старый + ещё 4 символа. А в той базе что то из цифр одних.Мыло с 2001 года вроде

http://habrahabr.ru/post/236077/#comment_7944791

Не увидел пруфа, прикреплённого к этому комментарию.

Отсутствие пруфа делает утверждение сомнительным, но не заведомо ложным.

Вообще эти выбросы яндексовых и мейлрушных паролей — хороший повод заняться аудитом своих аккаунтов для всех. Я не нашёл своих ящиков ни там, ни там, но это не значит, что их нет где-то ещё.

Расскажи, как ты себе представляешь сниффинг трафика, зашифрованного ssl.

Существует аж целых два способа:

• Получаем доступ к ключам корневых сертификатов и организуем MITM.
• Снифаем трафик там, где он ещё/уже не зашифрован, то есть в данном случае - со стороны сервиса.

Получаем доступ к ключам корневых сертификатов и организуем MITM.

Мелочь какая.

Снифаем трафик там, где он ещё/уже не зашифрован, то есть в данном случае - со стороны сервиса.

Зарубежные сервисы пошлют тебя лесом в ответ на подобную просьбу.

Мелочь какая.

Это не техническая проблема.

Зарубежные сервисы пошлют тебя лесом в ответ на подобную просьбу.

И после этого лесом будут посланы российские филиалы зарубежных компаний, владеющих сервисом =).

Это не техническая проблема.

Вероятность этого события крайне мала.

И после этого лесом будут посланы российские филиалы зарубежных компаний, владеющих сервисом =).

В теории и мечтах местных теоретиков. По сути все зарубежные сервисы как работали, так и работают, послав нафиг подобные реквесты.

И самое главное - в описании сорма не написано, что он расшифровывает SSL трафик (более того, там указано что перехватываются только незащищенные данные). Но местные параноики предпочитают не обращать внимания на этот пункт :)

Может многоходовочка от ФСБ, чтоб все свои аккаунты к номерам привязали? Проще пасти будет, тем более что яндекс.деньги популярны достаточно.

а я жду парочку паролей от парочки акк на gmail.com, ну очень нужно) тут вот читаю что и от mail.ru тоже есть уже на 4.5 млн

еще и майлуршные пароли утекли. Вероятно какие-то расширения браузера даже сливают

дуалбутом поди не пользуешься? :)

многоходовочка от ФСБ

Кто о чем, а вшивый о бане.

только на лэптопе. который не грузил месяц. + не храню/захожу на сайты с него.

и что самое смешное - найдутся верующие и дальше будут продолжать пользоваться

А почему — нет? Какое отношение тот же фейл Mail.Ru имеет к использованию top.mail.ru или возможный фейл Яндекса к использованию Я.Метрики, Я.Карт или Я.Маркета?

Это был сарказм, см. нить, на которую я сослался.

Мне давеча приходило какое-то письмо от яндекса с сабжем вроде «пожалуйста измените настройки», но я поленился его тогда читать (устал сильно), отложил и забыл. Может это оно, дома гляну что там было.

Если у них один сервис дырявый, то нет доверия и к остальным от той же конторы.

то нет доверия и к остальным от той же конторы

А при чём тут доверие? o_O Ты, что ли, доверяешь Гуглу, MS, Yahoo, FB, ВК и так далее? o_O

Какое отношение доверие имеет к использованию?

К сожалению уже не могу редактировать тему.

Огромное. Не доверяешь - не пользуешься, либо пользуешься ограниченно.

Не доверяешь - не пользуешься, либо пользуешься ограниченно.

Неужели в IT-бизнесе есть кто-то, кому ты доверяешь? o_O Тогда у меня для тебя плохие новости...

Да и таких организаций достаточно много. FSF среди них есть.

И самое главное - в описании сорма не написано, что он расшифровывает SSL трафик (более того, там указано что перехватываются только незащищенные данные). Но местные параноики предпочитают не обращать внимания на этот пункт :)

Интересно, а уже стали проверять куда его втыкают, или так и втыкают куда попало, например на резервные каналы для внутреннего пользования.

Да и таких организаций достаточно много. FSF среди них есть.

Имя, сестра^W^W Список в студию!

И, да, напомню наш контекст — речь о каких-нибудь массовых жирных сервисах с большими базами немаргинальных пользователей. Кому ты из таких доверяешь? Хотя бы 5-6 названий сможешь наскрести? Например, по категориям:

— Почтовые сервисы
— Социальные сети
— Картография
— Электронная торговля
— Хранение данных

Можешь привести таких, кому можно доверять? У кого не своруют базу пользователей, кто не сольёт данные по запросу спецслужб, кто не забросит/закроет завтра проект, кто обеспечит нормальное функционирование клиентов и т.п.?