ugrás a tartalomhoz

Hackers expose 453,000 credentials allegedly taken from Yahoo service

eddig bírtam szó nélkül · 2012. Júl. 12. (Cs), 17.24
Jelszavakat loptak a Yahoo-tól, többszázezres nagyságrendben
 
1

Ez nagyon durva, ha igaz:

eddig bírtam szó nélkül · 2012. Júl. 12. (Cs), 17.10
Ez nagyon durva, ha igaz: állítólag SQL injectiont használtak a bejutáshoz és plain textben tárolt jelszavakat hoztak el.
Mindenesetre első dolgom volt jelszót változtatni.
2

Broken

Poetro · 2012. Júl. 12. (Cs), 20.03
Ahogy nézem, jelenleg a Yahoo! Mail bejelentkező oldala teljesen broken, ez valószínűleg igaz a többi Yahoo szolgáltatás beléptetésre is. Legalábbis bekapcsolt JavaScript mellett nem lehet bejelentkezni. Kikapcsolt mellett pedig a belépés után egy JSON fájlt kap az ember válaszul, ami nem túl hasznos.
3

Akkor kezdjek új víruskergető

eddig bírtam szó nélkül · 2012. Júl. 12. (Cs), 20.15
Akkor kezdjek új víruskergető után nézni?
Mert szokásomtól eltérően, most IE-ből vagyok belépve a ymail.com-on és riasztás nem jött... márpedig az meglepne, ha egy ilyen törés nem járna együtt valami malware terjesztéssel. :(

---
update: közben megnéztem linux alól, nekem működik. Legalábbis kikapcsolt JS mellett.
5

Egy SQL injection alapú

tgr · 2012. Júl. 13. (P), 01.59
Egy SQL injection alapú jelszólopás miért járna együtt malware terjesztéssel?
6

Poetro azt írta, hogy az

eddig bírtam szó nélkül · 2012. Júl. 13. (P), 05.30
Poetro azt írta, hogy az oldallal is van valami gubanc.
Nekem elsőre az jött le, hogy ezek szerint feltörték.
Ha így feltörik, akkor esélyes, hogy valami egyéb szemét is odakerül. Igaz, nálam azóta is működik normálisan javascripttel és anélkül egyaránt.
(ellenben kedvenc játékoldalam, a ninjakiwi.com elég "érdekesen" néz ki tegnap este óta... És mintha lenne valami yahoo-s kötődése a társaságnak. :-( )
8

Megjavult

Poetro · 2012. Júl. 13. (P), 13.19
Mára megjavult a beléptetési rendszer, valószínűleg valami gyors foltozás eredménye volt, hogy tegnap nem ment.
9

Furcsa

eddig bírtam szó nélkül · 2012. Júl. 13. (P), 13.31
Én akkor rögtön kipróbáltam több gépről is, amikor olvastalak. Nekem működött engedélyezett és letiltott JS mellett is.
10

CDN

Poetro · 2012. Júl. 13. (P), 14.16
Lehetséges, hogy másik CDN-ről kaptuk az adatokat.
4

Az utóbbi időben

gabesz666 · 2012. Júl. 12. (Cs), 22.51
Az utóbbi időben egyre több - az IT / elektronika - területén meghatározó cégről derül ki, hogy iszonyatos rések vannak a rendszereiken. Nem fér a fejembe, hogy hogy fordulhat elő ilyen. Én azt gondolnám, hogy egy ilyen cégnél, mint pl. a Yahoo vagy Sony vérprofi mérnökök vannak, akik ennél nagyságrendekkel szofisztikáltabb támadást is kivédenek. Közben meg úgy tűnik, hogy az ott dolgozók egy része még egy alapvető biztonsági teszten is megbukna. Vagy értenek hozzá csak ennyire igénytelenek a munkájukkal szemben? De akkor is: ilyen nagy cégnél teszter team nincs? Vagy valami céges policy az alapvető biztonsági kérdésekkel kapcsolatban? Szóval magyarázza már ezt el valaki nekem :)
7

Mítosz

Wabbitseason · 2012. Júl. 13. (P), 12.39
Lehet, hogy a Petőfi Sándor idején készített rendszer a telepítése óta kikapcsolás nélkül működik és -- reklámok megjelenítésével -- kiszámítottan termeli a bevételt.

Feltételezhető, hogy nem egyetlen, homogén rendszerről van szó, hanem olyanról, ami "organikusan fejlődött": sokan, sokféleképpen fejlesztettek hozzá, míg a hatalmas katyvaszban már senki sem ismeri ki igazán magát -- még az a néhány "kocka" sem, akik viszont szociális képességek híján eleve képtelenek érthetően ismertetni a veszélyforrásokat, és mivel nem tudnak a "business" fejével sem gondolkodni, kivitelezhető megoldást sem ajánlhatnak.

Ezért aztán az öltönyös srácok azt teszik, amit ilyenkor tenni szoktak: csattogtatják az ostort, hasraütéssel találnak ki határidőket, zsíros hirdetési szerződéseket kötnek előre, és követelik, hogy a szekér haladjon feleannyi lóval és felannyi zabbal is, szóval élnek a maguk kis álomvilágában. Amikor pedig 2--3 év múlva be kellene mutatni a project eredményét -- hogy, hogy nem --, új kihívások után áhítozva átszökkennek egy másik multihoz, még nagyobb fizetésért.

A kockafejűek is hasonlóan működnek: morognak kicsit, de a legtöbbjük már rájött, hogy szakmai dicsőséget nem a multicégeknél kell keresni, oda fizetésért jár az ember. Tapasztalatom szerint az ilyen cégeknél a "vérprofi" mérnökök 90%-a tehetségtelen sarlatán, akik azért dolgoznak multicégeknél, mert csak a beszélőkéjük jó, de valójában szakmailag le vannak maradva minimum 10--15 évvel, és nincs idejük/ambíciójuk az ilyen jellegű fejlődéshez, arról nem is beszélve, hogy gyakran egyszerűen nincs büdzsé a tisztességes fejlesztéshez és teszteléshez. KrisnaPista napi két dollárért anyanyelven beszéli a Javát, és ha ilyenekből felbérelsz mondjuk ezret, akkor egy év alatt össze fognak gyurmázni valamilyen eszközt, ami nagyjából azt csinálja, amit a valaha összetákolt specifikáció megfogalmazott, és máris lehet ünnepelni. Nem teljesen irreális az a vicc, ami valahogy úgy definiálja a project managert, hogy "az az ember, aki szerint 9 várandós nő 1 hónap alatt tud gyereket szülni". Scrum FTW, még hogy waterfall...

Néha, amikor efféle betörések történnek, van ugyan egy kis kotkodácsolás a tyúkólban, talán le is fejeznek egy-két bűnbakot, de mert nem hatalmas banki vagy katonai titkokról van szó, nincs komoly következménye ezeknek, és amúgy is hamarosan előkerül valami új cirkusz, ami elvonja róluk a figyelmet.
11

De legalább a wordlist

deejayy · 2012. Júl. 17. (K), 09.40
De legalább a wordlist bővült.

:D
12

Mint minden altalanositas, ez

virág · 2012. Júl. 18. (Sze), 18.07
Mint minden altalanositas, ez is csak feligazsag. Nem minden multi egyforma, nem minden kisebb ceg egyforma, szerintem abbol amit irtal csak annyi igaz, hogy vannak olyan "szakik" akik nem hajlandoak fejlodni. Vannak vallalatok, ahol konnyebben megmaradnak az ilyenek, vannak ahol nehezebben, de barhol fellelhetoek. Kisebb cegeknel is, minden szakteruleten... csak konyorgok...ne altalanositsunk, mert semmi ertelme. :)