Tegnap írtam a világ legnagyobb alapja a lopott jelszavak és honlap, ahol lehet ellenőrizni, hogy a fertőzött e-mail (ammo1.livejournal.com/1011988.html). Több mint félszáz kommentátor azt javasolta, hogy a helyszínen is ellopja a jelszavakat, összegyűjti az e-mailek és így de szellem. Egy kommentátor is írt "Alexey szükség, hogy távolítsa el postán vagy bocsánatot terjesztésének ilyen lazhy vagy hírneve lesz elhomályosította egy kicsités a „(helyesírási megőrizte a szabály” Ms-sek „a második évben a középiskolai elfelejtik).
Nézzük vizsgálja.
Troy Hunt, aki megalkotta a helyszínen https://haveibeenpwned.com, A szakértő az internet biztonságát. Itt egy cikk róla az angol Wikipedia: en.wikipedia.org/wiki/Troy_Hunt. Troy tartja a blog szentelt internetes biztonság troyhunt.com.
A kiszivárgott hírek a bázist egy milliárd jelszavakat írt tegnap nem csak nekem. Itt kiadvány Habra kiadás: habr.com/ru/post/436420. Itt jelennek meg a Kaspersky Lab: facebook.com/KasperskyLabRussia/photos/a.133379716735218/2440782895994877. Ezt írta TASS, RBC és Echo Moszkva Sok más média.
Mozilla cég, amely megteremtette a népszerű böngésző FireFox, elindított egy szolgáltatást szivárgás ellenőrzés monitor.firefox.comAz API helyén haveibeenpwned.com, de nem továbbítja ellenőrizhető e-mail címét (továbbítása csak hash).
Ez a szolgáltatás kényelmes, mert ez csak azt mutatja a területek, ahol a szivárgás történt pár e-mailt, jelszót, és az időpont, amikor ez történt. Az én elsődleges címe jelenik öt szivárog a 2011-2013.
És még a helyén Troy lehet letölteni bázis hash a jelszavak (nem egyértelmű szöveges jelszavak, hanem a CSM ellenőrző amely feltétlenül ellenőrizze, hogy a jelszó az adatbázis).
Mindezek alapján a fenti tényezők, úgy tűnik, hogy a helyszínen meg lehet bízni, és haveibeenpwned.com e-mail és jelszó nem gyűjt a készítője nem támadó.
Azt hiszem, a legtöbb helyes lenne csinálni egy nagyon egyszerű dolog, hogy azt mondtam tegnap. Ha a helyszínen, amikor belép egy e-mailt küldött e-mail levélben, hogy az e-mail címet következő jelszavakat szivárgás kimutatható és ezáltal az explicit formában minden pár felhasználónevét és jelszavát megjelölésével a helyszínen, hogy folyt, és a dátumot szivárgás, nem kétséges, hogy jóval kisebb lenne, és használat több. Ismét egy pár egy e-mail jelszó nem lehet csak egy levelet küldeni a címét sérül, azt hiszem, ez elég biztonságos.
Most arról az országról. Többen írtak, hogy az injektálás helyén nem létező e-mail címét és honlapján számolt be, hogy szerinte az van szivárgás. Próbáljuk kijavítani. Kérjük, ellenőrizze az időt még az ilyen nem létezik, vagy újonnan regisztrált címek https://haveibeenpwned.com és monitor.firefox.com és beszélni az eredményeket, hivatkozva az e-mail, hogy én és mások is tudták, hogy ellenőrizze őket.
© 2019 Alex Nadozhin