Ответы пользователя по тегу Защита от взлома
  • Как отыскать адрес памяти по строке?

    @nirvimel
    Адрес отыскать вполне реально (например, через упомянутый ArtMoney). Вот только адрес этот будет меняться как минимум при каждом запуске программы, а как максимум непрерывно каждые N миллисекунд в процессе ее работы (переменные на стеке в часто вызываемой функции). Поэтому само по себе значение адреса ничего не даст. Его придется заново искать вручную постоянно. Или писать патчер (но это длинная история).
    Ответ написан
  • Есть ли в других языках уязвимость вроде sql инъекции?

    @nirvimel
    Во всех языках, в которых существуют функция eval, возможна инъекция чего угодно через нее. И если в SQL еще можно как-то решить эту проблему при помощи правильного экранирования символов, то в Тьюринг-полных языках отличить зловредный код то безопасного теоретически возможно только одним способом: исполнив его в том же окружении и с теми же входными данными, что и в реальных условиях.
    Поэтому большинством сoding conventions (кстати, как это будет по-русски?) использование eval запрещено полностью. Code review в большинстве крупных компаний и крупных open-source проектах завернет любой pull-request, в котором будет обнаружен eval, и после этого, скорее всего, даже не станет рассматривать последующие реквесты от того же автора.
    Еще у многих антивирусов эвристический анализатор заточен на поиск eval в скриптах (включается после того как определен язык).
    Ответ написан
    Комментировать
  • Как защитить приложение клиент-банк от взлома?

    @nirvimel
    Подготовка:
    1. В чистую виртуальную машину с отключенной сетью ставится чистый Windows с лицензионного диска (никакая не СБОРКА! и не готовый образ).
    2. Никакой другой ПОЛЕЗНЫЙ софт на эту ВМ не ставится.
    3. Ставится банк-клиент, скаченный с официального сайта.
    4. Подключается сеть в режиме NAT.
    5. Заносятся все данные и ключи. Проверяется подключение к серверу (увидеть свой баланс).
    6. Делается снепшот виртуальной машины.

    Работа:
    1. Запуск ВМ. Работа в банк-клинте (как обычно). Откат ВМ к снепшоту, сделанному на этапе подготовки.

    Только не говорите, что это НЕ УДОБНО.
    Во-первых, это неправда; запустить/остановить/откатить VirtualBox (например) не сложнее, чем распечатать накладную в 1С.
    Во-вторых, если бы даже это было действительно не удобно, то это все равно не имело бы значения, когда речь идет о безопасности банковских операций.
    Ответ написан
    1 комментарий
  • Где хакеры выкладывают украденные фото знаменитостей?

    @nirvimel
    Изначально это мог быть совершенно любой файлообменник. Разумеется, как только ссылка разлетелась по сети, оригинал был сразу же зачищен. Но к этому времени скачавших уже сотни, среди них находятся те, кто выкладывают архив для дальнейшего распространения на много разных обменников, эти ссылки могут прожить уже дольше: несколько часов или дней. За это время их скачивают почти все, кто реально заинтересован в этой теме. Остальные, увидев новость, тыкнутся в гугл, сходу найдут не так много (все что можно легко найти через ПС быстро подчищается), обломаются и отвалят (нужно быть очень сильно мотивированным к данной теме, чтобы продолжать упорные поиски часами, таких людей мало).
    В конце концов этот архив окончательно вымываются из веба и остается только в P2P: Например в KAD (eMule/aMule) или еще глубже в I2P (iMule), оттуда его уже не выжечь, все что могут сделать представители пострадавшей стороны - это утопить реальный архив в куче подобных ему фейков (часто с троянами внутри).
    Ответ написан
    2 комментария
  • Как подготовиться к закону Яровой?

    @nirvimel
    1. Купите недорогой VPS (от $15/год, можно даже дешевле) и поднимите на нем личный VPN. В Сети есть куча подробных руководств как это делается. Только не надо говорить, что у вас нет на это денег, интернетом вы же не бесплатно пользуетесь. Просто примите это как небольшую дополнительную плату за интернет за ваш спокойный сон.
    2. Работая через VPN (обязательно), заведите себе новый почтовый ящик на зарубежном сервере у компании, у которой нет никакого бизнеса и любых коммерческих интересов в РФ. Пусть это будет не мажорный гигант индустрии, а скромная компания, малоизвестная в РФ. Главное - это наличие SSL в веб-интерфейсе и в IMAP, в остальном почта есть почта, она просто работает, и этого достаточно.
    3. Работая через VPN, заведите себе новый аккаунт в vk facebook и/или google (если вы неспособны полностью отказаться от использования социалок). При регистрации указывайте место проживания подальше от РФ. Учитывайте, что все гиганты индустрии, имеющие большой бизнес в РФ, полностью сотрудничает с ГБ, но аккаунты нерезидентов, зарегистрированные и посещаемые с зарубежных IP, они не станут сливать по умолчанию (но по первому запросу сольют мгновенно). Так что забудьте про любые приваты в социалках, ведите все общение так, как будто все это читает весь ваш квартал и все те, кому бы вам меньше всего хотелось это показывать. Для приватного общения пользуйтесь только безопасной почтой (пункт 2) и защищенными чатами, на telegram jabber на зарубежных серверах. Все это касается только тех, кто не может окончательно завязать с пагубной зависимостью от соц.сетей. Очевидно, наиболее безопасным (и полезным для здоровья) вариантом является полный отказ от социалок.
    4. Не вбрасывайте в старые ящики и соц.аккаунты адреса и ссылки на новые чистые, не указывайте новые адреса в любых исходящих и старайтесь, чтобы они не попали во входящие. Помните, что в любой социалке и любом веб-интерфейсе почты (сотрудничающей) кнопка "удалить" скрывает удаляемое только от вас самих и не более того.
    5. (Самый неприятный пункт) Забудьте про vk, mail.ru и российские gmail и facebook. - КАК? - Так! Я понимаю, что это не легко, что они давно стали частью вашей жизни. Но это придется сделать! Поговорите сами с собой, спросите себя что для вас важнее: ваша личная безопасность, спокойствие и крепкий сон или старые привычки, которыми вы опутаны, и которые не хотят отпускать вас? Учтите, что продолжая пользоваться местными социалками (и сотрудничающими иностранными), вы продолжаете каждый день генерировать на себя тонны компромата, который может обернуться против вас в самый неожиданный момент самым неприятным образом. Проявляя активность в своих старых аккаунтах, вы не даете им "протухнуть" и не даете даже формального повода добрым компаниям снести их через пол года, после истечения отведенного законом срока хранения (как известно, vk не ограничивается минимальным сроком хранения, а хранит все метаданные и текст практически вечно за исключением видео/аудио).
    Ответ написан
    26 комментариев
  • Может ли кто-то получить доступ к файлам сайта кроме хостинг провайдера?

    @nirvimel
    На ум приходит только несколько простых действий по настройке .htaccess, robots.txt

    robots.txt - не имеет никакого отношения к разграничению доступа, это просто некое соглашение между гугл-ботом и владельцем сайта, позволяющие не усложнять жизнь друг другу.
    .htaccess - это и есть конфиг Apache, определяющий как веб-сервер обрабатывает HTTP-запросы и что, как и кому (авторизация/сессии юзеров) отдает в ответ. Веб-сервер можно заставить отдавать/не_отдавать содержимое файловой системы как угодно. В общем случае содержимое "сайта" (такое расплывчатое понятие) "показываемое" (доступное) HTTP-клиенту совсем не обязательно повторяет структуру каталогов в файловой системе сервера (представление о том что веб-сервер "открывает" содержимое файловой системы в Сеть исторически сложилось благодаря соответствующей архитектуре Apache, который изначально разрабатывался для статических сайтов).
    Даже без всякого конфигурирования .htaccess на всех серьезных хостингах по умолчанию публично открыто только содержимое public_html (только на совсем школьных хостингах публичный доступ идет от корня по умолчанию), все что находится выше по уровню недоступно со стороны Сети (если только специально не открыть через .htaccess).

    spoiler
    Могут ли идейные люди ...

    Много таких "идейных" по весне оттаяло. Везде они могут получить доступ (на словах), хацкеры диванные, попугаи-попугайчики.
    Ответ написан
    Комментировать
  • Этично ли заказывать хак своего собственного сервиса?

    @nirvimel
    они же получат доступ ко всем данным

    Пусть этим человеком лучше окажется нанятый вами подрядчик, который уже получил за свою работу деньги, личность которого известна вам и которому нет никакого смысла рисковать своей репутацией и безопасностью ради того чтобы удовлетворить свое любопытство. Чем этим человеком станет кто-то совершено посторонний, неизвестный вам, ничего вам не должный, с неизвестными мотивами, возможно нанятый конкурентами или одиночка, озлобленный на весь мир, которому доставит удовольствие подгатить кому-угодно ради чувства собственного величия.
    Ответ написан
    Комментировать
  • Угнали Login Data и другие пароли, стоит ли бояться?

    @nirvimel
    1. Это не вирус, а троян (вирус, как минимум, способен размножатся без участия (использования) человека).
    2. Все что он стянул из профиля, под которым сам запущен, он сможет расшифровать (потому, что это может браузер, запущенный под этим юзером).
    3. Если он был запущен из-под администратора, то он стянул и расшифровал (или прихватил все необходимое для расшифровки) все хоть сколько-нибудь интересное из профилей всех юзеров на машине.
    4. Единственный случай, когда DPAPI могло бы чем-то помочь, это если бы троян, запущенный не под администратором, каким-то образом получил доступ к профилю браузера в профиле другого юзера, но не получил бы доступ к реестру того юзера (файл в корне его профиля). Случай вообще редчайший, и может рассматриваться число теоретически, потому что по-умолчанию права доступа закрывают все содержимое профиля одного юзера от другого (не администратора).
    Ответ написан
    1 комментарий
  • Можно ли спарсить зашифрованный сайт?

    @nirvimel
    Возможно зашифрован ваш браузер. В моем браузере эта страница ни разу не зашифрована.
    2ac843ebfc4a43a287028efb8de4f63c.png
    Ответ написан
    1 комментарий
  • Какая free cms менее уязвима для взломов?

    @nirvimel
    Какой же странный этот ваш PHP-мир. Самописные фреймфорки у вас безопаснее, развиваемых годами, ведущих open source проектов, на которых стоят миллионы сайтов. Я даже не знаю, это больше комплимент в сторону смелых и отважных разработчиков собственных фреймфорков, которым приходится повторять нелегкий путь, пройденный до них тысячами таких же борцов за безопасность, или это комплимент в сторону безгранично доверчивых клиентов, которые смело полагаются на безопасность ведущих в отрасли решений на основании того, что этими же решениями пользуются тысячи других контор с серьезными именами.
    Ответ написан
    Комментировать
  • Троян отслеживающий твои действия. Реальность или миф?

    @nirvimel
    Этот троян можно скинуть своему знакомому и тот запустив его незаметно, ...

    У меня просто ломается мозг, когда я пытаюсь представить как, находясь в полном здравии и трезвой памяти, можно на собственной машине запустить что-то незаметно (а потом еще незаметно ввести пароль администратора, чтобы впустить гадость в систему). Это выходит за рамки моего воображения. Как тогда не бояться гулять в парке где под кустами лежит собачий помёт, ведь можно же его проглотить незаметно?
    Ответ написан