Как люди прокалываются

Sep. 18th, 2014 12:28 am
vitus_wagner: My photo 2005 (Default)
[personal profile] vitus_wagner
http://krebsonsecurity.com/2014/09/dread-pirate-sunk-by-leaky-captcha/

Говорил великий [livejournal.com profile] batareegryz «Если готовишь салат в пыточной камере, не клади туда осьминога».

Аналогично, если ты делаешь нелегальный сайт, не важно, политический или торгующий за биткойны неодобряемыми правительством вещами, не используй веб-сервисов, не важно, коммерческих или некоммерческих. Все что попадает юзеру в браузер должно идти с твоего сайта. Иначе, если к тебе на страницу встроена, ну скажем, каптча с открытого интернет сервиса, плакала анонимность твоих юзеров. Придут с ордером туда, посмотрят логи, найдут там referer с твоего сайта...
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2014-09-17 09:17 pm (UTC)
From: [identity profile] max630.livejournal.com
Есть мнение, что вся эта сага о том как ловили silkroad - типа зашли через сервис капчи или случайно запалили автора на SO - есть только версия для публики, а в реальности действовала NSA магия. Если б я не верил в силу many eyeballs (причём пассивно, сам я алгоритмы и код tor не проверял и думаю даже не обладаю достаточными знаниями чтобы это сделать), я бы даже склонялся к тому же самому.

Date: 2014-09-17 09:17 pm (UTC)
From: [identity profile] max630.livejournal.com
но вообще good catch, да

Date: 2014-09-17 10:24 pm (UTC)
From: [identity profile] amarao-san.livejournal.com
Существует конспирологическая теория, что "кривую капчту" ему сфабриковали после того, как поймали на чём-то другом, что не могут показать в суде (ибо нелегальное доказательство - всё обвинение рушится).

Ждём, что сам Ульрих скажет после ревью дампа своего сервера.

Date: 2014-09-18 03:49 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
А какая разница, сфабриковали ему или не сфабриковали. Не использовал бы сервиса, не могли бы сфабриковать. Но вообще это ему, конечно кармическое наказание за использование капчи.

Date: 2014-09-17 10:57 pm (UTC)
From: [identity profile] maksa.livejournal.com
А можно про осьминога пояснить?

Date: 2014-09-18 03:20 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Пояснить трудно. Надо прочитать вот это, чтобы понять.

Date: 2014-09-18 07:04 am (UTC)
ext_659943: (Default)
From: [identity profile] kant-elz.livejournal.com
Ничего не понял... Почему нельзя осьминога класть в салат?

Date: 2014-09-18 07:16 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Для того, чтобы это понять, нужно читать великое произведение "Наббла-квадрат", ссылку я тут в комментариях уже давал.

Date: 2014-09-18 07:35 am (UTC)
ext_659943: (Default)
From: [identity profile] kant-elz.livejournal.com
Но я и произведение не понял. :о))

Date: 2014-09-17 11:22 pm (UTC)
From: [identity profile] the-anonymi.livejournal.com
Там вообще речь о том, что они не просто капчу запихнули, но отправляли с сервера силка запросы (такова модель рекапчи — для проверки, правильно ли пользователь ввел капчу, надо об этом спросить их сервер) на сервер рекапчи напрямую, а не через тор. Вот айпи сервера и заметили в FBI.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

vitus_wagner: My photo 2005 (Default)
vitus_wagner
My Website

June 2025

S M T W T F S
1 23 4 56 7
89 1011 12 13 14
1516 17 18 192021
22232425262728
2930     

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jun. 21st, 2025 03:22 pm
Powered by Dreamwidth Studios