Ответы пользователя по тегу Информационная безопасность
  • Как называется атака, когда шлют много параллельных запросов (не DDOS)?

    @azShoo
    Это выглядит как эксплуатация Race Conditions в коде.
    Название конкретной атаки я вам не скажу, и не уверен, существует ли оно в принципе.
    Ответ написан
    2 комментария
  • Как применить блокчейн?

    @azShoo
    Правило номер 0 гласит:
    Если вам нужен совет о том, как применить блокчейн - значит вам не нужен блокчейн.
    Ответ написан
    Комментировать
  • Как анонимизировать использование продуктов JetBrains?

    @azShoo
    Поднять в торе онион-сайтик с API, которое получает на вход исходники файла, пересохраняет их в файл через stdout и компилирует, возвращая вам сборку.
    В API стучаться из виртуалки с впн оформленного на дропа.
    Комментарии печатать с ошибками и на не-родной для девайса кодировке.
    Названия функций прогонять через три итерации гуглтранслейта.
    Ответ написан
    6 комментариев
  • Безопасно ил пользоваться автосохранением паролей в программах, включая браузеры?

    @azShoo
    Хранить пароли где-либо - не безопасно.
    Храните на бумажке - придут прочитают, храните в txt файле на рабочем столе - взломают и прочитают, храните "в голове" - придут с паяльником, выслушают и запишут.

    Дальше всё упирается в соотношение "ценность информации" vs "затраты на получение пароля".
    Никому не надо получать доступ к вашему компу, что бы открыть зип файл с котиками.
    Сделать то же самое, что бы получить доступ к платежной информации ваших клиентов - вполне.

    Фактически, большинство способов увода паролей сводятся к:
    1) Заставить пользователя его самостоятельно ввести где-надо. Фишинг, снифферы и прочее.
    2) Получить доступ к вашему компу\трафику с вашей стороны. Ну, вы поняли. Получили доступ -> открыли текстовый файл (или раздел "пароли" в браузере).
    3) Получить доступ к вашим паролям со стороны сервиса. Или атака на сам сервис, или на промежуточные звенья. Когда пароль или иная информация ловится на получении.
    Все три варианта в большинстве случаев применяются не "целенаправленно", а к широкому кругу лиц. Нашли уязвимость, заэксплойтили, собрали навар.
    Есть конечно ещё брутфорсы, социальная инженерия, пытки паяльником и ещё много радостей. Они уже применяются целенаправленно и почти не имеют смысла для среднестатистического юзера.

    И вообще, как Вы этим обходитесь? Пользуетесь автосохранением паролей?

    Сторонними хранилками паролей не пользуюсь. В браузере сохраняю только то, что не имеет фактической ценности. Для всего остального - по памяти.
    Не смотря на то, что сам защищаюсь по принципу неуловимого Джо. Пока работает.
    Пока хватало.
    Ответ написан
    5 комментариев
  • Как «наказать» горе-хакеров, пытающихся взломать сайт?

    @azShoo
    Радоваться тому, что ваши косяки ищут за вас.
    Ответ написан
    Комментировать
  • Как реализовать защитный механиз от проникновения на Android девайс ?

    @azShoo
    Вопрос в том можно ли написать программу которая будет выявлять удаленное подключения к телефону ?

    Мне кажется, или исходя из темы вашего диплома Вы должны знать ответ на этот вопрос и как минимум смутно представлять пути возможной реализации?
    Ответ написан
    Комментировать
  • Что нужно сделать когда я нашел баг в чужой ИС?

    @azShoo
    Вариант 1:
    Написать письмо. Вероятнее всего проигнорируют, если не проигнорируют - то не ответят. Если и ответят, то не исправят.

    Вариант 2:
    Смириться с несовершенством мира.

    Увы и ах, миллионы и миллионы сервисов присылают письмо с паролем в открытом виде (хотя это, само по себе, гораздо менее безопасно, чем хранить его в бд в открытом виде).
    Некоторые даже вместе с ответом на секретный вопрос.
    Почему? Ответ прост: всем, мягко говоря, не особо волнительно от этого факта.

    Вариант 3:
    Проэксплуатировать эту уязвимость, получить непредназначенные вам данные, связаться с СБ и объяснить.
    Велика вероятность получить люлей.

    Так же замечу, что в большинстве случаев, хранение пароля в открытом виде - не самая серьезная уязвимость.
    Ответ написан
    Комментировать