Wczoraj pisałem o największej na świecie bazy skradzionych haseł i stronie internetowej, gdzie można sprawdzić, czy zagrożona swój e-mail (ammo1.livejournal.com/1011988.html). Ponad pół setki komentatorzy sugerowali, że strona sama jest kradzież haseł, zbiera e-mail pod kątem spamu i tak jest de duch. Jeden z komentatorów napisał nawet "Alexey potrzeba, aby usunąć wpis lub przeprosić za rozpowszechnianie takich lazhy lub reputacji będzie trochę nadszarpniętai „(pisownia zachowana zasada” Ms-szeka „od drugiego roku szkoły średniej jest zapomniany).
Załóżmy zbadać.
Troy Hunt, który stworzył stronę https://haveibeenpwned.com, Jest ekspertem w dziedzinie zabezpieczeń internetowych. Oto artykuł o nim w angielskiej Wikipedii: en.wikipedia.org/wiki/Troy_Hunt. Troy prowadzi blog poświęcony bezpieczeństwa w Internecie troyhunt.com.
Na wieść o wycieku bazy z miliarda haseł napisał wczoraj nie tylko ja. Oto publikacja Habra wydanie: habr.com/ru/post/436420. Tutaj są publikowane przez Kaspersky Lab: facebook.com/KasperskyLabRussia/photos/a.133379716735218/2440782895994877
. Dokument ten został napisany TASS, RBC i Echo Moskwy wiele innych mediów.Mozilla firma, która stworzyła popularną przeglądarką Firefox, rozpoczęła sprawdzanie szczelności serwis monitor.firefox.comKorzystanie z witryny API haveibeenpwned.com, ale nie przesyła go do zweryfikowania adres e-mail (przekazane jedynie skróty).
Usługa ta jest wygodna, ponieważ to właśnie pokazuje miejsca, gdzie wyciek pary wystąpiły hasło e-mail oraz datę, kiedy to się stało. W moim podstawowym adresem wyświetlana jest pięć wycieków 2011-2013.
I więcej na stronie Troi można pobrać bazowe hashe haseł (nie jest jasne haseł tekstowych, ale sumy kontrolne które na pewno może sprawdzić, czy hasło w bazie danych).
W oparciu o wszystkie podane wyżej czynniki, wydaje się, że witryna może być zaufany i haveibeenpwned.com dowolny e-mail i hasło, to nie odbierze jego twórca nie jest atakujący.
Myślę, że najbardziej właściwe byłoby zrobić bardzo prostą rzeczą, że mówiłem wczoraj. Jeśli witryna po wprowadzeniu e-mail wysłany do niniejszego listu e-mail przeciek wykryty ten adres email następujących haseł i doprowadziły do wyraźnej formie wszystkie pary login i hasło ze wskazaniem miejsca, które wypłynęły i wycieku data, nie ma wątpliwości, że będzie znacznie mniejszy i wykorzystanie więcej. Po raz kolejny, parę z adresem e-mail hasło musi być tylko w liście wysłanym na adres zainfekowanym, myślę, że jest całkiem bezpieczne.
Teraz o tym kraju. Kilka osób pisało, że wstrzykiwane witryna nieistniejące adresy e-mail i strony internetowej poinformował, że według niego nie ma nieszczelności. Spróbujmy go naprawić. Proszę sprawdzić czas nawet takich nieistniejących lub nowo zarejestrowanych adresów na https://haveibeenpwned.com i monitor.firefox.com i mówić o wynikach, powołując się na e-mail tak, że ja i inni również mogli je sprawdzić.
© 2019 Alex Nadozhin