{imgicourl}{zamok}
<< предыдущая заметкаследующая заметка >>
09 февраля 2015
удобнейшая авторизация от TeddyId.com

Сегодня расскажу про крайне полезный сервис teddyid.com, который я изучил и привинтил к движку в своем блоге. Это - двухфакторная система авторизации, которая позволяет забыть о паролях (и их утечках) не только на сайтах, где эта система установлена (например, на моем), а вообще на любых сайтах интернета (плагин к браузеру). А для банков, организаций и юрлиц это еще специальный сервис: цифровые подписи, ведение некоторой документации и учета.

Идея в том, что одним из гарантов индентификации является не только компьютер, с которого производится действие, но и личный смартфон, с которым система в нужный момент выходит на связь и запрашивает подтверждение (а также сайт может задавать по API и произвольные вопросы, получая от пользователя ответ со смартфона). Забегая вперед, скажу, что в такой системе важна реализация и юзабилити, и здесь это на высоте: все происходит быстро и удобно.

предыстория

Существующая система паролей в интернете, мягко говоря, устарела. Время от времени где-то чей-то аккаунт ломают, и пользователь начинает громко жаловаться на "подобранный" пароль. Чего в реальности практически не бывает, потому что пароли уплывают после взлома компьютера или методами социальной инженерии. Но дело не в этом. Разработчики систем, напуганные жалобами пользователей, начинают изобретать методы усложнения паролей: и чтоб не менее 8 символов, и чтоб разного регистра буквы, и чтоб была хотя бы одна цифра или спецсимвол... В результате пароль получается таким, что запомнить его нереально (особенно если активно живешь в сети и постоянно где-то регистрируешься). Соответственно, пользователь начинает запоминать пароль в браузере, записывать на бумажке над рабочим столом, соответственно риск угона возрастает... замкнутый круг.

С проявлением мобильников в качестве личного аксессуара некоторым (в первую очередь платежным системам) стала приходить в голову идея двухфакторной авторизации - когда при логине система просит подтверждение с использованием личного мобильника. Однако это обычно оставалось на уровне "дождитесь SMS с кодом и введите его сюда".

Создатели проекта teddyid.com пошли дальше - они предложили избавиться от паролей вообще, забыв их как страшный грех.

В настоящее время система teddyid.com предлагает несколько полезных вещей: для простого пользователя, для разработчика сайтов и для корпорации. Расскажу по порядку.

TeddyId для рядового пользователя

Менеджер паролей от TeddyId работает для любого сайта - даже если сайт ничего не знает о TeddyId. Смотрим короткий ролик:

Как это устроено технически? Плагин к браузеру, который взаимодействует с приложением teddyid на смартфоне. Плагин активизируется при наличии на странице любого сайта формы INPUT/password ввода пароля. При первом вводе плагин предлагает запомнить пароль в системе teddyid (можно отказаться). Далее пароль преобразуется современными криптографическими методами на две шифрованные части. Одна часть запоминается на сайте teddyid, другая - в локальном хранилище браузера и копия в смартфоне. Всё, пароля больше нет нигде. Заполучив лишь одну часть, расшифровать его нельзя. С тех пор при посещении этого сайта плагин будет предлагать ввести пароль через teddyid - достаточно нажать "да" на смартфоне, и пароль введен (собран из двух кусков, дешифрован и подставлен в форму). Что будет, если вы переустановили браузер, Local Store очистилось и половина шифропароля утерялась? Не проблема, она сохранилась в смартфоне, всё будет восстановлено при логине. Что будет, если украли смартфон или он сменился? Не проблема, на сайт teddyid можно войти по-старинке, через код, а в своем аккаунте отключить старый смартфон и активизировать новый - данные снова запишутся. Ну, разумеется, если одновременно убить и браузер и смартфон, пароли будут утеряны, но это ж надо постараться.

Я поставил себе, разумеется, и это оказалось ОЧЕНЬ удобно. Особенно меня бесил сайт Aliexpress, который разрывает сессию через полчаса после ухода со страницы и требует вводить пароль заново.

Что надо сделать простому пользователю, чтобы обезопасить себя от кражи пароля (шифропароль из двух частей украсть не в пример сложнее) и облегчить себе жизнь? Три простых шага:

1) Установить на свой смартфон приложение, оно есть под все мыслимые мобильные платформы (а для безнадежно старинных есть даже java-приложение):

    

2) Завести аккаунт на https://teddyid.com Там все просто. Причем, со смартфона достаточно из приложения сфоткать QR-код на экране, и все само сконнектится.

3) Установить в браузер плагин Teddyid. Плагины тоже есть для любого браузера, кроме Opera (и тот скоро будет): Chrome, Firefox, Explorer, Safari.

Плагин первые 30 дней бесплатный, далее если понравился, его можно одноразово купить за 0.99$. Этот плагин лишь одна из вариаций. Система логина для сайта (например, моего), о которой пойдет речь ниже, бесплатна в непромышленных количествах.

TeddyId для разработчика сайтов

Если вы хотите, чтобы ваши пользователи (независимо от того, установлен ли у них плагин) могли логиниться через эту систему, вы можете установить ее себе на сайт. сделать это очень просто, достаточно вставить в код одну строку:

<script src="https://www.teddyid.com/js/teddypass.js" defer></script>

И смело рисуйте на странице свою форму ввода пароля - браузер посетителя отреагирует так же, словно в нем установлен плагин, описанный в предыдущем разделе.

Способ со вставкой одной строки прост и эффективен, но для серьезного проекта конечно есть более грамотный: API авторизации. Оно подробно описано и не сложно в реализации (есть и готовая библиотека PHP, но я по привычке рисовал код сам).

Помимо простого логина, API позволяет еще много интересных вещей. Например, делать запросы на мобильник и получать ответ "да" или "нет". Что позволяет делать безопасные вещи в разных сетевых проектах. "Вы действительно хотите удалить свой фотоальбом или маленький братишка играется у забытого ноутбука?" - да, нет? "Вы хотите открыть свой архив личной переписки или это жена включила комп и открыла ваш аккаунт в соцсети?" - да, нет? Невероятное количество проблем можно было бы решить, будь подобная настройка (по желанию) на всех крупных проектах.

У меня сайт сейчас умеет через TeddyId (если его подключить и выставить соответствующие галочки в настройках):
- подтверждение любых изменений в личной карточке (смена пароля, юзерпика - кстати, загрузку и смену юзерпика я вчера сделал тоже, welcome :)
- подтверждение входа в архив личных сообщений (жена не должна лезть в переписку мужа)

А также оповещения:
- оповещение о новом личном сообщении
- оповещения об ответе на ваш комментарий
- оповещения об ответе автора блога на ваш комментарий

В оповещениях мил тот факт, что они приходят на смартфон, когда вы не за компьютером. Отвечать на них "да" или "нет" не надо. При этом надо учесть, что оповещения - штука ненадежная, они могут не прийти вообще, а при появление следующего оповещения предыдущее затирается. Кроме того, оповещения не личные, а массовые ("всем читателям: вышла новая заметка!") делать нельзя. Во-первых, это запрещено политикой, например, Apple. Во-вторых, достаточно во-первых, и сервис TeddyId массовым рассылкам рад не будет, отключат.

Для иллюстрации примера запроса API я сделал вот эту кнопку:

Каждый, кто залогинился на моем сайте через teddyid, может нажать эту кнопку и увидит вышеописанную пикантную фотку. Остальным - радость недоступна :)

Чтобы залогиниться на моем сайте через teddyid, просто откройте личную карточку и нажмите кнопочку "добавить" в строчке "teddyid". Это дополнительный способ логина в добавок к местному паролю и соцсети (можно логиниться любым из трех методов).

Для владельцев моего движка - обновитесь с lleo.me/dnevnik (на остальные источники я пока обновления не накатил), а в config.php добавьте две строки: номер учетки, полученный при регистрации вашего сайта в личном кабинете на teddyid.com ("узлы"-"настольное приложение") и секретный ключ, который вы вбили там же при регистрации, у меня это так:

$teddyid_nodeid='488';
$teddyid_secretkey="Vereshagin, uhodi s barkasa 12345!";

TeddyId для организаций

Поскольку основная монетизация проекта идет с организаций (сервис бесплатен для простых пользователей и сайтов с количеством регистраций до 1000 в сутки), для организаций здесь сделано особенно много - системы документооборота, ведения документов, учет сотрудников и цифровая электронная подпись. Что тоже несказанно удобно, потому что все это работает по двухфакторной системе через смартфон. Для банков, организаций, офисов эта система будет очень полезна, потому что не только решает вопросы безопасности, но и дает удобный деловой сервис. Я зарегистрировался там как ИП, осталось пройти подтверждение:

Интервью с разработчиками

В процессе освоения системы я много переписывался с разработчиками и даже слал предложения и идеи разной степени глупости. В итоге я даже попросил Антона Чурюмова ответить на несколько вопросов специально для блога:

Кто разработчики?

Команда небольшая, всего 4 человека сейчас.

Как пришла идея?

Меня давно достали пароли, запоминать их невозможно, а процесс копирования из парольного менеджера был слишком трудоемким. В то же время я работал тогда над платежным агрегатором Platron.ru, где требовалась усиленная безопасность, которую не может обеспечить даже самый сложный пароль. Хотелось сделать двухфакторную защиту, но без неудобств, характерных для существовавших тогда реализаций двухфакторной защиты. В итоге придумал ту схему, которая легла в основу Teddy ID. Но главная причина, почему идею захотелось реализовать (одного наличия идеи для этого мало), это то, что нам удалось разрушить стереотип о том, что улучшение безопасности возможно только ценой уменьшения удобства. Нам удалось убить двух зайцев - усилить безопасность и сделать логин удобнее. Мне нравятся такие моменты когда рушится старый стереотип.

Столкнулись ли с какими-то трудностями в реализации?

В технической реализации особых сложностей не было. Были разные проблемы, но они все решались. Продвижение на рынок оказалось сложнее, чем я ожидал. Обычное недоверие к новым неизвестным компаниям, особенно в области безопасности, здоровый консерватизм пользователей (буду логиниться как привык, как везде), проблема курицы и яйца (пока почти нет сайтов, которые принимают TeddyID, зачем заморачиваться установкой приложения, и обратно: пока нет пользователей, ...), и неготовность и даже часто неспособность многих пользователей самостоятельно ставить на свой телефон вообще какие-либо приложения, кроме предустановленных.

Что-то планируется добавить в проект в будущем?

Планируем решить проблему логина на том устройстве, где установлено приложение. Множество небольших изменений, которые улучшат user experience в некоторых сценариях использования. Будем смотреть за пользователями и адаптироваться под то, что им нужно.

Каким видится основной пользователь?

Компании, использующие облачные сервисы (Google Apps, Salesforce, ...) и желающие иметь удобную двухфакторную защиту доступа к корпоративным данным для своих сотрудников. Также компании, использующие разделяемые между несколькими сотрудниками пароли для доступа к другим сервисам и желающие навести порядок в этом хозяйстве (прекращение доступа для уволенных сотрудников, автоматическое предоставление доступа новым сотрудникам).

Насколько надежно защищен сервис от взлома, DDOS-атак, аварий? Сервера только в России?

Сервера только в Германии :) Чтобы уберечься от аварий дата-центров, мы держим два одинаковых сервера в разных дата-центрах. Проходим регулярное сканирование на уязвимости, но в целом строим архитектуру так, чтобы как можно меньше интересной для взломщиков информации хранилось у нас.

В общем, рекомендую. Если какие-то вопросы по использованию, API, его работе, встраиванию, программированию) - спрашивайте, я неделю в эту систему въезжал в мельчайших деталях и достаточно подробно разобрался (и с разработчиками много беседовал), так что подскажу, объясню. Может, в комментариях и сами разработчики будут, ответят на вопросы.

<< предыдущая заметка следующая заметка >>
пожаловаться на эту публикацию администрации портала
архив понравившихся мне ссылок
Оставить комментарий
Windows Safari Chrome
 Москва
0
0
vivliofika
маладэц. Сделал очень полезное дело.
Windows Firefox
 Челябинск
1
0
vinny-the-poo
«Каждый, кто залогинился на моем сайте через teddyid, может нажать эту кнопку и увидит вышеописанную пикантную фотку. Остальным - радость недоступна :)»

На главной странице ЖЖ, там, где список топовых тем, в Промо всегда болтается тема, обычно с привлекательным заголовком, которую нельзя открыть, если вы ещё не перевели ваш блог в новый формат.

Такая мотивация — это фууууууууууу!

Так вот, только что проверил, вроде это наглое ограничение уже снято. Так-то.
Windows Firefox
 Израиль
20
0
braintunic
> Хотите увидеть голую Кенгу с заниженной самооценкой?
> Каждый, кто залогинился на моем сайте через teddyid, может нажать эту кнопку и увидит вышеописанную пикантную фотку. Остальным - радость недоступна

Да лвдно, тоже мне проблема - увидеть голую Кенгу с заниженной самооценкой ;)


Windows Safari Chrome
 Москва
0
0
AllaDimm
Вот теперь все работает.
Очень удивило что плагин к Chrome за деньги.
И заплатить придется за каждое устройство где мне придет в голову использовать TeddyID Password Manager. Как-то это не правильно по моему...
Еще смущают картинки. Это конечно гламурненько, но пин код или просто запрос да/нет был бы уместнее в местах где аутентифицирующее устройство (телефон) имеет узкий канал связи (картинки ведь на телефон из сети грузятся или нет?).
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Набор картинок, насколько я успел заметить, стандартен. Скорее всего, они в поставке приложения - в FAQ написано, что соединение 100 меньше байт: https://www.teddyid.com/faq.php
Windows Safari Chrome
 Москва
1
0
AllaDimm
А все равно гламур, притом не очень уместный во вполне взрослом приложении.
Но деньги за каждый плагин брать, все равно не порядок. За пользование менеджером паролей, справедливо и логично, а за каждую установку на каждое устройство - нет.
Я кстати тоже сервисом проникся. Уже фирму зарегистрировал и денюжку послал "за подтверждение подлинности лица". Интересно их ЭЦПшка на всяких roseltorg-ах и прочих micex-ах прокатывает...
Windows Safari Chrome
 Москва
0
0
AllaDimm
Кстати их plugin не схватывает авторизацию на youmagic.pro, хотя встроенный менеджер паролей Google Chrome сохранить юмейджиковский пароль предлагает..
Linux Firefox
 Москва
3
1
Фыва Jr Олдж
Нет, картинки по интернету не грузяцо. Вот они, все картинки:

[fywa@oldzh ~]$ ls ~/mywork/Teddy/102033E6/midlets/\[1018df3d\]/rms/
_1_0_02e_j_p_g.rs _1_22e_j_p_g.rs _3_02e_j_p_g.rs _5_42e_j_p_g.rs _7_82e_j_p_g.rs
_1_0_22e_j_p_g.rs _1_2_42e_j_p_g.rs _3_22e_j_p_g.rs _5_62e_j_p_g.rs _8_02e_j_p_g.rs
_1_02e_j_p_g.rs _1_2_62e_j_p_g.rs _3_42e_j_p_g.rs _5_82e_j_p_g.rs _8_22e_j_p_g.rs
_1_0_42e_j_p_g.rs _1_2_82e_j_p_g.rs _3_62e_j_p_g.rs _6_02e_j_p_g.rs _82e_j_p_g.rs
_1_0_62e_j_p_g.rs _1_42e_j_p_g.rs _3_82e_j_p_g.rs _6_22e_j_p_g.rs _8_42e_j_p_g.rs
_1_0_82e_j_p_g.rs _1_62e_j_p_g.rs _4_02e_j_p_g.rs _62e_j_p_g.rs _8_62e_j_p_g.rs
_1_1_02e_j_p_g.rs _1_82e_j_p_g.rs _4_22e_j_p_g.rs _6_42e_j_p_g.rs _8_82e_j_p_g.rs
_1_1_22e_j_p_g.rs _2_02e_j_p_g.rs _42e_j_p_g.rs _6_62e_j_p_g.rs _9_02e_j_p_g.rs
_1_1_42e_j_p_g.rs _2_22e_j_p_g.rs _4_42e_j_p_g.rs _6_82e_j_p_g.rs _9_22e_j_p_g.rs
_1_1_62e_j_p_g.rs _22e_j_p_g.rs _4_62e_j_p_g.rs _7_02e_j_p_g.rs _9_42e_j_p_g.rs
_1_1_82e_j_p_g.rs _2_42e_j_p_g.rs _4_82e_j_p_g.rs _7_22e_j_p_g.rs _9_62e_j_p_g.rs
_1_2_02e_j_p_g.rs _2_62e_j_p_g.rs _5_02e_j_p_g.rs _7_42e_j_p_g.rs _9_82e_j_p_g.rs
_1_2_22e_j_p_g.rs _2_82e_j_p_g.rs _5_22e_j_p_g.rs _7_62e_j_p_g.rs _p_r_e_f_e_r_e_n_c_e_s.rs
[fywa@oldzh ~]$

То есть они устанавливаются в телефон вместе с приложением, изначально. С сервера приходит только номер картинки какую надо показывать.
Mac Safari
 Израиль
0
0
braintunic
И еще насчет их Password Manager.
Не нашел у них явного описания, но вроде бы все плагины предоставляются только для браузеров на Windows.

То есть, на Linux - не судьба?
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Это же браузерные плагины. У меня в Firefox установился.
Linux Safari Chrome
 Израиль
0
0
braintunic
Ну далеко не все браузерные плагины, работающие на Windows, будут работать и на Linux.
Если у них работают, прекрасно.
Linux Ubuntu Firefox
 Москва
4
0
Leonid Kaganov
Насколько я знаю, браузерные AddOns - они кроссплатформенные скрипты.
Linux Firefox
 Москва
2
0
Фыва Jr Олдж
Вот я тоже всегда так думал. Они же работают в операционной системе "Браузер", которая одинакова во всех OS, где есть данный браузер. Разве это не так? Не заставляйте меня терять веру в доброе добро и вселенский инопланетный разум, утверждая что это не так.
Windows Safari Chrome
 Москва
0
0
vivliofika
предыдущая аватара смотрелась лучше. Верни Хью
Mac Safari Chrome
 Herndon
1
0
bugabuga
Ну некоторые типа LastPass ещё примочками пользуются для улучшения безопасности :)
Linux Firefox
 Киев
1
0
Л. Янукович
Не всегда - иногда туда упаковывают и бинарники, если они нужны для работы. Например, упомянутый тут LastPass из JavaScript'а подключает свою библиотеку в .so/.dll файле - загляните как-нибудь для интереса в их .xpi.

PS Несколько смущает, что пароли для сохранения TeddyID, похоже, передает в прямом виде, причем еще и пишет в лог. В одном месте они пишут:

sendXdmCommand("savePassword", {login:full_login, password:password})

А внутри sendXdmCommand():

console.log('teddypass Send: '+message)

То есть, если кто-то доберется до лога консоли браузера, похоже, и до сохраняемых паролей он достучится.

PPS Само расширение на глаз ничего не шифрует, только через postMessage() общается с сайтом TeddyID - в принципе, логично, но лучше было бы шифрование в нем же и делать, хоть это в JavaScript'е и сложно.

PPPS Отдельное спасибо за открытый код - без обфускаторов и довольно читаемый, хоть и без комментариев.
Mac Safari Chrome
 Москва
3
0
Антон Чурюмов (#4972205)
Рад увидеть подробный анализ:)

Да, код не обфусцирован и не минимизирован, как раз для того, чтобы все желающие могли убедиться, что все работает как обещано, перед тем, как добавлять наш js на свой сайт.

Сообщения в консоли остались для дебага, скоро уберем совсем. Но если кто доберется до внутренностей браузера (включая консоль), то пароли уже под угрозой.

Все шифрование идет в отдельном окне (iframe), а с ним сайт обменивается сообщениями через postMessage.
Linux Ubuntu Firefox
 Комсомольск-на-Амуре
4
0
shade-khv (#4004736)
Исходники приложения на андроид есть?

Что прилага требует по части разрешений?
Linux Ubuntu Firefox
 Москва
4
3
Leonid Kaganov
Думаю, вы без проблем скачаете исходники там, где вы обычно качаете исходники всех остальных приложений, установленных на вашем Андроиде.
Linux Firefox
 Москва
1
0
Фыва Jr Олдж
Я так думаю (мне так кажется) что там вряд ли будут исходники.
Linux Ubuntu Firefox
 Москва
8
0
Leonid Kaganov
А я как сказал? :)
Linux Firefox
 Москва
1
2
Фыва Jr Олдж
"вы без проблем скачаете исходники там, где вы обычно качаете исходники всех остальных приложений" -- для TeddyID 99.99% что невозможно будет найти исходники даже там, где обычно качают исходники всех остальных приложений. Ну если только из четырёх человек, работающих в Teddy, не найдётся один недобросовестный инсайдер.
Linux Ubuntu Firefox
 Израиль
0
0
vfork (#4777209)
На самом деле добросовестный. Поскольку иначе вам придётся верить на слово разработчикам...
Linux Firefox
 Москва
3
0
Фыва Jr Олдж
Мне не придётся, я это использовать не собираюсь.
Linux Ubuntu Firefox
 Израиль
9
0
vfork (#4777209)
А я думаю, что в жизни не доверю свои пароли ни одной системе не имеющей открытых исходников. Поскольку нам всё очень красиво рассказали, про половинки паролей и прочее. Но в сухом остатке - вы должны разработчику верить на слово. Поскольку приложение имеет доступ к вашим паролям i сети и ХЗ что оно будет делать дальше.

То есть альтернатива одна - или верить на слово, или открытый исходный код. Для андроида рекоменую OI Safe. Причём скачать и скомпилить самому, а не ставить с google play.
Linux Firefox
 Москва
0
7
Фыва Jr Олдж
А я доверю только "детские", несерьёзные пароли системе у которой исходники открыты. Например пароль на "левую" почту, на какую-нибудь хреновню типа одноглазиков или фконтакта. Пароль же на, к примеру, банковский аккаунт или на вход в закрытую область корпоративного сайта я доверю только и только проприетарным системам у которых все исходники закрыты. Open Source хорош, но хорош на "поиграться", серьёзные вещи должны быть закрыты. DIXI.
Linux Ubuntu Firefox
 Израиль
2
0
vfork (#4777209)
Да ради бога. Ваш выбор. Только потом не жалуйтесь. DIXI.

Даже если никто сознательно ничего сливать не будет - достаточно одного обиженного админа (или думающего, что его обидели), ушедшего хлошнув дверью, с флешкой в кармане...
Mac Safari
 Ижевск
2
0
Дима
Зачем компилировать из исходников, если вы их все равно вряд ли прочитали? И даже если прочитали, само по себе наличие исходников не гарантирует, что их будет легко понять и проверить на отсутствие бэкдоров.
Linux Ubuntu Firefox
 Израиль
0
0
vfork (#4777209)
Проверить grep-ом по исходникам, что никто не ломится в сеть - дело одной минуты.
Mac Safari
 Ижевск
0
0
Дима
Так в андроиде можно ведь просто запретить приложению доступ в сеть, нет? А если речь не про sandboxed-приложения, то всегда можно сделать так, что вы не найдете никаких следов обращения к сети, до тех пор пока это по факту не произойдет.
Linux Ubuntu Firefox
 Израиль
0
0
vfork (#4777209)
Да можно, если всё написано на честной джаве. Но если есть куски JNI, то надо грепнуть сишные сорцы на слово socket.

Никакие другие страшные и секретные способы полезть в сеть мне неизвестны. Буду рад если просветите. Конечно всё можно сделать через вызовы сторонних библиотек, но их точно так же надо проверять

Ну и конечно системные firewall-ы никто не отменял. Что-то типа AfWall или DroidWall
Mac Safari
 Ижевск
0
0
Дима
Можно не писать строку "socket", а собрать его в рантайме. Можно не делать конкретный вызов библиотечной функции, существует динамическая линковка. Можно сделать JIT-компиляцию в конце концов.
Mac Safari
 Amal St. Park Afek Rosh Haayim
1
0
braintunic
> Можно не писать строку socket, а собрать его в рантайме

Да есть десятки методов, как вызвать функцию socket так, чтобы чтением исходных Си текстов это было невозможно выявить.
Товарищ почему то уверен, что Си код обязан быть легко читаемым.
Наверное никогда не сталкивался с obfuscation ;)

Кстати, может быть и наоборот.
В коде - сотни вызовов типа "socket(p->family, p->type, p->protocol)", а обращений к сети нет.
Linux Firefox
 Москва
0
0
Фыва Jr Олдж
В своё время я сделал программу для OS/2 в которой не было никаких явных вызовов кроме DosExit. Однако она выводила "Hello, world!", корректно ждала any key и корректно выходила в систему. Это я к тому, что достаточно импортировать только функцию exit, все остальные с большим/средним/малым трудом находятся банальным сканированием памяти в поисках того, чего именно надо найти от этой отправной точки.

Ну и да, от просмотра исходного кода спасает obfuscation, хорошо известный "Twelve Days of Christmas" очень хороший пример во что можно превратить исходный код. Просто параноики (которых мало) увидев подобное даже компилировать и запускать не будут, повёрнутые параноики (которых ещё меньше) типа меня двадцатилетней давности будут с маниакальным упорством ковырять это дело и переводить его в читабельный вид, другой "больший процент людей" © braintunic разбираться не будет, скомпилирует и будет использовать, оставшийся ещё более "больший процент людей" © braintunic скачают готовый бинарник и так же будут пользоваться.
Linux Ubuntu Firefox
 Израиль
0
0
vfork (#4777209)
Динамическая линковка с чем? С неизвестными мне закрытыми библиотеками - сразу на помойку. С открытыми - тот же grep.

А socket действительно можно вызвать по абсолютному номеру через __syscall(). Каковой вызов, сам по себе является ещё более подозрительным, чем socket :-) Можно сгенерировать какой-нибудь странный intent, и, поскольку их в системе миллионы, проверить его затруднительно.

Но мы и говорим не об абсолютной гарантии, а о разумном компромиссе между параноей и реальностью. Который в случае закрытых сорцов просто не существует.
Mac Safari
 Ижевск
0
0
Дима
Да ладно, я ж просто к этому придрался:

> рекоменую OI Safe. Причём скачать и скопились самому

Так написано, как будто тупая вставка этапа компиляции чем-то поможет.

И, справедливости ради, способ доказать, что программа не сделает бяку, не раскрывая при этом исходники и не запуская саму программу, существует. Но пока только в теории.
Linux Ubuntu Firefox
 Израиль
0
0
vfork (#4777209)
Простите, а почему мой предыдущий комент заскринился? Я что-то не так делаю или поменялась политика этого блога?
Windows Firefox
 Самара
3
0
3seemingmonkeys
а что будет, если я потеряю смартфон?
Linux Ubuntu Firefox
 Москва
0
1
Leonid Kaganov
Зайдете в личный кабинет на Teddyid.com по паролю через емайл или мобильный. Отвяжете старый смартфон. Привяжете новый.
Linux Safari Chrome
 Великобритания
0
0
ы (#4934058)
Так а если я емейл и защитил этим тедди?
И еще. "Восстановить симку" - быстро только если в России с паспортом придти. А если в Науру застрял? Это я к тому, что даже билет из Науру в Россию не купишь с банковской двухфакторной авторизацией.
Linux Firefox
 Киев
1
0
Л. Янукович
Ну, хоть один-то пароль можно помнить без технических прибамбасов? А то все яйца - и в одну черную дыру, нехорошо как-то.

PS Тренирую подопечных помнить существенные пароли наизусть, на свой PGP-ключ и на родной сервер - совсем не сложно. Регулярно эти пароли менять - вот это тяжело, но тоже привыкнуть можно.
Linux Ubuntu Firefox
 Израиль
1
0
vfork (#4777209)
Никогда не понимал зачем менять? Если пароль хороший и не записан на бумажке на мониторе, то что даст его смена? Наоборот, как мне кажется, есть в этом некий дополнительный риск.
Linux Firefox
 Киев
2
0
Л. Янукович
А мало кто понимает до того, как его хороший и никому не нужный пароль "уводят".

Обычно уводят не сам пароль в прямом виде, а производную от него - хэш. Сам по себе хэш от пароля, как правило, бесполезен, но при наличии достаточных мощностей восстановить по нему собственно пароль вполне реально. Вот для этого и нужно регулярно пароли менять - чтобы пока злоумышленник подбирает пароль к стянутому хэшу, сделать сам пароль бесполезным.

Насчет же вычислительных мощностей - средненький ботнет восстановит простой пароль из MD5 за пару недель, поэтому-то в вопросах авторизации от MD5 уверенно уходят.

PS Ну, и кроме того - иногда все-таки приходится свой хороший пароль вводить в небезопасных местах, например - в чужом офисе или в кафе даже с родным ноутбуком можно, например, попасть под незамеченную камеру наблюдения. Мало ли кто будет потом запись смотреть, лучше перестраховаться.
Linux Safari Chrome
 Великобритания
1
0
ы (#4934058)
А что скажете про двухфакторность и спижженный смартфон? Я так попадал уже - звоню скайпом в банк, говорят, что поменять указанный номер можно, лишь обратившись в офис с паспортом. Звоню в мтс - то же самое. А офисов банка или мтса в Рио нет и не предвидится.
И все, "Ваши транзакции надежно защищены", прилетели...
Linux Safari
 Одесса
0
0
leyton (#4897622)
подстава с "докажи,что ты реальный человек, а не бот!" через sms со скрытой подпиской на платные сервисы достала. ищешь какой-то драйвер в сети - и начинается....
Антон, Ваш вариант нужно продвигать крупным сервисам,для начала статья на хабре и стэковерфлов. например, свяжитесь с покерстар и подобными. это их заинтересует, поверьте.
Лео, спасибо за разжовывание апи
Windows Safari Chrome
 Пермь
0
0
chonbuk (#1953659)
По-моему, в Яндексе и Mail.ru уже внедрили.
Mac Safari Chrome
 Москва
0
0
Антон Чурюмов (#4972205)
Спасибо за идеи! а статья на хабре недавно была.
Linux Firefox
 Richardson
2
0
Михаил (#1684620)
> который я изучил и привинтил к движку в своем блоге

Это поэтому сайт вчера какое-то время вообще не отвечал (даже на ping)?
Windows
 Phoenix
0
0
Виталий (#4814337)
А что делать тем у кого нет мобильного телефона?
Windows IE
 Нижний Новгород
4
0
Debugger (#4959456)
А у них и красть нечего.
Linux Firefox
 Москва
12
8
Фыва Jr Олдж
Да, меня лично этот вопрос давно интересует. Я бы свой мобильный давно положил в самый дальний ящик стола и не доставал бы. Чтобы позвонить есть МГТС, на улицу я мобильный с собой никогда не беру (ну нафига обычному человеку, не МВД, не ФСБ, не пожарный и не "Скорая помощь" связь на улице? не понимал, не понимаю и не пойму никогда), мобильный номер у меня в основном как раз для всяких сайтов, которые требуют для регистрации номер именно мобильного телефона (кстати, дожили! пресловутый AVITO в январе прислал e-mail: "До первого февраля 2015 года необходимо в контактных данных изменить номер городского телефона на номер мобильного телефона, иначе регистрация будет с 1 февраля недействительна!" ну и ПОШЛИ ОНИ НАХУЙ с такими заявками, естественно не менял и положил на них большой и толстый хуй) типа гуголмайл, там иначе никак. Сайт, который требует для регистрации номер именно мобильного телефона должен быть ну очень нужным и необходимым, чтобы без него ну никак нельзя было обойтись, только в этом случае можно опуститься до указания на нём номера мобильного телефона. Иначе нахуй такой сайт, нахуй его владельцев-менеджеров, нахуй всех тамошник работников, и нахуй их услуги.

Кстати, борцам за частную жизнь из предыдущей/предыдущих заметок:

1)Ричард Столлман не советует пользоваться мобильными телефонами, потому что он считает, что возможность определения текущего местоположения телефона может создать различные проблемы для абонента.

2)Ричард Столлман, основатель движения за свободное ПО и одноименного фонда, назвал мобильные телефоны "мечтой Сталина". В интервью PCWorld он отметил, что у него нет телефона и он никогда не стал бы носить его с собой. По словам знаменитого программиста, мобильные устройства являются инструментами "Большого Брата".

3)Дикша Гупта: Итак, электронные книги вы не читаете, к продукции Apple относитесь скептически. Ну хоть мобильный телефон у вас есть?

Ричард Столлман: Представьте себе, нету. А зачем мне карманный шпион, который отслеживает мое местоположение и разговоры? В любом мобильном устройстве есть лазейка, позволяющая превратить его в подслушивающее устройство.


Меня лично наличие "карманного шпиона" не напрягает вообще, своё отношение к вмешательству в частную жизнь через переписку (да пусть читает кто хочет!), через подслушивание (да пусть слушает кто хочет!) я уже выразил ранее. Но то, что меня вынуждают приобретать и пользоваться тем, что лично мне нахуй не надо -- поёбывает, и довольно сильно.
Windows Safari Chrome
 Санкт-Петербург
4
2
soldat_dzhein
Вообще эта паранойя про карманный шпион, мозгооблучение и т.д. не для 99,99% населения, это точно. А скорее всего для всяких основателей движений за свободу кого-то от чего-то - параноиков по натуре и природе. Все у человека должно быть соответственно его потребностям. Мы, дети интернета, безразличны к теликам, наши дети безразличны к компам.... у них весь фарш в айфонах и планшетах.
Linux Firefox
 Москва
7
2
Фыва Jr Олдж
Ну может быть вы и дети интернета, а я ребёнок дисководов, на 5", трёхдюймовок тогда ещё не было. И жёстких дисков аж на целых ДВАДЦАТЬ МЕГАБАЙТ!!!
Windows Safari Chrome
 Санкт-Петербург
18
0
soldat_dzhein
Мы это уже поняли по вашей аве))))
Mac Safari
 Москва
1
0
Вячеслав Сомов
Браво :))))
Mac Safari
 Москва
7
0
Aleksej
Ну буржуй! Я-то грузил по 5-7 минут с аудиокассеты игры, дисковод был мечтой, а денди с картриджами вообще чудом казались.

А бк в школе, по которой нужно было вдарить со всей дури кулаком по пробелу, чтоб тот нажался?
Linux Safari Chrome
 Великобритания
2
0
ы (#4934058)
А я никогда не хотел поменять свой синклер на приставку.
Mac Safari
 Москва
0
2
Aleksej
И зря.
Linux Safari Chrome
 Новосибирск
1
1
ы (#4934058)
Почему?
Windows
 Санкт-Петербург
2
0
vvv (#4055925)
Малютка, воспитанный двумя дисководами. Или тремя.
Windows Firefox
 Москва
0
0
vctor
Тут дело в размерности. Короткие тексты на даче я пишу на мобильнике, если предвижу длинные, то беру с собой планшет.

Когда у меня выгодная работа, то я тащу на дачу ноутбук. А если в будущем мне предложат очень хорошие деньги за срочность, то я не поленюсь увезти десктоп, благо везти не на горбу, а в машине.
Linux Safari
 Жуковский
7
0
не помню имя (#4385242)
Не первый раз слышу, читаю, вижу опасения про то, что кто-то шпионит через мобильные телефоны. Подслушивает разговоры и т.д. И мне подумалось, нужны же кадры, чтобы сидеть и слушать разговоры, даже если все компьтеризировано, все равно кто-то живой должен вычленять нужное. Подскажите, где берут на такую работу? Очень нужна подработка, ипотеку отдавать, как раз на основной работе такое делать смогу.
Mac Safari
 Москва
15
3
Вячеслав Сомов
Мобильный тебе нужен чтобы мама могла позвонить и сказать что ей плохо стало. Что бы жена могла позвонить и сказать что колесо проколола на МКАДе и не знает что делать. Что бы ты мог ребенку позвонить и узнать где он, все ли у него в порядке и почему он так поздно гуляет.

Карманный б###ь шпион! Всегда когда слышу возводимую до уровня идеологии подобную лузерскую ахинею, хочется начать с азов и послать дурачка для начала вымыть свою рожу. С простых так сказать вещей начать свою жизнь налаживать
Linux Firefox
 Berkeley
2
10
Михаил (#1684620)
> Что бы жена могла позвонить и сказать что колесо проколола на МКАДе и не знает что делать.

А нужна ли такая жена? ;–)
Mac Safari
 Израиль
17
0
braintunic
> А нужна ли такая жена?

Что ж, дорогая, подведём итоги.
С одной стороны: ты чемпионка мира по приготовлению вкусных борщей и котлет, ты с блеском наводишь порядок в доме, ты виртуозно водишь машину, ты всегда неотразимо красива, стройна и подтянута, и у тебя никогда не болит голова.

Но с другой стороны, ты не сумела сама сменить проколотое колесо!
Whattafuck!?

Как ни крути, нам придётся расстаться...
Linux Firefox
 Berkeley
0
0
Михаил (#1684620)
Мне кажется, что «ты с блеском наводишь порядок в доме, ты виртуозно водишь машину» и «не знает, что делать с проколотым колесом» это взаимоисключающие параграфы. :)

Не знаю, как там в МКАДии, а в США вроде бы по закону положено в инструкции к машине (которая в «бардачке» лежит) писать, что делать в подобных случаях. Ну и AAA есть для тех, кто сам не может или не хочет. Собственно, мобильный телефон полезен, чтобы прямо им позвонить, а не ждать пока полиция заметит и предложит помочь. ;–)
Windows Safari Chrome
 Санкт-Петербург
6
0
soldat_dzhein
Вот к чему привел оголтелый американский феминизм - я с проколотым колесом на трассе должна знать что делать... Вы еще скажите, что я должна дом построить и семью содержать! Мне муж внушил еще в юном возрасте, что я у него для красоты и я делаю вид что так и есть, потому как уважаю его мужские достоинства, если я стану чинить машины и строить дома, то его роль в моей жизни сократится до носителя сперматазоидов, а следовательно нафига он мне тогда нужен? Феминизм унижает мужчин! Долой инструкции к машине!
Windows Firefox
 Санкт-Петербург
1
0
Tarn
Бросьте. Вы ж, вроде, все горы Камчатки и Монголии изъездили в седле с карамультуком за спиной. Утконоса с пятидесяти аршин в глаз бьёте, что вам колесо поменять?
Windows Safari Chrome
 Санкт-Петербург
3
0
soldat_dzhein
Дело не в этом... На самом деле вряд ли я смогу поменять колесо, хоть и излазила и утконоса бью))) Классно вы это сказали)))) И мы (женщины) когда чувствуем себя "за мужем" в первую очередь и в первую мысль стараемся к нему за помощью кидаться, ну так в России наверное заведено. Мы не привыкли верить государству, его службам и инструкциям ( которые вечно на неизвестном языке или с удручающим переводом, поскольку где это вы видели, к примеру, инструкцию к Ладе-Калине какой-нибудь? Кто в нашей стране спасет меня кроме мужа? Как вы себе представляет мой звонок в Сибири, в каком-нибудь пригороде в службу, которая приедет и поменяет мне колесо? Кроме эвакуатора никто ко мне не приедет, и тот - в каком-то будущем, и возьмет с меня за это несколько сотен, а может больше. А потом моему же несчастному мужу придется забирать машину с платной стоянки и менять ей колесо самому. Какие еще есть варианты? Не проще ли сразу ему позвонить, до того как меня эвакуируют. исцарапают машину и сдерут денег?
Linux Firefox
 Richardson
2
1
Михаил (#1684620)
> его роль в моей жизни сократится до носителя сперматазоидов, а следовательно нафига он мне тогда нужен?

Ну, я как-то больше интересуюсь тремя верхними уровнями пирамиды Маслоу, а не двумя нижними. ;–) Если человек не может сам себе обеспечить рутинные потребности, а требует, чтобы это сделали другие, то тратить на него время и силы как-то неинтересно. Ну и в моём окружении половой диморфизм в этом плане не особо развит.
Windows Safari Chrome
 Санкт-Петербург
0
0
soldat_dzhein
Стоп. А в чем противоречие? Вы считаете что отказ от сугубо носителя сперматозоидов это отказ от высших ступеней пирамиды Маслоу?Думаю, что если не позволить мужчине быть мужчиной, а себе женщиной, то мы быстро превратимся в родителя 1 и родителя 2, при чем, вероятнее всего, живущих в разных домах. Муж меня любит не за шиномонтаж, куда тут денешься?
Linux Firefox
 Richardson
1
0
Михаил (#1684620)
Ну, вы же сами пишете: «если я стану чинить машины и строить дома, то его роль в моей жизни сократится до носителя сперматазоидов», т. е. если не первый-второй уровни, то останется только часть первого.

Ладно, я завязываю. Оно и так не по теме заметки было, но ещё и, похоже, вызывает у вас «оскорбление чувств».
Windows Safari Chrome
 Санкт-Петербург
3
0
soldat_dzhein
Поменять колесо это у вас рутинная потребность? я фигееею.... уважуха вашей жене))))
Linux Firefox
 Richardson
0
2
Михаил (#1684620)
Добавлю для уточнения (некоторые, видимо, невнимательно читают или не так понимают прочитанное): речь шла о «не знает что делать» (т. е. вообще тупит), а не о «не сумела сама сменить» (и просит какой-то конкретной помощи).
Mac Safari
 Москва
0
0
Вячеслав Сомов
Или так: «не знает что делать» (и просит какой-то конкретной помощи), «не сумела сама сменить» (т. е. вообще тупит)
Linux Firefox
 Richardson
0
0
Михаил (#1684620)
Не знает что делать и просит какой-то конкретной помощи ­— не бывает.
Mac Safari
 Москва
0
0
Вячеслав Сомов
Четко понимать задачу и при этом не знать ни одного варианта ее самостоятельного решения. Этого не бывает?

Насколько всё-таки эволюционировали сетевые всезнайки. Раньше они говорили за всех, а сейчас мы наблюдаем зарождение нового этапа - говорить за всё. Что бывает, а чего нет.
Windows Firefox
 Москва
0
0
Dixi (#5002821)
Ну, справедливости ради, "не суметь заменить" и "не знать, что делать" это не одно и то же.

И еще больше справедливости для - позвонить мужу это и есть "знать, что делать"
Windows
 Москва
8
0
Партизан (#3937989)
Иногда сменить колесо даже мужику непросто.
На неделе менял ночью один, все болты открутил, а диск от ступицы не отлипает. Не отлипает хоть режь его. Отлип после 10 минут пинания пяткой с матюгами.
Если жена таки справится, то нафиг такую жену, женщина должна быть женственной.
Linux Firefox
 Москва
2
1
Фыва Jr Олдж
Я не отношусь к тем кто считает мобильный телефон карманным шпионом. Я отношусь к тем, кто предпочитает пользоваться только теми вещами, которые ему реально нужны и полезны. Мобильный телефон в мой список реально нужных и полезных вещей не входит. Да, и я говорю в данном случае про себя, лично мне мобильный телефон абсолютно бесполезен и не нужен. И меня возмущает то, что кто-то где-то за меня решил что мне просто необходим этот самый мобильный телефон, я без него жить не смогу и он у меня обязательно есть.
Linux Safari Chrome
 Москва
7
0
propir (#4970969)
Срать в комментах у Каганова, вероятно, более нужная в жизни вещь, чем мобильный;)
Просто подкалываю.
Linux Firefox
 Москва
0
0
Фыва Jr Олдж
Да, это гораздо [для меня] более нужная вещь, чем мобильный телефон.
Просто отвечаю.
Windows
 Каменск-Уральский
3
0
D.iK.iJ
Неуловимый Джо
Linux Firefox
 Москва
0
0
Фыва Jr Олдж
Если бы. Был бы очень и весьма доволен. Но увы.
Windows Safari Chrome
 Москва
4
0
Вася Васечкин (#4982505)
А что делать тем, у кого мобильный есть, но нет смартфона?
Между прочим, самая популярная модель мобильных в мире - Nokia 1110, ЕМНИП. У меня 1112, разница небольшая.
Так вот, у них на эту самую 1112 (или 1110, или 1210, или вообще 3310) вариант приложения тоже есть или как? Лично у меня было впечатление, что в Интернет она в принципе выйти не может.

Для тех вещей, для которых нужен мобильный, моей Нокии 1112 (или маминой 1210) вполне хватает. Но смартфонами они никак не являются, и в подобных моделях заменять их всё-таки скорее не могут.
Linux Firefox
 Москва
18
1
Фыва Jr Олдж
Увы и ах, на таких людей вся современность кладёт. Вообще у меня складывается впечатление что современные [вписать нужное] все просто абсолютно уверены что:

1) у их пользователя обязательно есть интернет
2) у их пользователя обязательно есть мобильный телефон
3) у их пользователя обязательно есть мобильный телефон с выходом в интернет

Отсутствие любого пункта считается чем-то невероятным и невозможным. Ну да бог им судья.
 New York
10
1
byka (#4221769)
Еще принято считать, что человек способен читать и писать, хотя и это не совсем верно. Многие не умеют, и поэтому вынужденно остаются за бортом.
Windows Firefox
 Обнинск
7
0
wgent.com@Wgent.com
Авотхй. Как раз не умеющие читать-писать - это самая перспективная целевая аудитория.
Речь даже не о том, что он посмотрит видео с рекламной вставкой и купит рекламируемый товар у себя в магазине на углу. Я однажды видел, как мой друг покупает какую-то хрень в китайском ни разу не англифицированном интернет-магазине. Не зная, разумеется, по-китайски ничего кроме пары иероглифов "Чжун Го", а просто ориентируясь на картинки и цвет кнопок.
Так что умения кликать ногтем по картинкам вполне достаточно, чтобы не оказаться за бортом современного и качественно сделанного интернет-проекта.
Linux Firefox
 Москва
5
6
Фыва Jr Олдж
Полностью согласен. Вот на таких полностью безграмотных и расчитаны андроиды, айфоны и виндофоны с их убогим "плиточным" интерфейсом. Вместо букв и цифр картинки, вместо кнопок тыкать прямо в экран, вместо ввода пароля (это уже в сторону TeddyID) опять картинки. Вспоминается почему-то детский сад, где у каждого на шкафчике для его вещей было нарисовано у кого яблочко, у кого арбузик, у кого помидорка, у кого апельсинчик... Вот свои штанишки и пальтишки и складывали кто под защиту своему "зайчику", кто своей "вишенке" оставлял, кто "виноградинке". Ну ладно, это ясельная группа, детский сад, дети, которые читать не умеют (я умел с трёх лет есичё, мне было без разницы что картинка с арбузиком, что табличка с фамилией), а тут для взрослых людей подобное. Деградирует общество. Давно умершие большевики, проводившие ликвидацию безграмотности, переворачиваются в гробах. Ну да ладно, пох. Главное моё поколение не все сплошь дебилы в отличии от более младших, причём чем младше, тем тупее и тупее. После меня хоть трава не расти.
Mac Safari Chrome
 Москва
8
0
Антон Чурюмов (#4972205)
Не соглашусь. Все эти айдроиды и TeddyID, они не для того чтобы выглаживать извилины у населения, а для того, чтобы освободить людей от тупых "машинных" задач, таких как запоминание и ввод пароля. Будете ли вы использовать освободившиеся ресурсы для более "человеческих" задач, таких как литература, музыка, даже программирование, это каждый для себя решает сам.
Mac Safari
 Москва
6
0
Aleksej
Полностью согласен. Вот на таких полностью безграмотных и расчитаны тн автомобили, паровозы и прочие тарахтелки с их убогим рулем интерфейсом ( а у паравозов и аообще и без оного) Вместо сена и телеги колеса и развратные кресла, вместо вожжей тыкать в руль, какой-то gps, опять картинки. Вспоминается почему-то детский сад будущего, где у каждого в шкафчике для его вещей было у кого яблочко, у кого мусорка ходячая, у кого квадратики, у кого вообще буковки... Вот свои мыслишки и фоточки и складывали кто под защиту своему смартику, кто своей планшеточке оставлял, кто приставочки. Ну ладно, это джуниорная группа, детский сад, дети которые прогать не умеют (я умел с минус трёх лет есичё, если от папы считать, мне было без разницы что картинка с арбузиком, что арбузик, что логинчик с фамилией - все спереть, ибо уже тогда без биноклевых очков уже ничего не видел и дальтоник при случае), а тут для взрослой школоты подобное. Деградируют задроты. Давно забившие виндузятники, проводившие ликвидацию безграмотности, переворачиваются в GTA на своих плейстейшенах. Ну да ладно, пох. Главное моё поколение не все сплошь юзеры в отличии от более младших, причём чем младше, тем больше здоровые и бегают в парках, сволочи. После меня хоть трава там не расти. Ну пожалуйста.

Как видите, у на много общего.
Linux Firefox
 Москва
1
1
Фыва Jr Олдж
Прекрати курить эту гадость. Да, и закусывай.
Mac Safari
 Израиль
8
0
braintunic
> складывается впечатление что современные ... все просто абсолютно уверены что: у их пользователя обязательно есть мобильный телефон с выходом в интернет

Это еще что.
Все современные производители презервативов вообще уверены, что у их пользователя обязательно есть член!
Linux Firefox
 Москва
1
0
Фыва Jr Олдж
Передёргиваете. То, что "у кошки четыре ноги" это аксиома, как и наличие МПХ у мужиков. А вот наличие мобильного телефона, да ещё с выходом в интернет, аксиоматически обязательным не является.
Linux Safari Chrome
 Израиль
9
2
braintunic
Ничуть не передергиваю.
То, что у кошки четыре ноги - это аксиома, а вот у человека член наличествует не более чем у половины поголовья!

По нынешним временам, мобильный телефон то есть у большего процента людей ;)
Linux Firefox
 Москва
6
0
Фыва Jr Олдж
Я говорил: "как и наличие МПХ у мужиков". Мне в ответ: "у человека член наличествует не более чем у половины поголовья". Так что передёргиваете.

Ну а то, что "мобильный телефон то есть у большего процента людей" мне как-то фиолетово, я за себя говорю. И за то, что сайты, на которые я хожу, вернее их сайтостроители, почему-то уверены что все кто к ним заходит обязательно из этого самого "большого процента людей" и у них даже в голове не укладывается что меньший процент людей не выдуман каким-нибудь Айзеком Азимовым, а тоже существует, и не на Марсе/Юпитере/Альфа-Центавре, а тут, на Земле.

Пока я не попал под машину и не стал инвалидом меня тоже удивляло: нафига делают лестницы с перилами, нафига эти перила вообще нужны? Нафига делают автобусы у которых пол сделан вровень с тротуаром? А вот теперь меня бесит когда лестница есть, а перил нет (вверх ещё ладно, трудно, но терпимо, а вот вниз без перил -- да я бы в рот с удовольствием миллиард раз насрал тому, кто сделал лестницу вниз без перил!), когда чтобы в трамвай/автобус зайти надо потратить ничуть не меньше энергии [для меня] чем залезть на Эверест или пик Коммунизма, когда эти таджики-дворники не убирают зимой на дорогах снег и не посыпают лёд песком или ещё какой фигнёй, etc. Всё познаётся в сравнении. Вот так и "больший процент людей" в упор не может понять меньший процент. И не потому что не может понять, а потому что банально НЕ ХОЧЕТ это сделать.
Linux Firefox
 Richardson
2
0
Михаил (#1684620)
> на Марсе/Юпитере/Альфа-Центавре

Альфе Центавра. Центавр это созвездие (оно же Кентавр), Альфа — самая яркая звезда в нём (на самом деле тройная).

Насчёт «уверены что все кто к ним заходит обязательно из этого самого "большого процента людей"»: не уверены, а просто основываются на параметрах основной аудитории. Капитализьм же.
Linux Firefox
 Москва
0
5
Фыва Jr Олдж
> Альфе Центавра. Центавр это созвездие (оно же Кентавр), Альфа — самая яркая звезда в нём (на самом деле тройная).

Вот тут я как раз принадлежу к "большему проценту людей", которые абсолютно незнакомы с астронимей и понятия не имеют что такое Центавр aka Кентавр и что такое Альфа, просто насмотревшись в своё время фильмов в духе "Отроки во вселенной" и начитавшсь Ефремова с его "Туманость Андромеды" запомнили что есть какое-то "Альфа-Центавра" и какая-то "Андромеда".

Ну и пусть дальше основываются на этих параметрах основной аудитории, засуха настанет -- я им в рот не нассу и даже не плюну, обойдутся, пусть от жажды подыхают!
Windows Safari Chrome
 Москва
0
0
киборд (#4481580)
Михаил, труевый граммарнаци должен видеть (и доподлинно ценить) эрративы (сленговые, простонародные, творческие) - и не придираться к ним, иначе он выглядит нубовато.
Linux Firefox
 Richardson
1
0
Михаил (#1684620)
Фыва ж сам признался, что это был не сознательный эрратив, а чистосердечное заблуждение. Это у Высоцкого «На Тау Ките
условья не те» и т. п. — эрративы.
Windows Safari Chrome
 Израиль
8
0
Пашка (#4786520)
До того как сбила машина, был такой же злой или это следствие?
Linux Firefox
 Москва
5
0
Фыва Jr Олдж
Просто раньше у меня велосипед был я мог ездить на велосипеде, а сейчас не могу! :-E
Mac Safari
 Москва
0
0
Aleksej
Не почему-то нужен телефон, а по паре законов, принятых в прошлом году.
Linux Firefox
 Москва
1
0
Фыва Jr Олдж
Пруф пожалуйста. На закон где чётко и ясно написано что каждый индивидуум должен иметь средства мобильной связи.
Mac Safari
 Москва
1
0
Aleksej
Речь не о пользователях, а о сервисах. Они обязаны передавать идентификационную инфу, если сми, а сми это все у кого юзеров больше 3000, только без прав сми , а с одними обязанностями.

Вам прямой путь на гарант.ру с запросом 5 мая 2014 г. N 97-ФЗ
Лео не любит политики
Windows Opera
 Липецк
0
0
Эудженио (#4959432)
"Две трети населения планеты, это около 4,5 миллиардов человек, не пользуются мобильной связью. А это означает, что две трети человечества лишены доступа к крупнейшему глобальному рынку"
В Европе 75% населения пользуются мобильной связью и мобильным интернетом, на втором месте Северная и Южная Америка - 61%, в Азии 32% населения, а в Африке только 16%.
В странах бывшего СССР зафиксировано наибольшее число номеров на душу населения.
Но если учесть мои 5 симок, становится понятней. :)
Linux Opera
 Верхняя Пышма
1
0
IgorZ (#4329073)
И они правы. Просто у одних свой член, а другие берут чужой на попользоваться
Windows Firefox
 Москва
0
0
Виталий (witalij)
Леонид! Однако, глючит...



Linux Firefox
 Москва
2
1
Фыва Jr Олдж
Действительно глюк! Таким мелким шрифтом да на таком мелком окне пишет, что хрен чего поймёшь даже при наличии микроскопа!
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Не могу разглядеть, что там пишет?
Windows Firefox
 Москва
0
1
Виталий (witalij)


Linux Firefox
 Москва
21
0
Фыва Jr Олдж
Да, так действительно намного лучше видно!
Windows Firefox
 Германия
2
0
Виталий (witalij)
Движок Леонидов уменьшает картинку! От блин!
Вот: https://yadi.sk/i/s27GcyuzeZJqq
Windows Firefox
 Москва
19
0
YuSer (#1352959)
Осталась мелочь - довериться команде из 4 человек, которая будет иметь возможность доступа к вашим данным ибо будет знать больше, чем им нужно знать. Мало того у них есть и сервер и, по сути, клиент на вашем устройстве.

Да, это нездоровая паранойя, препятствие прогрессу и ложка дёгтя в эту милую бочку мёда.
Linux Firefox
 Киев
0
0
Л. Янукович
Ай, как же вы не упомянули, что сервера-то у них, к тому же, в Германии стоят! Без этого паранойя не получается.
Windows Firefox
 Санкт-Петербург
3
0
Tarn
С учётом вышеизложенного, похуй, где у них стоит сервер.
Linux Firefox
 Киев
0
0
Л. Янукович
Э, да что вы вообще в паранойе-то понимаете...
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
К каким именно данным?

Мне кажется, вы плохо представляете суть. Возьмем мой сайт: здесь имеются некие ваши данные и ваша личная переписка. Каким образом TeddyId получит ко всему этому доступ?
Linux Ubuntu Safari Chrome
 Белоруссия
15
2
test (#4982458)
Как там выше писали, оно ничего не шифрует на стороне клиента, а сливает пароли на чужой сервер. Который типа все зашифрует и пары ключей разошлет куда надо.

Т.е. вопрос стоит ровно так: доверить ли все свои пароли команде из 4-х пацанчиков, которые честно обещают, что у них все без подставы. Хорошая попытка, но нет.
Mac Safari Chrome
 Москва
5
0
Антон Чурюмов (#4972205)
Все шифруется на стороне клиента.
Кто сомневается (сомневаться во всем это правильно!) предлагаю изучить исходный код:
https://www.teddyid.com/js/teddypass.js
https://www.teddyid.com/js/teddypass_server.js
Linux Safari
 Ottawa
7
0
Korj
Проблема в том, что завтра содержимое этих URL может быть изменено на что угодно, в том числе, для конкретного пользователя.
Ещё одна проблема - завтра вся эта информация может просто потеряться из-за "аппаратно-программного сбоя", как сегодня у одного облачного хостера (и если в статье не упущены нюансы, то с голой одиночной репликацией это может случиться в любой момент).
Linux Ubuntu Firefox
 Владимир
10
0
Adamos
А в чем, собственно, проблема - получить доступ к тому, что закрыто логином и паролем, имея этот логин и пароль?

Вообще мне дико представить, чтобы добровольно поставить себе плагин, который отслеживает все формы логина и пароля и предлагает их запомнить на чужом сервере. А если я, неровен час, лишний раз Enter нажму при входе в админку, я засвечу этому сервису свой админский аккаунт? Или в Телебанке аналогичный сценарий? А ежели при вводе CMC-кода обновленная версия того плагина мой ответ возьмет и прозрачно перешлет на фишинговый сайт?
Такие "удобства" - это прекрасный шанс самому себе за шиворот насрать, как мне кажется.

Да, я параноик, но именно поэтому я и могу быть более или менее спокоен, сидя в интернете.
Windows Firefox
 Обнинск
0
0
wgent.com@Wgent.com
"Параноики гибнут последними".
С некоторых пор это и мой девиз.
Mac Safari
 Москва
1
1
Aleksej
Обычно первыми
Перенерничав от того, что никто другой и не заметил
Linux Ubuntu Firefox
 Владимир
1
0
Adamos
Принцип "оно попахивает, я не буду с этим связываться" как раз сберегает кучу нервных клеток.
Однако пока бравые хомячки гордо прут на грабли, нам, параноикам, вообще не о чем беспокоиться. О том, как им влетело, мы и в новостях можем прочитать...
Mac Safari
 Москва
1
0
Aleksej
А мы, пофигисты, тв не смотрим, ибо похуй, че там с очередными неудачниками случилось, на то они и неудачники. А то давно бы бомбоубежище в австралии копали бы.

Я никогда не использовал сложные пароли, более того, даже разные пароли. Никогда ничего не шифровал. В результате, деньги у меня крали не раз, обязательно дав предварительно по башкев подворотне. Ну, аську один раз угнали, когда нафик уже не нужна была.
Linux Ubuntu Firefox
 Владимир
1
0
Adamos
Вы никому не нужны и хотите об этом поговорить?
Mac Safari
 Москва
0
0
Aleksej
Конечно хочу, только не об этом. Это я и так знаю, и причины знаю, это неинтересно.
Windows Firefox
 Москва
0
0
YuSer (#1352959)
Я действительно плохо представляю суть. Однако, полагаю, что если TeddyId предоставляет авторизацию, то оно может сказать, например, обо мне вашему сайту, что я действительно являюсь админом сайта lleo.me с соответственным доступом. Оно также будет знать, что я авторизуюсь на gmail, vk, fb, paypal, сбербанк и др. и пр. с такими-то логинами.
Ну и к тому же связка клиент-сервер позволяет делать почти всё что угодно на вашем устройстве, смотря какие ему дать права.
Windows Safari Chrome
 Санкт-Петербург
1
0
cats-home.net@Кошак (cats-shadow)
Oops... Чойта не то, однако!
Страничка после скана QR-кода не обновилась, как обещано. А при попытке входа по паролю ошибка "Different URL"

Windows Safari Chrome
 Санкт-Петербург
0
0
cats-home.net@Кошак (cats-shadow)
Upd. В броузере были отключены куки со сторонних сайтов.
Fixed.
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Ж))) Не пугайте меня так :)
Windows Safari Chrome
 Санкт-Петербург
0
0
cats-home.net@Кошак (cats-shadow)
Не буду.. Ну, постараюсь :)

А вот то, что юзерпик теперь можно загрузить, не ковыряясь в базе - это здорово!
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
А приложение-то установлено?
Linux Safari Chrome
 Великобритания
1
0
ы (#4934058)
> если одновременно убить и браузер и смартфон, пароли будут утеряны, но это ж надо постараться.
Если в путешествии украли смартфон, с браузера которого я и выходил в сеть... Обычная ситуация.
Linux Ubuntu Firefox
 Москва
0
1
Leonid Kaganov
Со смартфона нельзя одновременно выходить и подтверждать. Потому что это уже не двухфакторная авторизация будет.
Windows Safari Chrome
 Санкт-Петербург
8
0
Pavel Vlasov
Нельзя? Но ведь надо! Человекус современникус, он же то на десктопе в интернет выйдет, то на смартфоне, то на тостере. Значит, на смартфоне он должен всё-таки иметь обычные дублирующие логины-пароли для каждого сайта? И зачем, тогда, эта авторизация... Вобщем кейс-то гиперважный для сервиса (не для отдельных индивидов не пользующихся мобильным интернетом), и интересно как же они его решать хотят...
Windows Safari Chrome
 Москва
2
0
Dusty
То есть решение получается неуниверсальным. Мне все равно придется ставить хранилку паролей и все их туда заносить. Ну и зачем мне тогда эта софтина?
Windows Firefox
 Обнинск
1
0
wgent.com@Wgent.com
А вот интересно: компьютер и другой компьютер - это двухфакторная?
Linux Safari Chrome
 Пенза
0
0
edo (#4761536)
а смартфон это разве не "другой компьютер"?

если речь именно про этот проект, как я понимаю, gsm-модуль не используется, всё по tcp/ip.
наверное можно в эмулятор android'а загнать, не то, что другой - всё на одном компьютере будет.
Windows Firefox
 Обнинск
0
0
wgent.com@Wgent.com
Такой вот вопрос: если вставить в мобильник другую симку, через него можно будет авторизоваться или уже нет?

А вообще, наверно, рулит компактный переходничок USB-miniUSB, постоянно воткнутый в телефон, так что его можно юзать в качестве флэшки. Ну, или просто флэшка на брелок с ключами.
На флэшке - TOR с его переносной мозиллой, стартовой страницей прописан облачный бэкап зашифрованного файла с паролями, хранящегося на этой же флэшке. Ну и конечно же, прога, сохраняющая-вводящая пароли.
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
При авторизации через приложение по интернету симка вообще ни при чем. У меня телефонный модуль в Дроиде обычно отключен, например.
Windows Firefox
 Санкт-Петербург
1
0
Tarn
А интернет на смартфоне откуда, если не через симку? Через вайфай?
Windows Firefox
 ROCKVILLE
0
0
wgent.com@Wgent.com
То есть, старый смарт не выкидывать, а подключить к раздаваемому ноутом вайфаю - и никакого "интернета по паспорту" не будет. Сам ноут ессно, через VPN...
Ну что, вариант, конечно.
Windows Safari Chrome
 Волгоград
0
0
Анатолий Самсонов (#4182578)
Дык, а что, возможность войти на нужный сайт по-старому - вводом логина и пароля ручками - теряется? Вроде, это ни из чего не следует. Конечно, для этого сам пароль помнить нужно.
Windows Safari Chrome
 Волгоград
0
0
Анатолий Самсонов (#4182578)
Дык, а что, возможность войти на нужный сайт по-старому - вводом логина и пароля ручками - теряется? Вроде, это ни из чего не следует. Конечно, для этого сам пароль помнить нужно.
Windows Firefox
 Нижний Новгород
0
0
romul0 (#4971569)
У меня при попытке посмотреть кенгу после подтверждения на телефоне твой сайт выдаёт такое сообщение:

majax error:

ajaxoff();clean('lajax_48_form'); clean('lajax_48_ifr');clean('teddyid');teddyidfunc_otvs('Y','2015-02-09 13:52:05','9e12ce813a62e786e1abfb36490286539e83b00e');
Windows Firefox
 Сумы
2
0
rw (#4880316)
>для любого браузера
*Посмотрел на своего дельфина, пожал плечами.*
Windows Safari Chrome
 Нижний Новгород
1
0
Nsa1975
Или вот буквально стартовал только что новейший браузер Vivaldi - тоже как? И Nokia 6300 не катит оказывается...Препятствий чота многовато...
Windows Firefox
 Обнинск
2
2
wgent.com@Wgent.com
Все новейшие браузеры надо игнорировать, давить и ни в коем случае не устанавливать. 3-4 для конкурентной среды - более чем достаточно, а их и так уже как самый минимум, 5: IE, Opera, Firefox, Chrome, Safari и в эту компашку ещё без мыла лезет яндекс-браузер, который вроде как и попячен с Хрома, но местами с ним сцуко несовместим.

Чем больше браузеров свыше достаточного для конкуренции числа - тем хуже дела обстоят со стандартами, а значит, с совместимостью и с безопасностью.
Устанавливая на своём компе новый браузер, ты работаешь против всего Интернета и против самого себя.
Linux Ubuntu Firefox
 Израиль
0
0
vfork (#4777209)
Из всего вышеперечисленного открытый исходный код только у firefox и у всего, что на основе хромиума (т.е. яндекс - ОК).

Всё остальное, включая Chrome, идёт нахуй быстро, безусловно и безоговорочно. Слишком много я доверяю браузеру (включая банковские акаунты), чтобы верить всяким гуглам-шмуглам...
Windows Firefox
 Израиль
0
0
garik64
> я доверяю браузеру (включая банковские акаунты)
Постойте, постойте! Вы что, храните пароли в браузере? Я правильно понял?
Linux Ubuntu Firefox
 Владимир
0
0
Adamos
Между прочим, при использовании мастер-пароля хранение паролей в браузере практически не увеличивает опасности их компрометации.
Windows Firefox
 Израиль
0
0
garik64
При том, что браузер обвешан плагинами, как ёлочка игрушками? И нет никакой гарантии, что среди них не затесался клавиатурный шпион, который на раз-два-три снимет тот мастер-пароль? Нет, спасибо.
Linux Ubuntu Firefox
 Израиль
1
0
vfork (#4777209)
Это означает, что в баузере пароли нельзя вводить вообще. Никому и никогда.

У меня скромный вопрос - а зачем тогда вообще нужны пароли?
Windows Firefox
 Израиль
0
0
garik64
Пароли можно вводить отдельными приложениями типа Робоформа. (У него свои заморочки, из-за которых мне его пришлось отключить, но ведь есть же, есть где-то приличные менеджеры паролей!)
Linux Ubuntu Firefox
 Израиль
1
0
vfork (#4777209)
Не понял. Вот зашли вы в банк. Чем? Робоформом? Специализированной апликацией? Или всё-такие браузером?

Фактически всё наоборот - браузер это единстевнное проложение, которое знае мои пароли. Просто по факту их ввода. Ну и имеет доступ в сеть, поскольку оно браузер. Но поскольку, как я сказал ниже, за мозилой наблюдают миллионы голодных глаз, им можно верить хоть с какой-то вероятностью. Closed source browser же является нонсенсом по определению.

Все остальные приложения - или нет доступа в сеть, или есть код, по которому можно убедиться в client-side шифровании, или хрен вам, а не мои пароли.
Linux Ubuntu Firefox
 Владимир
0
0
Adamos
А при чем здесь хранение паролей в браузере?
Как раз от клавиатурных шпионов оно, наоборот, защищает ;)
Windows Firefox
 Израиль
0
0
garik64
При том, что не какой-то там левый шпион в операционке, а свой брат плагин, с которым сидишь в одной песочнице. И чего он там внутре делает, неизвестно. Как говорится, анальный зонд.
Linux Ubuntu Firefox
 Владимир
0
0
Adamos
Еще раз: я сказал, что хранение паролей средствами самого браузера практически не увеличивает шансов их компрометации.
То, что использование браузеров и паролей теоретически может привести к компрометации этих паролей (например, плагином), никто и не отрицал. Но именно хранение тут ни при чем.
Mac Safari
 Ижевск
2
0
Дима
Может просто не обвешивать плагинами?
Mac Safari
 Москва
1
0
Aleksej
Не ставьте говно не из стора и будет вам щастье.

Вообще, уже на вин хр в бытность мою эникейщиком, было замечено, , что вирусню в 99 проц случаев ловят любители поиграть и прочих кряков на халяву, да неграмотные ценители порнушки.
Windows Firefox
 Израиль
0
0
garik64
Ой, вот не надо! Моя мама - 78 лет - третьего дня словила какую-то гадость. Теперь ФайрФокс на её ноуте стартует на какой-то онлайн-магазин. Плагинов стоит всего ничего: Ghostery, Adblock, Speeddial, ещё что-то. Ходит она только по новостным сайтам: BBC, лентару, ньюсру и т.п. Всего штук шесть-семь. И тем не менее завтра переставлю ей FF. Откуда словила? Загадка.
Ставить не из стора? Ну вот Гостери из стора в том смысле, что официальный. Но проприетарный. Может, он что-то гадское творит? Не вем.
Linux Ubuntu Firefox
 Владимир
0
0
Adamos
Как - откуда словила? Из рекламных сетей. Которыми обвешаны все эти новостные сайты.
Кстати, именно Винда под ФФ ей, скорее всего, не нужна...
Моя мать (63 года) прекрасно освоилась в Хубунте за неделю, и помощь ей не требуется. Вот в Восьмерке (на ее рабочем ноуте) до сих пор путается и зовет разобраться, что за хрень происходит.
Mac Safari
 Москва
0
0
Aleksej
А я не говорил, что ничего не изменилось. Я еще пять лет назад отцу сделал юзерский аккаунт (user) и собственный если что случится. Плюс авира бесплатная, если очень надо скачать че-то. Ни одного вируса.


А вот роутер сломали злыдни.
Linux Firefox
 Москва
0
0
Фыва Jr Олдж
Yes, соглашусь полностью. В мою бытность у меня года три или четыре была исключительно винда, никаких антивирусов вообще, равно как никаких вирусов и троянов. Правда игрушек тоже никаких не было, кряки с асталависты я не запускал и по порнушным сайтам не ходил.
Linux Ubuntu Firefox
 Владимир
3
0
Adamos
Вообще-то далеко не все вирусы при заражении машины дают знать об этом пользователю. Особенно если у него нет антивируса, который мог бы их заметить.
Linux Ubuntu Firefox
 Израиль
1
0
vfork (#4777209)
Во первых да, firefox это позволяет. Только, опять же, master password должен быть нормальным.

А во вторых - где ты их не храни, в конце-концов надо их ввести в браузере. То есть - браузер имеет к ним полный доступ. Причём к незашифрованным. Вы таки доверяете свой банковский акаунт гуглу или майкрософту?
Linux Ubuntu Firefox
 Владимир
0
0
Adamos
Во-первых, не гуглю и не майкрософту, судя по нашим с вами юзер-агентам ;)
Во-вторых, риск пострадать именно от Мозиллы в этом деле пренебрежимо мал. Примерно на уровне риска, что за окном в момент набора пароля пролетает дрон и фиксирует все на камеру с профессиональной чувствительностью.
Linux Ubuntu Firefox
 Израиль
0
0
vfork (#4777209)
Он пренебрижимо мал по одной простой причине - код мозилы просматривают миллионы голодных глаз. Можно ли в этом случае просмотреть бекдор - да, можно. Но с вероятностья на порядки ниже, чем в IE и Хроме, код которого видели только разработчики.
Mac Safari
 Москва
0
0
Aleksej
Я - да. Он же застрахован и это не моя головная боль.
Windows Safari Chrome
 Москва
3
0
киборд (#4481580)
Если у тебя пяток акаунтов скажем на фейцбуке (следствие многогранности твоей личности) - то проще запустить второй браузер (автоматом логящийся в другой акаунт) чем перелогиниваться всякий раз. То же с множественными адресами на каком-нть мейл.ру (неск. адресов уж точно нормальному человеку нужны).

Так что, говорите, Вивальди?.. Поставлю тоже.
Linux Ubuntu Firefox
 Владимир
4
1
Adamos
Нормальному человеку - адреса на мейл.ру? Да еще и несколько?!
Windows Safari Chrome
 Москва
1
0
киборд (#4481580)
а где их следует заводить - вместо мейла ру?
Windows Firefox
 Мурманск
0
0
zatvornik (#4909857)
Профили? Нет, не слышал.
Windows Safari Chrome
 Москва
2
0
киборд (#4481580)
ага, профили переключать - проще чем релогиться чтоле?
да и создавать профили гиморно.

да и есть проблема незакрытых табов (у меня их штук 40 обычно)) - проще держать их в разных брауерах
Windows Firefox
 Мурманск
0
0
zatvornik (#4909857)
Профили переключать - щелкнуть по ярлыку на рабочем столе. Про незакрытые табы - и в чем же проблема? Если бы вы были врачом, я не пошел бы к вам удалять гланды.
Windows Safari Chrome
 Москва
0
0
киборд (#4481580)
незакрытые табы = то, что я хотел дочитать, но пока не удосужился. Их тьмущи. Браузер грузится долго из-за этого (существует ли браузер, не пытающийся загрузить табы, пока я не попросил?). Т.о. чем больше браузеров - тем меньше табов в каждом из них.
Сохранять их в букмарки или "сессии" бессмысленно - букмарки не апдейтятся. Т.е. нормальной работы с тем, что человек _постепенно_ читает нет ни в одном браузере. Если есть - просветите, буду рад узнать.
Linux Safari Chrome
 Великобритания
2
0
ы (#4934058)
ФФ вроде вкладку перегружает только после того, как вы по ней тыкнули.
Windows Firefox
 Мурманск
1
0
zatvornik (#4909857)
Firefox загружает страницу в восстановленной после закрытия вкладке только тогда, когда вы на нее переключаетесь. Еще можно включить полезную кнопку - группы вкладок. Переключаетесь на другую группу - и у вас уже открыт другой набор вкладок - по-моему, как раз подходит для вашего случая с полусотней вкладок.
Ну и у каждого профиля всё свое, и вкладки, конечно, тоже. Менеджер профилей запускаете командой firefox -p
Для каждого профиля можно создать ярлык "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p -no-remote "myprofile"
(просто копируете существующий ярлык, открываете его свойства, и дописываете в конец ключи)
myprofile - имя профиля, предварительно созданного в менеджере профилей.
ключ -no-remote для одновременной работы двух экземпляров браузера с разными профилями. Если перед запуском браузера с новым профилем старый закрывать - можно без него.
Windows Safari Chrome
 Москва
0
0
киборд (#4481580)
тнх, хотя и печально, что это один лишь ффокс (самый неприятный по интерфейсу браузер, к-рый я отдал на растерзание жене) - но с тех пор, как опера сдохла, приходится чертте чем пробавляться..
Mac Safari
 Швейцария
0
0
Миха (#4528977)
Вот эти IE, Opera и Chrome еще живы что-ли?
Mac Safari
 Москва
0
0
Aleksej
Что значит, жив ли ие? Он с 11 версии обратно отбирать попер, правда малыми дозами.
Windows Firefox
 Сумы
0
0
rw (#4880316)
У дельфина на андроиде есть киллер-фича, которой я больше нигде не нашёл. Прокрутка кнопками громкости.
К другим браузерам, похоже, даже аддоном не прикрутить сейчас. Или я плохо искал.
Linux Firefox
 Москва
3
0
Фыва Jr Олдж
Игнорировать надо любые браузеры, которые называются не Mozilla Firefox.
Mac Safari Chrome
 Италия
0
0
Страшный Волк
На первой же попробованной форме ввода пароля начинает бесконечно выдавать свои картинки в телефон - нажал yes раз 30, наверное, не помогло. В сайт не логинит. На lleo выдало две картинки, залогинило.
Windows Firefox
 Мурманск
0
0
zatvornik (#4909857)
Хочу назад в девяностые.
Windows Firefox
 Израиль
3
0
Пашка (#4895894)
Ну а где посты от довольных?
Довольные этой штукой где, говорю?
Что молчите?
Вы есть ваще? Кроме хозяина?
Все про косяки пишут чой-то...

Если это реклама, то странная. А если бета-тестирование, то больше похоже на альфа...
Windows Safari Chrome
 Санкт-Петербург
0
0
Pavel Vlasov
Интересная штука, в любом случае! Спасибо Леониду что рассказал. Как-то так (пусть и не в точности) оно и должно быть, ИМХО.
Mac Safari
 Москва
0
0
Aleksej
Я теоретически доволен, даже при всей моей нелюбви к рнр. Надо будет попробовать в деле, конечно, чтобы быть довольным практически.
Linux Ubuntu Firefox
 Израиль
3
0
vfork (#4777209)
Попробую немедленно, как только будет исходный код клиента. Идея замечательная, даже денег готов заплатить.

Но, извините, только джентельмены верят на слово незнакомым людям. А мы пацаны простые и ни разу не джентельмены. Поэтому - карты и сорцы на стол.
Mac Safari Chrome
 Toronto
5
0
tim.satt
Держать пароли на сервере без гарантии, что они не защищены от доступа админов я бы не стал.
Я пользуюсь 1Password, удобно, кроссплатформенно, секьюрно.
Mac Safari
 Москва
0
0
Aleksej
Думаю, откуда ж дежа вю... А эти ребята на хабре оказывается светились.

Подход у них отличный, для людей.
Mac Safari Chrome
 Сочи
0
0
bitl (#4406937)
а у меня нет смартфона.
Linux Safari Chrome
 Великобритания
7
0
ы (#4934058)
Значит, Вы фыва ;)
Linux Firefox
 Москва
0
0
Фыва Jr Олдж
Может быть у него обычный мобильный телефон.
Windows Safari Chrome
 Вологда
0
0
medvedev.il (#4982534)
Странно как-то эта штука работает. Предлагает подставить парольку, только если открыт сайт TeddyID.com, и ты там залогинен. А чтобы там залогиниться, тебе после сканирования кода посылают на мыло письмо со ссылкой для подтверждения этого самого мыла. А зайти в мыло через тедди тебе не предлагается, потому что ты в тедди еще не залогинен. Т.е. мне нужно руками залогиниться в мыло, чтобы подтвердить это самое мыло. И как мне это сделать, если я понадеялся на Тедди и как страшный сон позабыл все пароли, в том числе и от этого самого мыла?

Причем вчера всё работало на ура так, как описывается, а потом я пришел домой и попробовал повторить на втором компе - и тогда начались чудеса, как я выше описывал. Причем сегодня то же самое происходит и на том компе, на котором вчера всё работало.
Windows Safari Chrome
 Вологда
2
0
medvedev.il (#4982534)
И да, вместо кенги я вижу хуенгу (фото прилагаю)

Куда рыть? И почему у тедди саппорта нету?

Windows Safari Chrome
 Вологда
0
0
medvedev.il (#4982534)
UPD

Куки включил - всё опять заработало. И хуенга стала кенгой. В этом дело было? Куки д.б. включены?

Странно как-то, ты выходишь из браузера, а твои данные остаются, как и без всякого тедди. В чем тогда смысл?

UPD-2
Кстати, вчера всё работало и без включенных куков...
Windows Safari Chrome
 Германия
0
0
_N_E_R_O_
это, скорее всего не куки, а хром. у меня похожее иногда вылазиет, когда хочу оставить просто коммент. В firefox всё нормально
Windows Safari Chrome
 Вологда
1
0
medvedev.il (#4982534)
В общем, с точки зрения не обремененного знаниями юзера - штука сомнительная. Если куки выключены (удаляются при закрытии браузера) - каждый раз нужно снова авторизовываться на теддиид.ком, причем с подтверждением через почту (в которой тоже нужно заново авторизовываться, сиречь, помнить пароль), после чего всё работает, но только до первого закрытия браузера, после чего начинай всё сначала. А если куки включены, то пароли и так сохраняются без всякого тедди.

Где я неправ?
Linux Safari Chrome
 Москва
3
3
Leonid Kaganov
Давно хотел спросить. Скажите, а зачем "необремененный знаниями" юзер отключает куки? Чтобы что? Обмануть Обаму? Или в куках вирусы?
Linux Safari Chrome
 Москва
2
0
Leonid Kaganov
Ну, во-первых, пароли не хранятся в куках. Никогда. Даже у школоты не встречал.

Если речь не о паролях, а просто о неких данных или авторизациях, то кроме кук есть множество способов хранить данные в вашем браузере (насколько я помню, 12 способов до недавнего времени насчитывалось - от localstore и flashcookie до совсем экзотических). И вы их не отключите так просто. А пользуются ими потихоньку все, начиная от Яндекса.

Дальше объяснять лень. Но при следующем наличии вдохновения и времени я сделаю, чтобы авторизация в моем дневнике не зависела от кук и не сбрасывалась вообще.
Windows Safari Chrome
 Вологда
1
1
medvedev.il (#4982534)
Тогда, пожалуйста, не обижайтесь, если кто-то от моего имени начнет утверждать, что Лео - упырь и лысый хер :)

Я мало что понял из всех Ваших страшных слов, для меня имеет практическое значение только одно: может кто-то зайти на некий сайт из-под моей учетки без меня и мне напакостить или не может. И какие кнопки надо нажать, чтобы себя в этом смысле обезопасить. Остальное - мутная техническая лирика, рядовому юзеру ее знать неинтересно.
Windows Safari Chrome
 Вологда
1
0
medvedev.il (#4982534)
Для того, чтобы после того, как я закрыл браузер, в нем не остались логины-пароли. Я компьютер с собой не ношу, я ушел, а он остался на столе. Как-то так

Ваш стеб понятен, но я вовсе не параноик, просто в моем понимании компьютер не должен дать никому, кроме меня, доступ к моим учеткам без моего ведома.

Ну или компьютер может быть просто не моим, а, например, соседским или общественным. Там мне тоже надо своих куков наоставлять? И как мне в интернет-кафе почту проверить (не помня пароля), если я не могу зайти в почту, пока не зайду в тедди, а в тедди не зайду, пока не зайду в почту?

UPD
А теперь еще интереснее: всё вдруг стало работать как надо (куки включены), при этом после закрытия и снова открытия браузера все логины-пароли исчезают, я снова незалогинен нигде (кроме см. вопрос 2 ниже), все предлагают залогиниться через тедди с подтверждением картинки или без него (если до этого залогинился на тедди через подтверждением картинки). Конфирмации через почту не просит. Т.е. типа заработало, как полагается. Но остаются 2 вопроса:

1. Как все-таки проверить почту на постороннем компьютере? да если там никакой тедди-плагин вообще не установлен?

2. Почему сайт lleo.me в виде исключения логинит меня (или злоумышленника, который без меня зашел с моего компа) автоматом и без дополнительных вопросов?

И да, представляется, что разработчики и толкатели любой проги, которые хотят получить больше десяти пользователей, а это неизбежно ламеры типа меня, должны быть готовы просто и понятно ответить именно на такие вопросы, причем лучше заранее, до того, как у юзера возникли непонятки. А в факе у тедди слово "cookies" вообще не встречается, к слову сказать
Mac Safari Chrome
 Москва
0
0
Антон Чурюмов (#4972205)
Куки нужны.
Мы аутентифицируем пользователя по двум устройствам - браузеру (куки) и телефону (данные в приложении).
Если вы удаляете куки при закрытии браузера, то когда вы открываете браузер снова, мы видим новый браузер. Поэтому одного из устройств теперь нет, и мы вынуждены прибегать к другому менее удобному способу убедиться, что вы это вы - проверять контроль над email адресом. После этого мы помечаем новый браузер как известный и вы можете снова пользоваться удобным логином ... до тех пор пока снова не удалите куки.

Не обремененные знаниями пользователи обычно не лезут в настройки браузеров (если только никто не дал им "добрый совет"), и куки у них работают как задумано.

С точки зрения безопасности, частая чистка кук мало что дает. Помогает только для privacy, чтобы google и facebook за вами не шпионили.
Windows Safari Chrome
 Вологда
1
0
medvedev.il (#4982534)
Антон, спасибо за Ваш ответ, многое стало понятнее.

Не подскажете заодно, как все-таки проверить почту на постороннем компьютере? Или правильный ответ будет что-то типа "никак, тедди это фича для своих, часто используемых компьтеров, а пароль от почты надо все-таки запомнить или проверять на телефоне, если свой еомп недоступен"?

Насчет работы куков - как я понимаю, одним из следствий их сохранения является то, что когда ты открываешь некий сайт, где ты до этого логинился, то ты автоматом логинишься снова, (и если это не ты, а злой дядя, то он тоже логинится за тебя), нет?
Mac Safari Chrome
 Москва
1
0
Антон Чурюмов (#4972205)
Тедди это действительно для своих часто используемых компьютеров (не такой уж редкий случай!). По поводу почты, если вы получаете почту в почтовой программе (не в браузере), то так как правило пароль уже запомнен. Если читаете почту в браузере и постоянно сбрасываете куки, то придется помнить один пароль - для почты. Но если вы постоянно удаляете куки, не думаю, что тедди будет вам удобен.

«Насчет работы куков - как я понимаю, одним из следствий их сохранения является то, что когда ты открываешь некий сайт, где ты до этого логинился, то ты автоматом логинишься снова, (и если это не ты, а злой дядя, то он тоже логинится за тебя), нет?»

Мало таких сайтов, которые автоматически без вашего согласия логинят вас только по кукам (если вы сами не отметили галочку "запомнить меня на этом компьютере", но тогда это ваш выбор). Но сайты могут использовать наличие или отсутствие куки для вашей безопасности. Скажем, если вы вводите правильный пароль и кука у вас есть, то у сайта повышается уверенность, что это действительно вы. Если вы вводите правильный пароль, но куки нет, то при наличии других подозрительных факторов сайт может решить, что есть вероятность, пароль у вас украли и хорошо бы провести дополнительные проверки. Однако немногие сайты имеют такие процедуры, насколько я знаю.
Linux Safari Chrome
 Белоруссия
12
0
kstep (#4973704)
[paranoid mode]
Вроде всё очень гладко и удобно, но весьма смущают несколько вещей. 1) Кто такой Антон Чурюмов? 2) Что за безвестная до сих пор фирма «Платформа Матрица»? 3) Почему я должен доверять им все мои пароли, всю мои аутентификацию на всех сайтах?

Судя по гуглежу, TeddyId создан русской фирмой, а учитывая последние тенденции в рунете со всякими запрещалками и слежкой, такой продукт от русских, фактически берущий под контроль все пароли пользователя, выглядит более чем подозрительно.
[/paranoid mode]
Windows Safari Chrome
 Санкт-Петербург
0
0
alpas
меня в принципе устраивает система автоподстановки паролей из Гуглхрома, но в последнее время появляется всё больше сайтов, где вместо обычных текстовых полей логин/пароль используются какие-то гламурные зализанные хреньки на скриптах, куда браузер не может ничего подставить (даже иной раз емейл через специальное расширение). ближайший пример - Сбербанк Онлайн (не вижу кнопки "вставить ссылку"):
https://online.sberbank.ru/

как с такими сайтами у Teddyid?
Mac Safari Chrome
 Москва
0
0
Антон Чурюмов (#4972205)
Со Сбербанк Онлайн все хорошо.
Linux Firefox
 Москва
2
0
Фыва Jr Олдж
У сбербанка специально сделано против всяких робото-копипаста-умников:

~~~
<!--фэйковые поля логина и пароля. нужны чтоб особо умный google chrome не запоминал пароль -->
<input style="display:none" type="text" name="fakeLogin"/>
<input style="display:none" type="password" name="fakePassword"/>

<div class="b-field" onclick="return{type: 'login', valid:{required: true}}">
<div class="field_inner">
<input type="text" class="field_input" name="field(login)" id="login" maxlength="30"/>
<label class="field_title" for="login">Логин, идентификатор</label>
</div>
</div>
<!-- // b-field -->

<div class="b-field" onclick="return{type: 'password', valid:{required: true}}">
<div class="field_inner">
<input type="password" class="field_input" id="password" maxlength="30"/>
<label class="field_title" for="password">Пароль</label>
</div>
</div>
<input id="hiddenPasswordField" type="hidden" name="field(password)" />
~~~
Windows Firefox
 Москва
0
0
Nikolay Paskevich
Потерял забыл мобилку или села батарейка и кирдык?
Windows Safari Chrome
 Atlanta
0
0
Evgeny (#4352862)
Залогинился обычным способом.
Windows Firefox
 Израиль
3
0
garik64
После введения новой системы сайт меня забыл. Залогинился снова (через жеже, как обычно). Вроде он меня вспомнил, но зато перестал сохранять изменения в карточке. Пытаюсь поставить галку на "присылать комментарии на e-mail" - не сохраняет. И не присылает.

"Мать этой Скарапеи не залюбила. К обеду не зовет, по отчеству не величат, имени не спрашиват, а выйдет змея на крылечке посидеть, дак матка Ванькина ей на хвост кажной раз наступит".
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
А нажимаешь ли ты кнопку "сохранить" внизу карточки или просто ставишь галочку и закрываешь ее? Одно время у меня было так, потом я вернулся к необходимости нажимать "сохранить" - не помню уже, почему, какое-то соображение безопасности было.
Windows Firefox
 Израиль
0
0
garik64
Разумеется, ставлю. Жму "сохранить", выхожу из карточки, запускаю снова - чекбокс чист.
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Можешь мне на lleo@lleo.me прислать свою авторизационную куку unic5_dnevnik_ ? Что-то типа "1233089-AFfEae3T7faEae&fe34eF".

У меня тут было на днях крупное ЧП с парой аккаунтов людей, которые что-то делали со своей учетной карточкой во время того, как я переписывал движок (я там много изменений внес заодно уж). И я чуть с ума не сошел, когда мне эти люди стали писать о том, что сайт перестал работать вообще - при том, что у меня все работало в любых комбинациях, с любыми браузерами. Пока я не догадался попросить их прислать куку, вбил себе в браузер, зашел как их учетка и только тогда увидел сам симптомы (они были связаны именно с опциями в карточке). Может, здесь тоже что-то такое, залипшее исключительно в твоей учетке?
Windows Firefox
 Израиль
0
0
garik64
> Может, здесь тоже что-то такое, залипшее исключительно в твоей учетке?

Сильно надеюсь. Отправил.
Linux Firefox
 Москва
0
0
Фыва Jr Олдж
> Пытаюсь поставить галку на "присылать комментарии на e-mail" - не сохраняет. И не присылает.

Поддерживаю. Раньше мне e-mail приходил с ответами на мой срач, а теперь вот уже который день я вынужден перечитывать все каменты к предыдущим двум-трём постам (на большее терпения нет) в поисках ответов именно мне. Я уже и дополнительный e-mail указал, думал хоть туда будет приходить. Пришёл запрос на подтверждение этого e-mail'а, а уведомлений/каментов что на основной, что на этот как не было, так и нет. Хотя перечитывая каменты к предыдущим двум-трём постам я ответы себе вижу и далеко не один.
Linux Firefox
 Richardson
0
0
Михаил (#1684620)
> вынужден перечитывать все каменты к предыдущим двум-трём постам (на большее терпения нет)

Есть же dnevnik/comm, где все комментарии в хронологическом порядке.
Linux Firefox
 Москва
0
0
Фыва Jr Олдж
Да это хрень какая-то, comm этот.
Windows Firefox
 Израиль
0
0
garik64
> Я уже и дополнительный e-mail указал, думал хоть туда будет приходить.

Аналогично. Я ещё и телефон указал, и год рождения, и даже забытый IE расчехлил и с него залогинился... Ничего не помогает.
Windows Firefox
 Израиль
4
0
Пашка (#4895894)
Миновали сутки, а восторга у публики по-прежнему не наблюдаю.
Ни одного положительного отзыва.
Ни одного.
Плохо искал?

В плюс, однако, то, что никакой засланный казачок не пришел и не написал, что поставил и поюзал Тедди, и мол, это куууул!
То есть, все по-честному.
Что по нонешним временам не так мало...
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
На моем сайте TeddyId на данный момент привязали к своим учетным карточкам 29 человек, включая меня.

Также надо понимать, что браузерный костыль-запоминалка - это побочный продукт TeddyId, для бедных. Основной продукт TeddyId - это API (и даже не урезанная JS-версия) для установки на сайты, чьи владельцы для своих клиентов (например, компании для своих сотрудников) желают надежной двухфакторной авторизации. То есть, то, что сделал на своем сайте я. Я - доволен :)
Mac Safari
 Швейцария
0
0
Миха (#4528977)
Непонятно, в чем упрощение или улучшение безопасности для рядового пользователя? Не вводить пароль, а каждый раз нажимать на кнопку смартфона?
Вообще, это упрощение для потенциальных злоумышленников. Не надо никаких паяльников в жопу; достаточно отобрать или украсть смартфон, и тут же совершить платеж/перевод.

Я думаю, лет через 5-10 необходимость паролей вообще может отпасть. Биометрические паспорта сейчас уже везде, отпечатки пальцев берутся. Отпечаток заменит и имя пользователя, и пароль. Ну или что там еще используется для полной идентификации - сетчатка глаза, слепок уха, днк...
Поднес чип, встроенный в кожу, к двери - она открылась. Все, никаких лишних манипуляций.
Windows Firefox
 Израиль
4
1
garik64
И опять наступит время паяльников. Паролей не будет, отрезанные пальцы распознаются уже сегодня, про фотографии глаза я и не говорю. Что останется? Втсавить паяльник в подходящую жопу, нажать кнопочку - и владелец жопы вприпрыжку побежит прикладывать палец к датчику.
Mac Safari
 Швейцария
0
0
Миха (#4528977)
В эпоху развития интернет-технологий паяльники вообще не будут продаваться.
Ну кому будет интересно нарушать физическое пространство, хоть и с паяльником, если все уже сейчас сидят виртуально в вк/фс/итд.?

Этих психов будут сразу же заключать в одиночные камеры без доступа к интернету. Через полгода заключения они автоматически выпадут из круга своего общения и сойдут с уна.
Linux Firefox
 Швеция
2
0
Копыждьир (#4988004)
Биометрия - разводка для лохов маркетинг для потребительской аудитории. Нет ни одного надёжного и не поддающегося компрометации биометрического метода. Все эти рисунки роговицы, отпечатки пальцев и прочая воспроизводятся без особых трудностей при наличии хотя бы фотографий объекта. Банальный 4-значный пинкод и то безопаснее будет, при всех его издержках.
Linux Safari
 Швейцария
1
0
Миха (#4978889)
Какие ваши доказательства? Вы криминалист?
Windows
 Каменск-Уральский
0
0
D.iK.iJ
Разрушителей мифов смотрели? Там было
Mac Safari
 Швейцария
0
0
Миха (#4528977)
Вот именно они мне и пришли на ум. Было. Подделать отпечаток пальца они не смогли, хоть и пытались.

Но поскольку вышеотметившийся комментатор так и не ответил, то будем считать, что слив засчитан.
Linux Firefox
 Москва
0
0
Фыва Jr Олдж
Ну а почему не подойдёт отрубить палец у владельца пароля и прикладывать его (палец носителя) к считывателю? Разрушители мифов само собой именно так не пробовали, но чем не вариант?
Linux Safari
 Швейцария
0
0
Миха (#4978889)
Потому что это уже не проблема компьютерной безопасности. Любую систему пароля можно вскрыть, если приставить пистолет к виску.

Я как-раз и хотел вначале сказать, что для взломщика никакие пистолеты и паяльники не нужны будут если все пароли будут хрвниться на одном смартфоне.
Windows
 Каменск-Уральский
0
0
D.iK.iJ
Палец не нужно отрубать. Там брали просто отпечаток с кружки, сыпали пыль, сканировали и сложнейший замок открывался обычной бумажкой с крисунком.
Кажется, облизнуть ее надо было на особо умных замках.
Windows Firefox
 Израиль
0
0
garik64
> почему не подойдёт отрубить палец у владельца пароля и прикладывать его (палец носителя) к считывателю?

С этим уже борются. Датчик считывает отражение не только с поверхности, а ещё и с "подложки", т.е. просвечивает на какую-то глубину. Эта картина отличается у тёплого и холодного пальца (не обогреваемого током крови изнутри, т.е. принести его в термосе не вариант). То же самое касается глаза. Разумеется, речь о продвинутых датчиках. Как именно это делается, не знаю: читал в каком-то научпопе.
Mac Safari
 Швейцария
0
0
Миха (#4528977)
Блеа, ну подогреют его... дело не в этом.

Для взлома пароля зашитого в смартфон достаточно всего лишь спиздить смартфон. А на нем обычно 4-значный код, причем без ограничения кол-ва вводов. От симки функциональность смартфона никак не зависит. Все данные можно считать, даже не имея сим-кода. Это же обычная флешка.

Для взлома традиционных паролей (букво/цифры) хотя бы из 10 символов необходимо применить физическое воздействие, тк. они защищены от брутфорса.
Windows Firefox
 Москва
0
0
vctor
А подогреть отрубленный палец несколько секунд в микроволновке (или в переносном волновом генераторе)? Внутри палец будет теплее, чем снаружи.

Можно ещё отпечатать на 3D-принтере штамп с чужими узорами пальцев, и прикладывать его к тонким напальчникам. В первый раз напальчник надевается на УФ-лампу и смазывается мономером.
Linux Ubuntu Firefox
 Thornhill
0
0
negoro
От меня положительный отзыв. Для компьютера на работе очень удобно. Для домашнего уже излишне. Хотя если поеду куда с ноутом то включу на всякий случай.
Windows Safari Chrome
 Петрозаводск
0
0
igronus (#4288603)
Остроумно, но все равно слишком много телодвижений и очень неудобно.

По поводу отсутствия поддержки этого добра у крупных игроков рынка -- именно. И взлетит оно, когда гугль (и/или подобные) сделают подобное приложение предустановленным на смартфонах. А в текущих реалиях у Тэдди шансов занять нишу маловато.
Windows Safari Chrome
 Москва
0
0
akaprog (#4977159)
а если у них вся база утечет?..

Или хак через дыру в браузере (когда установлен через плагин - вы авторизуетесь, а на самом деле авторизуете злоумышленника).

Чем это лучше, чем системы типа Authentificator (от Microsoft) и прочие гибкие двухфакторки?
Mac Safari Chrome
 Москва
4
0
Антон Чурюмов (#4972205)
Это может звучать неожиданно, но даже если у нас вся база утечет, с вашими паролями от других сайтов ничего не случится. У нас их нет.
Linux Firefox
 Швеция
0
0
Копыждьир (#4988004)
>если одновременно убить и браузер и смартфон, пароли будут утеряны, но это ж надо постараться
Да ладно, ничего сложного же. "Убивание" всех куков и прочих локальных хранилищ браузера у некоторых вообще по дефолту включено.

И вообще вроде бы статью начинали с того, что у паролей проблемы с компрометацией, а не с утерей.
Mac Safari
 Москва
0
0
Павел (#4989183)
А предусмотрено там разделение пароля больше чем на два ключа? В корпоративе было бы удобно для контроля доступа делить на 3-4 части. И плохо что только веб, пароли нужны много где... Менеджер нужен
Mac Safari
 Швейцария
5
0
Миха (#4528977)
Вот этим разработчикам систем на местах может кто-нибудь внятно объяснить, что пароль из 8 символов но с заглавными буквами взламывается легче чем просто пароль из 8 символов без ограничений?

Я бы объяснил, но в рядах моих знакомых этих долбоебов замечено не было.

Для начала можно взять пароль из одного символа кириллицы. Прописных и заглавных всего 66 вариантов,
но если хотя бы один символ должен быть заглавной буквой, то вариантов остается только 33. Получается в 2 раза меньше вариантов для взлома для этого конкретного пароля.

На 8 символов тоже легко экстраполировать.
Кто вообще придумал эту херь с цифрами, заглавными буквами и проч?
Linux Ubuntu Firefox
 Москва
3
0
Leonid Kaganov


"Докажите, что вы не робот: введите слова, которые видите на картинке. Чем больше слов введете — тем больше вы не робот!"
Windows Firefox
 Израиль
1
0
Пашка (#4895894)
Некрософт, кто же еще!
Еще тупее: они когда учут ссысьадминов, рекомендуют им рядовых юзеров - чтобы проще было - заставлять ставить первую букву пароля заглавную, вторую строчную, и чтобы они были первыми буквами имени и фамилии юзера. Далее рекомендуют ставить цифры.
Я предполагаю, что так написано где-то у них в учебниках, или в методичках каких-то, ибо именно такие рекомендации разные мои знакомые люди получали на трех независимых местах работы, в разных компаниях.
Соответственно сила пароля при такой системе падает порядков на несколько.
Повидимому, так их учут где-то там, откуда они все вылазят на свет. Никаких других объяснений не вижу.
Mac Safari
 Москва
0
0
Aleksej
Да ну, вот про рекомендации как раз сказки. Никогда не встречал и не слышал. В отличие от логинов.
Mac Safari
 Москва
1
0
Aleksej
Это сделано для того чтобы брутфорсом по словарю не подобрали. Только никто не подумал, что заглавную букву вводят в 99 проц случаев первой.
Windows Firefox
 Обнинск
4
0
wgent.com@Wgent.com
Увеличение длины пароля, увеличение ассортимента допустимых знаков - всё это фигня, никак не помогающая защитить юзеров.
Защита от брутфорса может быть только одна: ограничение числа попыток в единицу времени. Причём с отсечкой именно по атакуемому логину, ни в коем случае не по IP атакующего.
Даже если требовать многацифер и букаф, непременно найдётся дофига умников, которые поставят себе пароль "Cvbnm,1234567890" - они-то и окажутся слабым звеном.
Linux Ubuntu Firefox
 Москва
0
0
Сережа (#4836300)
Разберем эту ситуацию.
Есть почтовый сервер - мейлсру, и там есть пользователь - wgent. Ограничение на количество попыток логина - 10 штук в минуту. Некий злоумышленник запускает скрипт, который пытается залогиниться пользователем wgent. Скрипт работает постоянно и делает более чем 10 попыток логина в минуту. Внимание вопрос, когда настоящий пользователь сможет почитать свою почту?
Linux Ubuntu Firefox
 Владимир
0
0
Adamos
Как раз если требовать какие-то искусственные многоцифр, пользователи с нормальными, привычными и несловарными паролями будут вынуждены поставить что-то более слабое, просто чтобы не забыть этот пароль. Профанация, граничащая с вредительством.
Насчет ограничения числа попыток - могу вам прислать TrueCrypt-контейнер, можете брутфорсить его на чем хотите и без всяких ограничений. Пароль - тривиальная, легко запоминающаяся фраза на 36 символов. Без всяких цифр и с единственной заглавной буквой - первой. Welcome!

Насчет "умников" - я таки воспринимаю системы, которые не считают, что знают правильное обращение с паролями лучше меня, более дружелюбными. А тех, которые чего-то требуют от моего пароля - хамски безразличными к пользователю. Как в советской конторе - бюрократизм, возведенный в принцип, вместо реальной помощи.
Linux Firefox
 Москва
4
0
Фыва Jr Олдж
> Как в советской конторе - бюрократизм, возведенный в принцип, вместо реальной помощи

Вот!

(*) Имя
(*) Фамилия
___ Отчество
___ Страна
___ Город
___ Адрес
___ Номер домашнего телефона
(*) Номер мобильного телефона

поля отмеченные знаком (*) являются обязательными для заполнения


Нахуй такие сервисы, однозначно нахуй! На Страну/Город/Адрес я согласен, без этого обычный человек ну никак не может (если он не БОМЖ конечно), но вот то, что "Номер мобильного телефона" является обязательным полем... Да идите вы в пизду! Я никому не обязан обзаводиться мобильным телефоном! И таких сервисов в последнее время стало ой как много и становится с каждым днём всё больше. Уроды, просто напросто уроды, ублюдки и долбоёбы!
Linux Ubuntu Firefox
 Владимир
0
1
Adamos
Ну, кое-где вполне можно указать none@never.no в качестве почты и +7(4922) 33-33-33 в качестве телефона. Но таких мест все меньше, в основном "или ты нам сливаешь свои реальные спам-контакты, или ты нам неинтересен".
Linux Firefox
 Москва
0
0
Фыва Jr Олдж
e-mail я как правило указываю или bgates@microsoft.com если там проверяется только существование домена, или временный адрес на каком-нибудь сервисе anonymous mail, на который можно получить ответ в течении нескольких часов чтобы получив его жмакнуть там ссылку "Подтвердить e-mail". В качестве телефона +7-495-100-0000. Но если [как gmail например] они будут на этот номер слать SMS с кодом подтверждения, то +7-495-100-0000 уже никак не подойдёт. Поэтому и ненавижу такие сервисы и держу мобильный телефон только для них. Если данный сервис мне ну очень нужен и обойтись без него я никак не могу, приходится тогда мириться с этим уродством.

Блин, даже пиццу не заказать не зарегистрировавшись с номером мобильного телефона! :-E
Windows Safari Chrome
 Кременчуг
0
0
ЖК (#4192766)
> Увеличение длины пароля, увеличение ассортимента допустимых знаков - всё это фигня, никак не помогающая защитить юзеров.
> Защита от брутфорса может быть только одна: ограничение числа попыток в единицу времени.
Всё это верно, если речь идёт об удалённом брутфорсе. А вот против подбора по уведённому каким-либо образом хешу как раз и поможет больше символов, хороших и разных.
Linux Firefox
 Richardson
0
0
Михаил (#1684620)
> Кто вообще придумал эту херь с цифрами, заглавными буквами и проч?

С паролями это ещё фигня. JPMorgan Chase вот вообще придумал, что даже «User ID: Must contain at least one letter and one number»...
FreeBSD Firefox
 Москва
0
0
rea (#4994524)
Ну и где в первом варианте "пароль исчезает"? Он в броузер пользователя по частям собирается? Собирается. Значит можно с помощью специально заточенной malware перехватить.

Ну и эта штука -- это не настоящий two-factor, это two-piece password split. Авторизационный токен -- один, пароль, по-крайней мере, в первом варианте.

Ну и есть вопросы в том, как пароль делится на две части и чего/как доставляется на пресловутый сервер TeddyID. Если тупо на две части и сам сервер может видеть свою часть незашифрованной, то это называется "давайте мы снизим количество вариантов по подбору вашего пароля в корень из их числа раз". Ну а потом, например, кому-то продадим. Или отдадим, если хорошо попросят. Паранойя? Входит в мои служебные обязанности.
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Первый вариант - костыли для бедных.
Я использую на своем сайте третий вариант - полноценное API.
FreeBSD Firefox
 Москва
1
0
rea (#4994524)
Третий вариант ("TeddyId для организаций", я полагаю) у вас совсем не описан (кроме того, что в нём до фига всего, цифровая подпись и все дела), но заявления с основного сайта "Each time you log in with TeddyID, you are using two devices: your computer and your phone. That's why the security level is the same as when using any modern Internet bank." наводят на мысль, что люди либо хотят попиариться, либо не знают, о чём говорят, поскольку переход от первого утверждения ко второму -- несколько произволен.

Пряники типа "генерируем 6-циферный код когда вы в offline" приятны, но тоже на two-factor не особенно тянут. И, конечно, очень интересно, как именно этот код генерируется и почему я не могу подсмотрев ваш текущий код угадать следующий. В one-time passwords (RFC 2289, для примера, http://www.ietf.org/rfc/rfc2289.txt) это, допустим гарантируется однонаправленностью хеш-функции и тем, что свойства этих функций неплохо изучены. Как тут -- неясно.

Заявления из раздела "Where are the passwords stored?" выглядят занимательно, но если encryption key -- на устройстве, а приложение-клиент может получать ciphertext (возможно после того, как выберет правильную картинку, а, может быть, и просто так), то роль malware во вскрытии пароля возрастает до небес и про раздел "More secure than passwords" можно забыть: keylogger не нужен, нужна другая вариация заразы.

Ну и, конечно, на всём сайте не видно никаких исходников и/или описаний используемых алгоритмов и характерных черт реализации системы. А дьявол -- он в деталях, в криптографии -- особенно.

Ну и я уже не говорю о том, что заявлять, что "у нас хранится только зашифрованная часть пароля, а ключ расшифрования -- у вас, только у вас" при наличии полного контроля над реализацией клиента и невозможностью никак кроме reverse engineering сделать своего клиента -- это, как бы получше выразиться, несколько неоправданно.

Но, наверное удобно и вселяет чувство уверенности: two factor, не хуже, чем в банке, все дела.
Linux Safari Chrome
 Москва
1
0
Leonid Kaganov
Описания алгоритмов на сайте есть - там классический AES указан.
FreeBSD Firefox
 Москва
0
0
rea (#4994524)
Там говорится, что используется AES. Но вопрос не только в том, что используется, а ещё и какая именно реализация AES и _как_ он используется.

Можно использовать реализацию AES, в которой куча side channels. Это будет AES, только он некоторым особенно умным ребятам очень много сможет сказать о том, чего они шифрует и как это расшифровать не пользуясь банальным сливом информации.

Можно использовать божественную реализацию AES, в которой нет вообще ни одной ошибки, только забыть инициализировать генератор случайных чисел. Debian знает как: https://www.schneier.com/blog/archives/2008/05/random_number[...], есть даже картиночка: http://www.xkcd.com/424/

Вариантов -- море. Ответ на вопрос "а почему все они не реализуются?", видимо, пока один: "мамой клянус, э!".
Linux Safari Chrome
 Москва
1
0
Leonid Kaganov
А вот идея возможности написания собственного клиента для TeddyId мне нравится - я бы там сделал архив запросов, например:)
Mac Safari Chrome
 Москва
1
0
Антон Чурюмов (#4972205)
«Ну и где в первом варианте "пароль исчезает"? Он в броузер пользователя по частям собирается? Собирается. Значит можно с помощью специально заточенной malware перехватить.»

Можно. Мы честно говорим об этом в таблице на https://www.teddyid.com/sites.php#comparison. Первый вариант это действительно быстрый и дешевый способ решить часть проблем с паролями, только часть! Конечно, это не 2factor.

Части, на которые делится пароль, это ключ шифрования и шифротекст. Конечно, при таком делении мы ничего не теряем в отношении количества вариантов перебора.
FreeBSD Firefox
 Москва
0
0
rea (#4994524)
> Части, на которые делится пароль, это ключ шифрования и шифротекст.

Видимо, тогда не пароль делится, а части, одна из которых направляется к вам (шифротекст), а другая -- остаётся у клиента (ключ). Просто шифротекст -- это результат зашифрования пароля, поэтому пароль делиться на шифротекст и ключ просто не может.

> Конечно, при таком делении мы ничего не теряем в отношении количества вариантов перебора.

Это смотря какую модель угроз мы рассматриваем. Если я предполагаю, что вы можете быть враждебными по-отношению к своим пользователям (а PRISM показывает, что в жизни всё непросто) или не совсем компетентными в написании кода (что тоже бывает), то если генерация ключа происходит в вашем софте, тогда вы можете банально сделать в алгоритме его генерации trap-door: кто не в курсе будет перебирать всё, а кто в курсе -- тот не будет. Ещё раз: слова "конечно", "будет работать", "не хуже чем" -- они нуждаются в подтверждении.


Ну и насчёт кода/алгоритмов: граждане, посмотрите, например, на Tarsnap (http://tarsnap.com/). Если уж вы не хотите публиковать код и совсем интимные детали реализации, то хотя бы сделайте так, http://www.tarsnap.com/crypto.html, так, http://www.tarsnap.com/scrypt.html, так, http://www.tarsnap.com/kivaloo.html, и так, http://www.tarsnap.com/spiped.html. Колин Персиваль не просто так это сделал и не из чистой любви к open-source (хотя он её того, любит). Это ещё и отличные примеры того, как люди, которые хотят понять чего и как тут с крипто, могут посмотреть на используемые алгоритмы и хотя бы на часть кода и оценить, надо им такое счастье или не очень.
Mac Safari Chrome
 Москва
0
0
Антон Чурюмов (#4972205)
Генерация ключа происходит в нашем софте на стороне клиента. Код открыт:
https://www.teddyid.com/js/teddypass_server.js
Приглашаю поискать trap-doors и ошибки в коде.
FreeBSD Firefox
 Москва
0
0
rea (#4998904)
А вы уверены, что пользователь получит именно тот JavaScript, который вы хостите на своём сервере? Использование там HTTPS ещё не даёт такой гарантии: у кого-то тоже может быть сертификат для teddyid.com, подписанный УЦ, распознаваемым стандартными броузерами. Фактически, коммерческие УЦ делают очень мало, чтобы проверить принадлежность доменного имени. Есть, конечно, extended validation, однако не совсем очевидно, как именно пользователь поймёт, что он используется. Мы в своём маленьком кружке по безопасности и авторизации, https://www.igtf.net/, однажды делали такое тестирование. И два уважаемых УЦ выдали нам сертификаты для одного и того же доменного имени без каких-то сильных проблем, хотя запрашивали разные люди, к этому домену имевшие, в-общем, слабое отношение. Ну и, опять же, допустим в Cisco Ironport можно сделать HTTPS Inspection, https://supportforums.cisco.com/discussion/11723386/how-setu[...], для чего нужен всего лишь subordinate root, у которого basicConstraints выставлены в CA:true + ещё кое-что. Конечно сейчас уже коммерческие УЦ таких сертификатов обычным людям не выдают, но если, допустим, машины клиентов — в Windows-домене или как-то ещё централизованно настраиваются, то сделать нужную политику очень несложно.

Проблема доставки крипто-кода на JavaScript _каждый раз_ в броузер клиента — она очень сложна, гораздо сложнее проблемы "доставим код в виде дополнения один раз". Поэтому если ваша крипто-часть на стороне полностью опирается на указанный JavaScript, то, боюсь, там даже side channels не нужны, можно просто пойти другим путём.
Windows Safari Chrome
 Somerville
0
0
Kirill
> двухфакторная система авторизации, которая позволяет забыть о паролях (и их утечках) не только на сайтах

Если пароля вводить не надо, то это остается однофакторной авторизацией.

Три фактора:
1) что ты знаешь (например пароль)
2) что у тебя есть (например смартфон или токен)
3) чем ты являешься (например отпечаток ладони или скан радужки)

В данном случае, если я понял, после настройки системы остается только второй пункт -- смартфон.



PS Тот факт что при утере телефона надо срочно куда-то нестись и блокировать аккаунты меня напряг бы. Для обычного человека на важных аккаунтах (например основная почта) предпочтительна все-таки двухфакторная авторизация. А чтобы запоминание пароля было не в напряг, надо просто следовать совету XKCD: http://xkcd.com/936/
Linux Safari Chrome
 Москва
1
0
Leonid Kaganov
Неправильно понял.
Двухфакторная - когда два фактора.
В данном примере половина ключа на компе, половина в смартфоне.
Украв ноутбук либо смартфон, пароль не получить. Только если и то и другое вместе.
FreeBSD Firefox
 Москва
1
0
rea (#4994524)
Чисто на всякий случай: авторизация — это когда уже знают, кто вы есть такой, и хотят понять, давать вам права или нет. А то, о чём вы разговариваете — это аутентификация, проверка того, что вы — тот, за кого себя выдаёте.

Аутентификация: — "Это Вася, он с нами вчера бухал". — "Ага, вон бланж под глазом, узнаю свой почерк".

Авторизация: — "Василию нальёте?". — "Свой человек, чего не налить".
Mac Safari Chrome
 Москва
0
0
Антон Чурюмов (#4972205)
rea, рад встретить брата по разуму :), а то я думал, что я один, кто обращает внимание на аккуратное использование терминов "авторизация" и "аутентификация". У нас в России к сожалению очень часто пишут "авторизация" когда на самом деле имеют в виду "аутентификацию".
FreeBSD Firefox
 Москва
0
0
rea (#4998904)
К-сожалению, это не зависит от региона, национальной принадлежности и вероисповедания. Просто есть 10 типов людей: которые в курсе и которые не в курсе. Но это так в любой области, крипто тут ничем не выделено. Ну и одна из ролей знающих людей — это нести своим знания в массы, чисто чтобы разумное, доброе и вечное как-то размножалось, а не наоборот.

Ну и, конечно, путаница с AuthN и AuthZ — это ещё и некий тест на то, кто именно перед тобой. И его отрицательный результат обычно говорит о том, что дальше с человеком лучше в этот раз разговаривать строго о погоде.
Linux Firefox
 Москва
1
0
Фыва Jr Олдж
Гы гы гы! :-) Отсюда: https://news.mail.ru/society/21065199/?frommail=1

~~~
ЛОС-АНДЖЕЛЕС, 13 февраля. /Корр. ТАСС Виталий Макарчев/. Президент США Барак Обама в пятницу признался, что не отличался особой изобретательностью, когда придумывал пароли для работы в интернете.

«Многие из нас достаточно легкомысленно относились к вопросам защиты собственной информации», — заметил он в своем выступлении на первом общенациональном саммите США по кибернетической безопасности и защите потребителей, который открылся в калифорнийском Стэндфордском университете.

По словам Обамы, он использовал слово «password» в качестве пароля для входа в свою электронную почту и другие приложения. Правда, признался президент, у него была и более сложная комбинация — «1,2,3,4,5,7». «С некоторых пор я его (пароль) сменил», — сообщил он.

Проходящий в Кремневой долине саммит посвящен партнерству частных компаний и государства в вопросах кибернетической безопасности. Одной из его главных тем является разработка технологий идентификации пользователей интернета, позволяющих отказаться от традиционных паролей.

~~~
Linux Ubuntu Firefox
 Москва
4
0
Leonid Kaganov
Отлично. Внес строчку в движок: ajax/login.php:

if($i=='password'||$i=='123457') idie("Это <a href='https://news.mail.ru/society/21065199/?frommail=1'>личный пароль Барака Обамы<br>, вам нельзя его использовать!");

Ранее там было:

if(ms("SELECT COUNT(*) FROM ".$db_unic." WHERE `password`='".e($i)."'","_l")!=0) idie("Этот пароль уже кем-то занят. Придумай другой.");
Linux Firefox
 Richardson
1
0
Михаил (#1684620)
А тэг <a> закрыть?
Linux Ubuntu Firefox
 Москва
0
0
Leonid Kaganov
Ух ты, и верно! Пойду закрою.
Linux Ubuntu Firefox
 Иваново
0
0
Коржик
Что-то ни одного отзыва в магазине приложений и ноль звезд.
Пожалуй стоит пока воздержаться от использования. Ну, на мой взгляд.
Linux Ubuntu Firefox
 Иваново
0
0
Коржик
О! Оно еще и не BFB. Не-не-не, без этого - доверять приложению свои пароли -извращенный способ цифрового самоубийства. =)
Windows Firefox
 Вологда
0
0
secam (#5088944)
Могу Вас обрадовать плагином для IE


Linux Ubuntu Firefox
 Иваново
0
0
Коржик
Ух ты! Адварь.

Не, я понимаю, что тут можно было бы свалить на чересчур умные эвристики, но нет - судя по номерам типа 36 или 46129 вредонос уже проанализирован и внесен в базы.

Завсегда хорошо доверить свой пароль программе, авторы которой пакуют в инсталлер такие приятные бонусы.

Там вот выше Леонид писал:
>В общем, рекомендую. Если какие-то вопросы по использованию, API, его работе, встраиванию, программированию...

Я так понимаю, что по встраиванию теперь вопросов возникнуть не должно - такие штуки, как правило, сами встраиваются настолько хорошо, что не выдерешь.
Windows Safari Chrome
 Европа
0
0
Alexander
Но как, как оплатить этот несчастный доллар?

С ТеддиАйДи невозможно связаться, нет ни одного контакта, куда бы можн обыло написать вопрос. Ни почты, ни блога, ни формы.

И у вас попытка авторизоваться приводит к:

TeddyID.com
ERROR #2: different IP

всего комментариев: 329

<< предыдущая заметка следующая заметка >>