Tag Archive: безопасность

Токен Яндекс.Деньги

Posted Май.18, 2010 under Технологии

Копаясь в своем интернет-банкинге, обнаружил что Альфабанк продолжает плотно дружить с Яндексом.

Яндекс.Деньги, несомненно, более простые и дружелюбные чем WebMoney, но меня раздражает их жадность. Например, с того же Альфабанка перевод на свой счет Яндекс.Деньги — бесплатно, а вот обналичить фантики извольте за 3 (ТРИ!!!) процента.

То есть например хочу я две тыщи яндоденег обратить в нормальные рубли — мне достанется лишь 1940 рублей! На том же WebMoney я получу 1984 рубля, правда при этом прийдется ждать банковского перевода со всеми последствиями — только рабочие дни и т.п.

https://money.yandex.ru/i/Token.jpgНо не суть. Ковыряясь в симпатичном (и не требующем постоянно сертификатов и капч, привет WM!) интерфейсе Яндекс.Денег я внезапно наткнулся на это.


Зовут они сие чудо инженерной мысли электронным токеном, это девайс, размерами с японский калькулятор на солнечных батарейках (в школе такие были, я помню еще), стоит 700 рублей. В отличие от калькулятора, кнопка одна и по ее нажатии генерируется заведомо уникальное число для твоего кошелька, не зная которое ничего нигде оплатить не выйдет (всё это опционально).

Чем-то это напоминает enum, где для каждого платежа надо отправить/получить SMS, но здесь все проще.

Для нищебродов есть свой вариант — напечатанные таблицы кодов, самый бюджетный вариант — скачать jpeg и распечатать его =) При оплате будут спрашиваться цифры из нескольких ячеек таблицы, так раньше игры просили достать руководство пользователя и ввести «второе слово в третьем абзаце на странице 9».

В общем, прикольно. Такой функционал бы да на обычный банковский пластик, бизнес кардинга бы на полгода точно пошатнулся.


Tags: , , , , ,
6 Comments

Безопасность имеет значение

Posted Окт.15, 2009 under Комментарии

Инстинкт отцовства и жизненный опыт заставляют меня возить детей в креслах и на заднем сиденье автомобиля.

Намедни надо было проехать в вечернее время меньше двух километров до бабушки, при этом бабушка по ходу движения упросила дать ей подержать младшего на переднее пассажирское сиденье. Что-то во мне шевельнулось, но классический русский пофигизм взял верх и я смолчал.


Буквально через две минуты на узкой дороге (по обе стороны сплошной лентой припаркованы машины) произошло следующее событие. Я разглядел метрах в трехстах величественно движущийся навстречу Lexus LS460 и начал тормозить (скорость у обоих примерно 50-60 км/ч была) для того чтобы в узком месте нормально разъехаться, он тоже нажал на тормоз. Скорость упала до 20-30, расстояние метров 30-40 как внезапно у лексуса взрывается передний левый баллон и, выбив прекрасным диском диаметра 20" сноп искр об асфальт, чудо японского автопрома вылетает на мою половину и без того узкой дороги.

Read More »

Tags: , , , , , ,
5 Comments

Как угнать ICQ

Posted Фев.11, 2008 under Забавное

Небольшая коллекция последнего спама, пришедшего на аську (которую я держу лишь из-за уважения к пяти контактам).

Классическим примером является следующее:

Adium

На чисто русском языке, который при запросе авторизации Adium совершенно не понимает, некий пользователь предлагает мне посетить сайт на narod.ru, на котором, я уверен, выложена супер-программа icqinviv-2008 (или патч), которая, скорее всего, должна либо защитить мой шестизначный номер от угона (invulnerable) либо позволить видеть невидимые контакты. Read More »

Tags: , , , ,
Leave a Comment

Безопасность WordPress

Posted Янв.28, 2008 under Разное

WordPress – популярный движок для блогов (в том числе и этого) и простеньких сайтов. 

Обновляется с завидной регулярностью, однако все больше и больше обновлений носит «заплаточный» характер – устраняются дыры в безопасности.

Статья на Lifehacker приводит один из радикальных методов борьбы с несанкционированным доступом к блогу путем прописывания в .htaccess ограничений по IP-адресу. Сей лежащий на поверхности метод с примерами рекомендует сам Matt Cutts, легендарная личность в среде WordPress.

Правило простое:

# Matt страсть как любит красивые выражения и ссылки на /dev/null =)
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
order deny,allow
deny from all
# IP-адрес дома
allow from 64.233.169.99
# IP-адрес работы
allow from 69.147.114.210
allow from 199.239.136.200

Беда в том, что у некоторых до сих пор динамические IP (как у меня), либо есть необходимость заходить с мобильника. В таком случае способ бесполезен, не будешь же вбивать в .htaccess адреса нескольких подсетей. Ждем способ с использованием специальных SSL-сертификатов =)

Второй совет более разумный. Так как уязвимости содержатся только в некоторых версиях WordPress, отображение версии предлагается скрыть. По умолчанию в header.php всех тем есть строчка meta name="generator" content="WordPress < ?php bloginfo('version'); ?>" /meta>, которую желательно убрать или изменить на что-то вида meta name="generator" content="WordPress. Latest and most secure version. Do not even try to hack me, dude =)" /meta. Злоумышленник затруднится определить версию и скорее всего отстанет.

Следует отметить, что многие популярные блоги (например Macradar.tu) уже сделали это.

Tags: ,
1 Comment