Недавно я усиленно разрабатывал свое приложение под Android, и в процессе защиты платной версии понял, что довольно сложно обезопасить приложение от взлома. Ради спортивного интереса решил попробовать убрать рекламу из одного бесплатного приложения, в котором баннер предлагается скрыть, если заплатить денежку через In-App Purchase.


В этой статье я опишу, как мне удалось убрать рекламу бесплатно и в конце — несколько слов о том, как усложнить задачу взломщикам.

Вкратце: как многие знают, что сайт РЖД ticket.rzd.ru не очень приятен — слишком много нужно тыкать мышкой, чтобы узнать цены билетов на разные поезда. Расширение RZD+ для Chrome может сделать процесс покупки на сайте РЖД чуточку проще — теперь при покупке билета в шаге выбора поезда достаточно нажать на кнопку «Инфо» в правой части описания поезда, чтобы без перехода на другие страницы посмотреть информацию о ценах и количестве мест разных типов в выбранном поезде.

Недавно мне повезло побывать в недрах ТЭЦ-7 — на Васильевском острове, одна из самых старых электростанций Петербурга, запущена в 1932 году.

Возможно, вы имели в виду: рекурсия?



Для других языков тоже работает :)

Только что прочитал потрясающую (гиковскую) статью — The Anatomy Of The Twitter Attack, о том, как один хакер довольно простым способом получил доступ к тоннам конфиденциальной информации всей компании Twitter. Но мне кажется, выводы будут интересны многим.

Итак, 5 шагов:
1) Берем личный ящик не особенно параноидального сотрудника (на GMail), тыкаем на кнопку «забыл пароль». Система по восстановлению пароля отправляет одноразовую ссылку на вторичный адрес ***@h***.
2) Догадываемся, что этот адрес (о чудо!) на hotmail.com, который больше не существует и свободен для регистрации. Конечно же, регистрируемся и получаем доступ к первому ящику на GMail.
3) Теперь надо сказать спасибо сервисам, которые высылают пароль после регистрации, и теперь они у нас в руках, (т.е. у жертвы в ящике). О чудо, опять же, пароль почти везде один и тот же, например, god14. Скорее всего, этот пароль и был в оригинале на GMail-е, ставим его обратно. Жертва ни о чем не догадывается.
4) Опять чудо! Корпоративный ящик имеет тот же пароль, что и личный ящик.
5) Берем хороший интернет и сливаем всю почту вместе с приложениями (читай — важными финансовыми документами) к себе.

Это примерно так же, как во всех авиа происшествиях. Комбинация факторов, каждый из которых сам по себе большого значения не имеет, приводит к катастрофе. Факторы простые:
1) Дурная привычка иметь везде один и тот же пароль (говорят, нынче самый модный — «password1»).
2) Дебильные сервисы, которые присылают пароль в чистом виде после регистрации (я подозреваю, они еще его и хранят у себя в нешифрованном виде).
3) Излишняя честность при ответе на «Секретный вопрос для восстановления пароля» в духе «Мою кошечку зовут Маша». Догадаться не очень сложно.

Подозреваю, многие повторяют свои пароли в разных местах (иначе недолго свихнуться) и имеют в ящике с десяток писем от дружелюбных сервисов, приславших пароль после регистрации. Будьте бдительны :)