Комментарии 36
… парсеры, списки хабов… все эти заморочки говорят о том, что вам не просто рисануться хотелось. можно просто в поиске в любом п2п клиенте ввести этот поисковый запрос.
собственно топик можно ужать до одной строки
«очень много пользователей хранят пароли там, где их легко достать. берегитесь!»
собственно топик можно ужать до одной строки
«очень много пользователей хранят пароли там, где их легко достать. берегитесь!»
1. Топик из одной строчки был бы неинтересен.
2. Я и не отрицаю, что тоже самое можно сделать в любом клиенте. Скриншот как раз из нормального человеческого ApexDC. Только вот сколько вам понадобится времени что бы руками переназвать 95 файлов (хотя это и не обязательно, согласен) и открыть их руками через какой-нибудь парсер вандов, руками скопировать выдачу в какой-нибудь отдельный файл? У любой программы на это уйдёт меньше 1/10 секунды.
3. Цель написания такого большого топика — показать как легко этот процесс автоматизировать.
2. Я и не отрицаю, что тоже самое можно сделать в любом клиенте. Скриншот как раз из нормального человеческого ApexDC. Только вот сколько вам понадобится времени что бы руками переназвать 95 файлов (хотя это и не обязательно, согласен) и открыть их руками через какой-нибудь парсер вандов, руками скопировать выдачу в какой-нибудь отдельный файл? У любой программы на это уйдёт меньше 1/10 секунды.
3. Цель написания такого большого топика — показать как легко этот процесс автоматизировать.
Мне казалось, что P2P сети уже отжили своё года 2-3 назад :-/
Вообще почти во всех клиентах DC++ уже как несколько лет запрещено расшаривать папки «Программс» и «Винда».
Не актуально.
А года 4 назад да, баловались — смотря расшареные папки типо: RcvdFiles\ ))
Не актуально.
А года 4 назад да, баловались — смотря расшареные папки типо: RcvdFiles\ ))
Ещё стоит добавить о всяких разных history файлах, как history браузера, так асечные и прочие…
> Что заставило разработчиков хранить пароли в незашифрованном виде, если нет мастер-пароля? Неизвестно
А смысл? Дешифратор легко вытаскивается с помощью дебаггера, и скорее всего быстро станет отдельной утилитой, которую можно скачать за 5 минут. Данные это не защитит. А вот чувство ложной безопасности, которое появится у пользователя, когда он узнает, что его пароли «зашифрованы», может сыграть очень злую шутку.
А этом смысле мне нравится фаефокс, в котором не только отказались от шифрования без мастер-пароля, но и вставили функцию отображения паролей в открытом виде в стандартные настройки. Это быстро отрезвляет тех, кто их там находит. В результате они или перестают сохранять пароли или ставят мастер пароль. И то и другое гораздо лучше, чем ложное чувство безопасности.
А смысл? Дешифратор легко вытаскивается с помощью дебаггера, и скорее всего быстро станет отдельной утилитой, которую можно скачать за 5 минут. Данные это не защитит. А вот чувство ложной безопасности, которое появится у пользователя, когда он узнает, что его пароли «зашифрованы», может сыграть очень злую шутку.
А этом смысле мне нравится фаефокс, в котором не только отказались от шифрования без мастер-пароля, но и вставили функцию отображения паролей в открытом виде в стандартные настройки. Это быстро отрезвляет тех, кто их там находит. В результате они или перестают сохранять пароли или ставят мастер пароль. И то и другое гораздо лучше, чем ложное чувство безопасности.
Пароли всё-таки в зашифрованном виде хранятся в wand.dat, и unwand.exe это не парсер, а «расшифровщик», посмотрите исходники. Другое дело, что без мастер-пароля они все одинаковым ключом зашифрованы.
Ну и еще, скорее всего большинство таких файлов уже были найдены кем-то другим и соответствующим образом использованы)
Ну и еще, скорее всего большинство таких файлов уже были найдены кем-то другим и соответствующим образом использованы)
надо пожалуй что нибудь «интересное» расшарить, чтоб кто нибудь себе моск сломал.
Что заставило разработчиков хранить пароли в незашифрованном виде, если нет мастер-пароля?А как вы представляете себе шифрование без пароля? Ну зашифруют с какой-то солью, одинаковой для всех установок, дак её быстро найдут дизасемблированием. Или, допустим, пароль будет генерироваться при установке и хранится в файле рядом (или не рядом), что заставляет думать, что его будет труднее достать?
Я не совсем правильно выразил свою мысль, там должно быть не «хранить», а «сохранять».
Я бы сделал создание мастер пароля обязательной опцией. Делов то.
А то количество уведенных ящиков почты, вконтактиков и тд зашкаливает, именно по этой причине. Впрочем, пользователи таким образом тоже обучаются, наслушавшись страшных историй, либо попавшись на таких «хакеров».
А то количество уведенных ящиков почты, вконтактиков и тд зашкаливает, именно по этой причине. Впрочем, пользователи таким образом тоже обучаются, наслушавшись страшных историй, либо попавшись на таких «хакеров».
>что заставляет думать, что его будет труднее достать?
А что, если хранить его не в файле, а в реестре? Тогда его хотя бы шарить не будут.
А что, если хранить его не в файле, а в реестре? Тогда его хотя бы шарить не будут.
Можно взять серийник харда в качестве соли.
Помню прекрасный сервис Kazaa. Там все даже проще было — можно было просто ввести в поиск нужный файл, или даже наугад: password.txt, и получить много полезной информации.
НЛО прилетело и опубликовало эту надпись здесь
честно говоря еще 1 велосипед, если пользователь дебил то он откроет доступ к programfiles если же нет — то будет следить чего и куда имеет доступ… а том не споминаеться байка про суперкоманду оптимизации систем UNIX для чайников
cd /
sudo rm -r /
cd /
sudo rm -r /
А что, интересно, мешает разработчикам Оперы в новой версии начать использовать новый пароль по умолчанию (тот, которым шифруется wand.dat при отсутствии мастер-пароля) и максимально усложнить его вытаскивание дебаггером?
По крайней мере некоторое время программы для расшифровки unwand не будут работать для новых версий.
По крайней мере некоторое время программы для расшифровки unwand не будут работать для новых версий.
Вот если бы в автоматическом режиме выпарсивали почты и на них же слали уведомление (ваши пароли лежат в отрытом доступе, вам надо сделать то-то и то-то) можно считать что время потратили с пользой и дело доброе сделали.
Пароли от аккаунтов у вашего провайдера. Правда за такое вас однозначно накажет провайдер. Жесто-о-око накажет.
Поправка: провайдер не накажет. Накажет правоохранительная система. Эти дела у МВД уже сколько лет на поток поставлены, с присных дней 9х виндов, расшаренного диска цэ и user.pwl
«Правда в открытом только в том случае, если не стоит мастер-пароль, который конечно же никто не ставит» — хуй вам! я ставлю :))))))) хотя, с другой стороны, я практически не пользуюсь пиринговыми сетями, так что эта страшилка не про меня :)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Вытаскиваем кучу паролей из пиринговых сетей