Чтобы рассылать что то от вашего имени в социальной сети ВКонтакте взломщику надо обладать доступом в вашу учетку… либо обладать правами на рассылку сообщений от вашего имени. Основные пути такие:

1. Сторонние сервисы. Это самые разнообразные сторонние сайты, которые позволяют вставить красивую картинку на стену ваших друзей, к примеру. Такие сервисы просят вас ввести пароль. Дальше они совершенно честно выполняют свою функцию (вставляют картинку и т.п.). И казалось бы все здорово… Однако пароль то теперь Ваш есть у них в базе. А значит в любой момент может запуститься скрипт-робот, который зайдя по всем «украденным» через сервис паролям, рассылает уже спам. Лечение: сменить пароль и никогда и нигде не вводить его, какие бы офигительные бонусы и возможности Вам за это не обещали.

2. Приложения ВКонтакте. Социальная сеть обладает огромной базой разнообразных приложений, встроенных в самой сети. Казалось бы, ведь это все на самом сайте, а значит все проверено. А вот и хрен! Среди этих приложений встречаются эволюционировавшие «сторонние сервисы», которые в 1 пункте хорошо описаны. Они тоже дают вкусные возможности, например, позволяют вставлять вместо графити какие либо открытки (последнее время на это просто бум какой то). При этом при установке они просят права на рассылку сообщений вашим друзьям. Оправдывается это тем, что таким образом вы по собственному желанию можете приглашать своих друзей в этот замечательный сервис. Однако эти права могут ведь использоваться и по другому. Приложение втихаря может рассылать от вашего имени спам. И вы никогда и не подумаете, что этим занимается приложение по вставке красивых открыток. Я недавно попался на это — решил отправить знакомым красивые картинки, добавил приложение, отправил собственно картинку и забыл, что приложение у меня осталось добавленным… через какое то время от моего имени пошел спам в личку. К счастью, логика сработала как надо и источник «заразы» был найден и отправлен в утиль. Лечение: максимально урезать права приложениям, не давая доступ к вашим друзьям.

3. Сайты-обманки. Часто встречаются сайты, которые внешним видом маскируются под ВКонтакте. Вы вводите там пароль… ну а дальше сами понимаете что происходит. Повезет если злоумышленник не сменит украденный пароль. Лечение: сменить пароль если еще есть такая возможность. И прежде чем вводить пароль УБЕДИТЕСЬ, что Вы находитесь именно на сайте социальной сети. Адрес может отличаться всего лишь в 1 букву, но стоить это Вам будет всего вашего аккаунта и возможно даже репутации.

4. Трояны и вирусы. Вредоносные программы, ворующие ваши пароли. Лечение: сменить пароль и убедиться в качестве вашего антивируса.

5. На общественных (или не надежных) компьютерах после посещения социальной сети всегда жмите кнопку ВЫХОД. Иначе после вашего ухода любой желающий сможет войти под вашим именем и как минимум нагадить на стене и украсть пароль, а как максимум сменить пароль и угнать таким образом аккаунт.

6. Храните пароль в уме.

Вот пожалуй и все =)

Мониторьте ситуацию и следите за своими деньгами.

Вандалы на главной странице

Вандалы на форуме

И это еще не так страшно… Самое страшное что на их сервере хранились пароли и учетки их собственного джаббер-протокола qip.ru. По правде сказать, именно изза утечки паролей я и узнал о взломе. Только что от моего имени в Инфиуме с учетки квипа начал распространятся спам. Проверил на вирусы — чисто. Подумал где мог засветить пароль — нигде не мог. Полез в инет, а тут на тебе! 

Кстати, форум их до сих пор не работает. А ведь 3 день уже пошел. 

Ждем официальных новостей. И срочно меняем пароль на учетке qip.ru…

Спрашивается… Откуда стока наглости у людей? Зачем кричать о бесплатности шаблона, а потом впаривать из под тишка невидимые ссылки? Мало того что десятки ссылок на самих себя, так еще какие то левые для раскрутки вообще не понятного сайта. Вычистил все нафиг и даже упоминаний об авторе не оставил. Да пошел он, автор, куда подальше с таким отношением к посетителям…

Ну, во-первых, событие почти мирового масштаба  — выход первой стабильной версии браузера Google Chrome. Ничего революционного в ней нет. Но если хотите узнать что нового то вперед ко мне в гости на Мой Хром.

Идем дальше… Наконец то вышла финальная версия WordPress 2.7. Что в ней нового писать не хочу (я просто не знаю этого ), но если вы вдруг захотите обновить свой блог то рекомендую обратить внимание на локализацию от Лекактуса.

Обновился так же и QIP. Почему? Я думаю уже все знают =). AOL подложил свинью и отключил поддержку протокола 5 версии. А квип работал именно через него. В результате вся страна осталась на несколько часов без аськи. Жесть. Благо обновления не заставили себя долго ждать и спасли страну (правда при этом не хило подвесив серваки квипа). Ссылку не дам =))) Сами найдете.

Яндекс обновил свой Яндекс.Бар. Что то изменил что то добавил… Хрень какая то )) себе не ставлю и вам не советую. Но если приспичит вот вам оригинал новости.

Такс вроде все… На закуску можете прочесть обзор моего блога от Бурниса. Всего я ожидал от этого обзора, но вот то, что он поможет найти глюк на моем блоге совсем не ожидал =). А точнее я узнал, что злосчастный плагин auto_more исподтишка обрезает мои посты в ленте. А ведь так и жил не задумываясь о том, удобно ли читать ленту моих сообщений. Надеюсь теперь читателям станет приятнее =). Так что спасибо Бурнису!

]]> http://webnotez.net/2008/12/vsyakoj-vsyachiny-pora/feed/ 1 http://webnotez.net/2008/11/wordpress-265/ http://webnotez.net/2008/11/wordpress-265/#comments Wed, 26 Nov 2008 12:22:20 +0000 Mig http://webnotez.net/?p=230 Всеми любимая система управления контентом WordPress обновилась до версии 2.6.5. Скачать полную версию или только патч можно отсюда. Что собственно изменилось?

Главная проблема:

Обнаружен XSS эксплоит, который к счастью затрагивает только IP-based сервера под управлением Apache 2.x.

Второстепенные баги:

1. Первое исправление предотвращает запись метаданных записи в ревизию (о том, как избавляться от мусорных ревизий, я писал уже).
2. Второе предотвращает в XML-RPC получение некорректных типов данных.
3. Третье добавляет некоторую ID sanitization пользователя во время группового удаления комментариев.

В общем, желательно обновиться. Большую часть из этих уязвимостей я тупо не понял, но жить спокойно, зная что они есть, не смогу =)

П.С. Чуть не забыл сказать. Версии 2.6.4 нет и никогда не будет, так как под этим номером пытались распространить какую то вирусную подделку.

============================

Блог Деньготерапевта. Не умеете дружить с деньгами? От этой болезни лечат здесь! Оригинально) Хотя с деньгами я люблю дружить)

1. автоматизировать прием средств от клиентов с использованием интерфейсов сервиса Merchant WebMoney Transfer;
2. участвовать в работе кредитной биржи ;
3. участвовать в работе сервиса Capitaller (создавать бюджетные автоматы);
4. подавать заявки на регистрацию интернет-ресурсов в любых разделах каталога Мегасток ;
5. получить статус консультанта системы ;
6. участвовать в партнерской программе Центра аттестации по выдаче начальных аттестатов;
7. размещать новости на различных сайтах системы (www.webmoney.ru, www.megastock.ru и др.);
8. восстанавливать контроль над WM-идентификатором по упрощенной схеме;
9. получить дебетовую банковскую карту Star/Plus и использовать ее для вывода средств из системы;
10. создавать торговые площадки с использованием сервиса DigiSeller ;
11. подавать без ограничений в арбитраж системы иски к другим участникам системы;

========================

А почему бы вам не пойти в ресторан? Вкусно поесть не запретишь =)

Региональный портал >>> Все о городе Оренбург.

========================

В общем уязвимость некритичная. Ничего страшного не произойдет если не обновится, но я от греха подальше все таки обновил свои блоги… Благо патч содержит всего парочку файлов, которые нужно тупо заменить в папке вашего сайта. Никаких обновлений баз данных не потребуется.

Кто хочет англоязычных подробностей — читайте тут.

============

Нескончаемый источник блоггерского креатива — Максим.

Если вы вдруг следите за модой то можете присмотреть молодежную сумку. Дорого и красиво.

То что целая заплатка вышла ради одного единственного глюка уже свидетельсвует о высочайшем качестве этого браузера. Удобство и проработка мелочей привосходят все популярные аналоги. Скорость загрузки страниц заметно превосходит скорость у Оперы.

Да кстати, надеюсь вы не пользуетесь стандартным Internet Explorer? Это не браузер, а одно большое гламурное сито. Взлом компьютера, кража конфединциальных данных, заглубленные тысячи нервных клетов — это все быдлобраузер IE от Майкрософта…

Скачать браузер можно здесь http://www.mozilla-europe.org/ru/firefox/

Для тех кто не знает, где можно достать русифицированную версию wordpress и обновления к нему рекомендую посетить сей проект Лекактуса. Там не только перевод, но и целый сборник самых нужных и качественных плагинов в придачу. Очень удобно.