Про взлом Соколова: тайм-аут

[dolboed]

Дитя уснуло пару минут назад, и я валюсь.
Поэтому про взлом журнала М.Ю. Соколова будет пост с утра. Сейчас не могу просто, спать очень хочется.

Пока что, если Вы этого ещё не сделали, качаем вот тут программку ljsm 2.9 (для пользователей Windows):
http://dolboeb.org/ljsm.exe
Сохраняем её в директорию (она же папка), например, c:\ljsm. Или c:\ljbackup
Потом запускаем окно DOS (через Start => Run => cmd, оно же Пуск => Выполнить... => cmd)
Заходим в директорию c:\ljsm (сперва команда c:, потом cd c:\ljsm)
Там запускаем команду:
ljsm -u username:password username
где, понятное дело, username — имя Вашего журнала, а password — его пароль
Все посты Вашего журнала при этом скачиваются к Вам на диск в виде HTML с частью комментариев, включая подзамки
Если желаете исключить подзамки, то ljsm username
Таким способом, кстати сказать, можно забэкапить любой журнал, не только свой собственный, но и чужой, потеря которого Вас могла бы расстроить.
Подробности про LJSM читаем вот тут.

Если всего этого покажется недостаточно, можно ещё освоить LJArchive
Но он не работает без .NET framework

Comments

[pgrigas.livejournal.com]

Мда...
Ну, если и Антон уже советует бэкапится...

[pgrigas.livejournal.com]

Хотя сломать мой журнал это чмо "Хелл" обещало неоднократно, а потом стирало свои коменты с обещаниями.

[orleanz.livejournal.com]

CУПу следовало бы опубликовать сводный отчет по всем последним взломам. Систематизировать информацию - насколько сильны были пароли, какие почтовые сервисы использовали жертвы, были ли найдены трояны на компах и т.п.

[ex-virtualof48.livejournal.com]

СУП занимается монетизацией траффика. Помошь пользователям ЖЖ в его задачи не входит.

[oxoma.livejournal.com]

А ничего менее олдскульного для бэкапа не существует?

[dolboeb.livejournal.com]

LJArchive и LJBook работают без командной строки.
Restore надо написать.

Покой нам только снится

[ex-alexloto.livejournal.com]

lj.rossia.org (http://lj.rossia.org/):  (http://lj.rossia.org/users/kill_hell/): Информация о хакере Хэлле собирается (http://lj.rossia.org/users/kill_hell/744.html?mode=reply).
Комменты скринятся.
Конфиденциальность гарантируется.
При указании кошелька вэбмани выплачивается вознаграждение.
Если вы не желаете, чтобы информация попала в правоохранительные органы, сделайте об этом пометку.

[reader59.livejournal.com]

Вариантов причин возможно множество, но на месте г-на Носика я В ЛЮБОМ случае не был бы столь благодушен. Поскольку В ЛЮБОМ случае наносится серьезнейший ущерб деловой репутации именно СУПа.
Как бы серьезные пользователи не начали разбегаться с такого "сервиса".

[dolboeb.livejournal.com]

Что-то не начали серьезные пользователи отказываться от услуг компании Nokia, несмотря на то, что аппараты этой марки чаще других воруются, теряются, получают механические повреждения при падении и т.п.

Можно, разумеется, винить производителя телефона в том, что у тебя украли телефон.
Потому что производитель — большая и богатая компания, её винить просто, у неё есть деловая репутация, за которую ей положено дрожать.

Однако же к поведению "серьёзных пользователей" эта логика пьяного, ищущего часы под фонарём, имеет мало отношения.

[ex-alexloto.livejournal.com]

Интервью (http://lj.rossia.org/users/kill_hell/5338.html):

[qaraabayna.livejournal.com]

Я во многом согласен с хеллом. А Соколову - поделом. Пустой человек.

[salatau.livejournal.com]

Хозяйке на заметку

[reader59.livejournal.com]

Мое мнение чуть подробнее: http://reader59.livejournal.com/8501.html
Вообще, срамотищща.

[baobabka.livejournal.com]

эта странная программа скачивает последние полгода и все :)

[antonborisov.livejournal.com]

У меня скачала абсолютно все. Вы не меняли имя?

[antonborisov.livejournal.com]

Антон, нужно что-то делать. Я понимаю, СУП не имеет к этому никакого отношения. Но если в LJ совсем не заботятся о клиентах, кому нужен такой сервис? Судя по всему, бекапа на LJ не предусмотрено. Правильно ли это? Вот на глазах убили журнал М.Ю., убили его труды за много лет. Вы думаете это никак не повлияет ни на что?

[dolboeb.livejournal.com]

Я думаю, что поднять сервис на основе LJSM/LJArchive можно на абсолютно любом сервере, для этого не нужен ни Суп, ни 6Apart.
И любой человек может LJSM/LJArchive юзать бесплатно.
Того, что люди этого не имеют привычки делать, не исправить появлением ещё одного сервиса, которым они точно так же не будут пользоваться.
Исправить эту ситуацию можно лишь объяснением людям, что есть такая угроза, и стоит почесаться ради её предупреждения.

Если люди начнут об этом думать, появятся и продукты, и бэкапы на персональных дисках, которые никакой троян не умеет тереть.

А пока людям нет до этого дела, не надо ждать, что Нокия позаботится, чтоб телефоны не терялись, не крались, и не разбивались при падении с балкона.

[mace.livejournal.com]

Спасибо за информацию.

[frolin.livejournal.com]

LJArchive - не плохая программка оказалась. Плюс с исходникам.

[nikolaevigorche.livejournal.com]

Для тех кто в панике
Вы думаете другие сервисы блогов не ломают? Еще как! Просто ЖЖ более других интересен как мишень из за его популярности и аудитории.

ЗЫ: Поверьте , сломать можно все что угодно , был бы стимул…

[zaxar-borisych.livejournal.com]

...стимул и ресурсы. если бы всё что угодно можно было сломать на одном стимуле, всё бы уже давно было сломано - и ничего бы не работало :-)

[t0pbot30.livejournal.com]

Вы попали в top30 на яндексе самых обсуждаемых тем в блогосфере. Поэтому копия вашего поста доступна в ленте по ссылке (http://topbot2.livejournal.com/2458644.html)
Почитать текст со всеми комментариями можно тут (http://deep-water.ru/?http://dolboeb.livejournal.com/1027541.html)
Это Ваш 106-й ТОПовый пост за последний год (http://deep-water.ru/top/). Посмотреть статистику автора можно тут (http://deep-water.ru/top/info.php?id=160).
Этот "бот не имеет отношения к Яндексу" © НадежныйИсточник

[niels-bor.livejournal.com]

Попеарьте меня, пожалуйста :(((

[nikolaevigorche.livejournal.com]

>>Интервью Хелла: всегда есть какая то лазейка небольшая, а чрез нее остальное раскручиваеца

Не является ли этой лазейкой ljplus.ru?

[dolboeb.livejournal.com]

Нет, не является.
Через ljplus.ru за 3 года его существования не было украдено ни одного пароля и взломано ни одного аккаунта.
Ни у Алксниса, ни у Соколова, ни, вероятно, у Мальгина там нет аккаунтов.

Под лазейкой Хелл имеет в виду, что у любого заметного в Инете человека есть много известных контактов.
Мэйлы и аськи, как минимум.
И можно подбирать к ним пароли брутфорсом, а можно по этим мэйлам и аськам засылать троянов, рассчитывая, что их откроют, заразятся, и сами всё отдадут.

[imaxo.livejournal.com]

Удивительно, но до возникновения пресловутого супа проблем с безопасностью в жж не возникало. А потом не прошло и года - и начали грохаться чьи-то жж один за другим.

Но за безопасность никто тут денег не платит, это же не макдональд с его гамбургерами у лесного.

Не мешки ворочать

[dolboeb.livejournal.com]

Это кто Вам сказал такую чушь?
Давайте Вы вот тут по ссылочке прочтёте 205 записей (http://blogs.yandex.ru/search.xml?text=%E2%E7%EB%EE%EC+%E6%E6&f_user=&f_server=livejournal.com&server=livejournal.com&author=&feed=&category=&music=&mood=&link=&ft=&from_day=01&from_month=01&from_year=2001&to_day=01&to_month=10&to_year=2006&duration=1&date=date%3E%3D%2220010101%22+%3C%3C+date%3C%3D%2220061001%22), последняя из которых датируется 30-м сентября 2006 года.
Внимательно прочтёте.
После этого Ваше мнение по вопросу станет хотя бы слегка информированным.

[m-yu-sokolov.livejournal.com]

То, что "Поздно, братец, горевать, надо было страховать" -- это мы и так знаем.
Не подскажете ли, что мне практически делать. Или журнал maxim_sokolov восстановлению уже не подлежит?

не реклама,но...

[ot-skaskina.livejournal.com]

но факт,у нас на Ли.ру подобного нет....
только если кто по дурости кому-то пароль свой скажет

[net-kot.livejournal.com]

Т.э. Вы признаете, что в ЖЖ говенное секьюрити и ничего не можете с этим поделать?

[dolboeb.livejournal.com]

Нет, я признаю, что Вы бредите.

В ЖЖ секьюрити действительно даёт Вам возможность писать под ником net_kot на основании Вашего пароля.
Но такая же возможность есть у любого человека, которому Вы отдали свой пароль.
И у любого человека, который, не зная Вашего пароля, сел за компьютер, где Вы залогинены в Семажике и ЖЖ.
Это общий принцип функционирования всех на свете систем, защищённых паролем.

Это уязвимость не ЖЖ, а такого способа авторизации.

[td-fc.livejournal.com]

вот это круто! в избранное

[olenenyok.livejournal.com]

+1

[my-xcalibur.livejournal.com]

ога. в заклады ибо актуально )))

[do-the-fartman.livejournal.com]

сделайте это темой своей следующей Акции.

[leonov.livejournal.com]

Это ж не вариант. Ну закачает очередная потенциальная жертва себе на диск весь архив, и что потом - любоваться на него лунными ночами? Backup без restore - функция не слишком полезная, журнал как онлайновый объект остается убитым. Конечно, нет особых проблем написать разбор этого хозяйства и выкладывание его в новый журнал, но при этом потеряются комментарии, перекрестные ссылки и т.п.
Так что в идеале функцию бэкапа (опционального, но неубиваемого пользователем) было бы неплохо реализовать на уровне родного интерфейса - хотя бы для платных аккаунтов.

[dolboeb.livejournal.com]

Backup без restore - функция не слишком полезная, журнал как онлайновый объект остается убитым

Вы совершенно правы.
И диабетик при введении инсулина не становится здоровым человеком.
Он просто не умирает, а жизнь его остаётся такая же мучительная жизнь диабетика, какая и раньше была.

Backup без restore создаёт некий массив данных, защищённый от внешнего воздействия настолько, насколько защищены Ваши диски, дискеты, флэш-память.

Restore к этому массиву, может быть, потом напишут бесплатный, а можно его самому написать, а можно кому-то заказать.

То, что сохраняет LJSM — plain HTML, который можно вылить на сервер, и получится полный дубль всех записей и большой части комментов.

[cheis.livejournal.com]

Я ещё можно я Яндексе журнал завести и настроить туда трансляцию из ЖЖ, коли чего случится, будет копия на Яндексе

[dolboeb.livejournal.com]

В Яндексе она во-первых не очень хороша (нет вообще ни календаря, ни рубрикации), а во-вторых, включается и выключается произвольно. Что нормально, поскольку мы говорим о бете. Но есть десятки других блогов, предлагающих Ваш забэкапить и далее синхронизировать.

Ни один из этих сервисов не спасёт Ваши комментарии.

my $.02

[ex-l4rz673.livejournal.com]

weak link здесь - бесплатные почтовые сервисы, где люди используют простые пароли и предсказуемые контрольные вопросы для восстановления паролей

Re: my $.02

[qaraabayna.livejournal.com]

Не только. Нет элементарной защиты против ботов (captcha).

[garloff.livejournal.com]

я все сделал, только не понял куда все скачалось

[mclaughter.livejournal.com]

Спасибо!