Ответ на пост «Ваши личные фотографии в общем доступе!»⁠⁠16

Для всех участников специальной олимпиады для особо одарённых, утверждающих что-то типа "это нормально", "так работают компьютеры", "иди учи информатику" типа вот таких #comment_385199551 или вот таких #comment_385207268
поясняю -- нет, так НЕ должно быть -- все ~~дикпики~~ которыми вы в какой-то момент решите поделиться в мессенджере СКАМ останутся навсегда доступны по вечной ссылке, пусть и сгенерированной случайным образом, причём БЕЗ авторизации

Речь не идёт о том, что такую ссылку НЕВОЗМОЖНО ПОДОБРАТЬ ОЛОЛОЛ, речь о том что таких ссылок не должно быть в принципе!

241

16 постов-ответов

от rocketride, Mr.Maller и др.

Смотреть

Вы смотрите срез комментариев. Показать все

eries

2 месяца назад

не должно быть - но никто не делает авторизацию на файлах, ни фэйсбук, ни гугл. неподбираемой ссылки достаточно. несколько десятков лет нужно перебирать эти ссылки чтоб попасть хоть на какую-то валидную.

раскрыть ветку (32)

PerunPerunov

2 месяца назад

Не обязательно "никто". Вот, скажем, фотки в Google Photos тоже лежат на photos.fife.usercontent.google.com с неподбираемой ссылкой. Но если вы её откроете не авторизовавшись в гугле то вместо фоточки покажут кирпич.

В Амазоновом облаке на S3 тоже можно хранить фотки и "выставлять" их в мир без авторизации. А можно и требовать цифровую подпись для доступа в заголовке запроса, и тогда просто адреса будет недостаточно. Зависит от того, насколько вам не всё равно. Или, скажем, сделать урл который будет авторизован на некоторое время (5 минут или час или сколько надо). Опции есть, было бы желание.

user8498967

2 месяца назад

В целом согласен с вами. Но вот в телеге сделали

раскрыть ветку (2)

eries

2 месяца назад

У нормальных людей это stun/ice, на худой конец turn, а не 2ip.ru

раскрыть ветку (1)

PollsonGoga

2 месяца назад

Слыш, хватит, итак то дождь то снег.

Yarobolt

2 месяца назад

Там всего то "Всего возможно 62в43степени комбинаций, что приблизительно равно 1.35×10в77степени (число с 77 нулями)" то есть перебором найти хоть что то при текущих производственных фактический нулевой. А найти что то ценное - нулевой. 100% моих фото в MAX - фото счетчиков и хреновой уборки для чата с УК.

раскрыть ветку (20)

marmax0173

2 месяца назад

Да что ж вы все их перебирать-то собираетесь и не слышите (либо слишком некомпетентны, чтобы понять) тех, кто вам говорит, что перебирать их нет необходимости, потому что они оседают в логах кучи разного оборудования, которое стоит на пути сетевого трафика, и доступны любому админу, управляющему этим оборудованием.

раскрыть ветку (8)

Yarobolt

2 месяца назад

Вы уверены что ссылка передается в явном виде? Именно в трафике, а не то что пикабушники у себя там на фронте натыкали?

раскрыть ветку (7)

marmax0173

2 месяца назад

Да, я тупанул. Хеш передаётся в параметрах URL, а они зашифрованы TLS.

раскрыть ветку (4)

Yarobolt

2 месяца назад

Вот поэтому нельзя поддаваться общей панике )

раскрыть ветку (3)

marmax0173

2 месяца назад

Да, но если по пути есть прокси, то там всё будет доступно в открытом виде ))

раскрыть ветку (2)

Yarobolt

2 месяца назад

Ну это по сути MiM атака тогда уже )

раскрыть ветку (1)

Love.Tiger

2 месяца назад

а от митм атаки а супербезопасная телега не защищена. там не зря при звонке смайлики показывают - это надо чтобы собеседники уточнили что у них одинаковые смайлики, а значит скорее всего ключи не были подменены.

но кто-то хоть раз это делал?))

spam12345678

2 месяца назад

Как человек постоянно работающий с https инспекцией - это когда ssl сертификат заменяется на мой. Чтобы расшифровать трафик и проверить его на вирусы, на сигнатуры вирусов, на сигнатуры фишинга и посещаемые сайты. - да. Храним. Но чаще не храним.

раскрыть ветку (1)

Yarobolt

2 месяца назад

akiritch

2 месяца назад

Ставите какое-нибудь расширение в браузере и оно все ссылочки из веб версии Маха сливает в базу какую-нибудь.

Как вариант.

И будут тонны компромата на сотни тысяч людей. Что можно сделать с этим дальше зависит от полета фантазии злоумышленников.

А не расширение в браузере, так "альтернативный клиент" или просто вирь.

И это без каких-то глубоких технологий. Мало что ли баз сливали за последние 15 лет?

раскрыть ветку (3)

XanderEVG

2 месяца назад

Аргументно, аргументнее, чем у ТС.

Но:

а что мешает этому плагину сразу сливать не ссылки, а сами фотки?

раскрыть ветку (1)

akiritch

2 месяца назад

Смотря какая цель. Если цель именно ваши фото - проще и правда их слить.

Если же цель создать базу вида: номер телефона+ФИО+фоточки, то ссылки это и быстрее и экономнее для хранения такой базы. Будет база не сотни терабайт, а пару гигов, наверное. Такую базу и передать другому человеку проще (считай, продать).

Yarobolt

2 месяца назад

Так это с конкретным мессенджером никак не связано, подобные софтины сливают все от скриншотов до нажатий клавиатуры. Какой вы при этом сайт открыли вообще не важно.

rocketride

2 месяца назад

Вау, очередной адепт "мне скрывать нечего", ну-ну

раскрыть ветку (6)

eries

2 месяца назад

а толку скрывать, если все на серверах доступно администраторам?)

Yarobolt

2 месяца назад

Вау очередной "очень важный курица которому есть что скрывать" ты реально думаешь что кто то ради твоих фото будет годами гонять датацентр?

раскрыть ветку (3)

lunarstranger

2 месяца назад

ну я бы лично не хотел, чтоб мои счётчики кто-то ещё смотрел

раскрыть ветку (1)

Yarobolt

2 месяца назад

Так они на лестничной площадке )

ещё комментарий

SanchoBezRancho

2 месяца назад

Вау, очередной адепт "стесняющихся собственных фоток с хуем во рту", ну-ну)

ещё комментарии

wolfering

2 месяца назад

можете дать неподбираемую ссылку на файл из приватного чата например телеги или вацапа? Я не смог добыть, все за авторизацией.

cosceus

echo /dev/sda 2 месяца назад

неподбираемой сейчас в текущих технических условиях.

лет через 5 выкатят новые вычислительные мощности принципиально другого порядка, расчет псевдослучайных чисел для ссылок станет делом пары минут.

раскрыть ветку (5)

user9693729

2 месяца назад

Это будет меньшей из проблем.

i0.0i

2 месяца назад

лет через 5 выкатят новые вычислительные мощности принципиально другого порядка,

Мертвый закон Мура уже воскрес в квадрате, чтобы подобное, хотя бы в потенциальной возможности могло произойти?)

XanderEVG

2 месяца назад

а сетевая нагрузка - пофиг?

Love.Tiger

2 месяца назад

только в первую очередь эти мощности направят для взлома асинхронного шифрования, которым защищены все "по настоящему защищенные сервисы" и разницы в сложности доступа между секретными файлами пентагона и твоими фотками счетчика и своего члена в максе будет практически ноль. и как думаешь, кого будут ломать этими вычислительными мощностями принципиально другого порядка, пентагон, банки или тебя?)

раскрыть ветку (1)

scarabeyX

ДАННЫЕ УДАЛЕНЫ 2 месяца назад

Конечно мой хер)

P.S. фотки моего хера)

Вы смотрите срез комментариев. Чтобы написать комментарий, перейдите к общему списку

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества

Теги

Популярные авторы

Сообщества