Category: животные

me, default, computer

Докажи, что это ты

Google asking to prove you is you
Google asking to prove you is you

Достаточно скромно, без громких речей и парадов, мы перешли от строгих правил, выученных банковскими безопасниками на компьютерных курсах в их ПТУ — пароли минимум 8, но максимум 14 символов, строчные и прописные буквы, цифры и спецсимволы, непохожесть на словарные слова и предыдущие 1050 паролей — к авторизации всего и вся по СМС. Правда, на тех же курсах безопасности требовали различать идентификацию и аутентификацию, но кого это волнует во времена, когда для демонстрации роста сервисов новых потребителей котиков в интернетах надо уже набирать среди неграмотных африканских племен?

Специально для них 2-й фактор (где он есть и востребован) также завязывают на телефон, что есть полнейшая профанация, но не считая единичных скандалов  с кражами аккаунтов и крайне наплевательского отношения к безопасности, биржевая стоимость компаний не упадет из-за правил авторизации ни на цент. «Пипл хавает» (с) во всех смыслах.

Завязывание всего и вся на телефон приводит к «интересным» ситуациям. Чтобы заблокировать SIM у пропавшего смартфона на сайте сотового оператора, надо залогиниться на сайте оператора при помощи... СМС-кода! Только подумайте, 10500 работников не самой лоу-тековой сферы ни разу не симулировали ситуацию, при которой они не могут позвонить себе же в службу поддержки для блокировки SIM-а, ибо телефон пропал или украден, и тем более не могут получить СМС для захода на сайт с планшета или лэптопа.... угадают ли с 3-х раз почему? Нет, ни за что не догадаются, блеать!

Или вот Гугл. Смартфон пропал у младшей дочки в Польше, у ее Гугл-аккаунта нет ни второго фактора, ни бэкап-телефона. Есть только пароль, который я и ввел на новом телефоне. Гугл ответил прикрепленной к посту картинкой: а докажи, что это ты! Ну девочка, ну ёб твою мать! (с) Как же я докажу, что это я, если правильно введенного сложного пароля оказалось недостаточно, а с нового девайса я зашел исключительно потому, что старый оказался недоступным?! Угадают ли с 3-х раз почему? Смешнее всего то, что Гугл типа «угадал»! На третьей попытке ввода пароля (я просто потерял надежду и растерянно пытался войти еще раз, не зная в какую рельсу бить) Гугл меня авторизовал. По-видимому, система милостиво принимает трижды произнесенный ответ «мамой клянусь!», поскольку настоящие взломщики не бывают настолько настойчивыми.

Единственная надежда была когда-то на биометрию, но упрощение логинов для леммингов с одной стороны и перенос на единый телефон вообще всех способов аутентификации (включая неотзываемые) с другой — приводят не к упрощению, а к путанице и совершенно нулевой безопасности. Вполне возможно, что мы согласимся с нулевой безопасностью во имя удобства, но тогда кому нужны телодвижения с СМС и тупейшей, непрошеной, красивой только на презентации, геозащитой «Ёпта,  ты сейчас в Польше, значит это не ты». Вы же все обещаете знать о том, что я собрался в Польшу еще до того, как я купил билет!

me, default, computer

О наболевшем. То есть, налетавшем

Я прошу прощения, что отвлекаю читателей от вопросов вселенской важности, но сегодня я подниму мелкую, ничтожную тему. Поговорим о мухах.

Не знаю в каких военных лабораториях вырастили современных мух массового поражения. Само по себе,  простой эволюцией, такое страшное насекомое появиться не может. В детстве деревья были большие, хард-диски маленькие, а девки красивые. И еще мухи были значительно, ЗНАЧИТЕЛЬНО медленнее и неповоротливее.

Сегодняшний ужас, летящий на крыльях ночи с дозвуковой скоростью, точно воспроизводит идеальное броуновское движение и достает человека с частотой электрической сети 50 раз в секунду. Я в упор не понимаю зачем мухе столько раз садиться и немедленно взлетать откуда-то, так как очень смутно припоминаю ее устройство, не позволяющее ей в таких условиях толком пожрать. Следовательно, мухи совершенно осознанно хотят доебастать и делают это потрясающе эффективно.

Когда-то муха на оконном стекле была готовым кандидатом в трупы, она прибивалась голыми руками. Сегодняшняя муха на стекле лишь даст себя немного рассмотреть. Чтобы убить не по-детски эволюционировавшую муху, надо реально сконцентрироваться на охоте и призвать все свои умения и всю реакцию.

Современная муха — настоящая мука. Все на борьбу с мухами! Галлактика опасносте!

me, default, computer

Безопасность и пароли

Ну чего, круто Мэта хакнули. И всего-то хотели его трехбуквенный твиттер увести. В итоге — стёртые лэптоп, айпэд и айфон, уведенные аккаунты в Гугле, me.com и Амазоне. А, ну твиттер, конечно. Браво Амазону за возможность добавить фейковую кредитную карту к аккаунту на основании публично известной информации и получение (сразу же вслед за этим!) полного доступа к аккаунту на основании только что введенной кредитной карты! Браво Эпплу за возможность получить доступ к аккаунту на основании последних 4х цифр кредитной карты — не бог весть какой секретной информации. Браво всем вокруг!

С другой стороны, чего вы хотели от индийской поддержки амазонов-эпплов: чутья Шерлока Холмса, ассоциативного мышления? С третьей стороны, какого протокола, какой процедуры защиты данных о ваших несчастных книжках вы ждёте от Амазона? Не сканирование же сетчатки глаза.

С четвертой стороны компании бесконечно "усложняют" защиту, превращая жизнь простых пользователей в адъ, но это, разумеется, не помогает от обычных малолетних придурков. Эппл требует пароля в 8 символов с обязательной комбинацией больших, малых букв и цифр. Я не хочу 8 символов и большие буквы, бля#ь! Я каждый раз ввожу этот пароль с айфона для апдейта своих на 90% бесплатных приложений, можно мне не вводить большие буквы, ну плиииз? Хрена, нельзя! Они лучше посадят беспросветно тупого работника call-центра, который сдаст мой пароль любому знатоку whois, но все сотни миллионов юзеров будут трахаться с Caps, набирая якобы крутую секурную комбинацию.

Как же объяснить, на каком языке рассказать, какими пальцами и жестами показать этим долбоёбам, что компрометация брутфорсом — это последнее, чего должен бояться пользователь! Чёрт возьми, посмотрите, кто нам запрещает ковыряться в носу, это же спецЫалисты, хранящие хэши паролей без соли, а то и в открытой форме!

Сегодня мне потребовалось открыть новый аккаунт в майкрософтовских дебрях (кто их теперь разберет, как они сейчас называются: msn? passport? outlook?) для доступа к MSDN. Я был спокоен и выбрал необходимую длину и комбинацю букв-цифр для пароля. Я был доволен собой, ведь даже насилующая глаза captcha не вывела меня из душевного равновесия. Остался пустяк: выбрать и ответить на секретный вопрос. И тут я сплоховал, выбрав имя своей первой собаки. Что отвечает мне эта долбанная система? Имя должно быть минимум из пяти букв. Из пяти, поняли?! Я дико, бля#ь, извиняюсь, но в имени моей собаки было 4 буквы! Где я теперь найду придумавшего такое правило мудака, чтобы лично раскрыть ему глаза на этот занимательнейший факт мироздания? Слышишь, мудак! В именах и кличках животных встречается меньше 5 букв, я гарантирую это. Прими это за аксиому в проектировании своего следующего сервиса, равно как и то, что 4 буквы не делают систему менее устойчивой. Если вы позволите брутфорс как минимум 84,934,656 комбинаций ответов на секретный вопрос, вы должны отрубить себе руки немедленно. Если таблицы ответов на секретные вопросы не зашифрованы и/или могут быть физически скомпрометированными вместе с  таблицами юзеров, вы никогда больше не должны приближаться к онлайновому бизнесу. Это же так просто. Да вся идея с секретными вопросами — сама по себе дичайшая дыра в безопасности, недаром съевшие собаку в computer security никогда не отвечают на подобные вопросы правду. Имя собаки? Эйяфьятлайокудль, ёпта. Получите свои 5 букв, у меня еще есть.

Вывод на самом деле неутешительный: настоящая безопасность очень сложна для среднестатистического ламера. Хуже того, она слишком сложна для специалистов по безопасности, нанимаемых компаниями, и тем более, для техподдержки. К слову сказать, я чрезвычайно доволен гугловской двухфакторной аутентикацией, но даже в страшном сне я не вижу её широкого применения простыми потребителями. Что остается, беспроводные токены? биометрия? встроенный в телефоны чип? Самоадаптируемые к IQ пользователя алгоритмы?

me, default, computer

Цирк уехал, клоуны остались

В отличие от многих тутошних теоретиков, я на кошачьем представлении Куклачева побывал относительно недавно, со старшей деткой, сидя чуть ли не в 1м ряду. Не будучи большим специалистом по кошкам, все же смею заявить: его кошки работают с удовольствием, замученными-запуганными не выглядят, Куклачев (его сын, кажется) их ЛЮБИТ, это видно невооруженным глазом. Был там момент, когда какой-то котенок не смог куда надо запрыгнуть с первых двух раз. Куклачев взял котенка на руки, весьма нежно погладил, успокоил и дал выполнить упражнение еще раз. Ну не вяжется это с пытками электричеством, совершенно.

Я допускаю все. Возможно в Израиль были привезены специальные обманные кошки. Возможно за кулисами творится ужас лубянских подвалов 30х годов. Хоть подавленное животное и определяется на раз, я допускаю существование некоего способа, придающего полумертвым от пыток кошкам веселость и игривость. Тут не в кошках дело вообще, а в блогерской реакции.

Удивительно насколько люди, ценящие свободу слова, не понимают того, что существование свободы слова невозможно без обязательства ответа за свое слово. Иначе это будет не слово, а шум. Если ценность слова равна нулю (сидит себе юродивый и обзывает всех мудаками), то и проблемы нет вовсе. Но если слово имеет вес и задевает оппонента по любой причине, то в точности эта самая свобода слова позволит оппоненту ответить! Судебный гражданский иск за клевету есть ничто иное, как ответ словом на слова клеветника. И у клеветника есть свобода доказать словом, что он не клеветник, а порядочный человек. Нельзя иметь свободу слова и не иметь свободы требовать сатисфакции, коей в данном случае будет опровержение, публичное извинение и т.п.

Как восприняли бы блогеры подобную ситуацию сотню-другую лет назад, обзови некто Миша некоего Клоуна мразью, а Клоун возьми и вызови Мишу на дуэль (допустим, оба из подходящего сословия)? По-моему, восприняли бы совершенно нормально. И реакцию Клоуна уж точно нашли бы адекватной. В сегодняшней истории отличий нет, разве что метод сатисфакции - суд - стал более гуманным и бюрократическим.

Тут очень важно помнить, что принцип "свобода слова == свобода ответа" симметричен только для оппонентов-людей. Асимметрия допустима лишь тогда, когда оппонентом выступает государство. У государства не должно быть права ответа кроме считанных по пальцам одной руки случаев (вроде призывов к убийству и т.п.). Но у Клоуна такое право безусловно есть.