Здравствуйте, akasoft, Вы писали:
A>Чего паника-то? На форуме разрешено вставлять произвольные картинки, потому что это удобно. Никто не мешает мне вставить обычную картинку, типа . Честный броузер просто обязан запросить по известному протоколу HTTP эту "картинку". А там ставится простенький скрипт, фиксирующий дату и IP. Ну и чего там ещё броузер вежливо даст. Пишется сообщение, в тот же юмор, работает скрипт, потом отдаётся "честная" юморинка. Потом небольшая кореляция с датой сообщений-ответов, датой оценок и никами, очёрёдностью запросов. Это всё указано. И всё. Несколько итераций, накопление статистики, и адреса известны.
Тут какое дело — неэффективность. Картинка даётся и при просмотрах, не стабильно работает для тех кто использует Janus/NNTP ну и вобщем список IP получить можно, а вот сопоставление nick<->IP уже не очень.
A>Дальше-то что???
Это сложный вопрос. Опять таки, на РСДН с десяток раз хотели подать в суд, может кто злобу-то и затаил.
A>Это программистский форум. Конечно, не все у нас специалисты по сетевым технологиям. Зато есть специалисты по боксу.
Это к сожалению не выход.
A>Как-нибудь простенький брандмауер поднимем, да. Я уж не говорю про встроенный в WinXP SP2, там его нужно всего-лишь не выключать.
Ну не у всех XP. И потом многие программисты думают, что они самые умные и ставят брендмауэры третьих фирм, а потом некорректно их настраивают.
A>Не, я понимаю, кто-то скрывает своё имя и так далее. А тут IP засветился. Актуально для форума политики.
Кстати да. И для "О работе", если IP корпоративный.
A>Или надо наехать на надёжность Команды РСДН в данном вопросе. После "демократии", "колобков" и "украинских тем" в политике, это, конечно, хорошая тема обвинить Команду в "продаже IP", "раздаче приватной информации о своих пользователях", etc. При должной раскрутке может нанести серьёзнейший урон не столько Команде, сколько сообществу, т.е. нам.
Лично я ни на секунду не сомневаюсь, что никто из команды не делал никаких осознанных шагов для взлома сайта или продажи IP. С другой стороны безопасности должное внимание никогда не уделялось.
A>Нам это надо? Мне лично — нафиг не надо.
Мне тоже
A>Как вариант — предлагаю обсудить в соответствующем форуме "последствия" раскрытия IP-адресов для форумчан. Я, конечно, могу заблуждаться, но по мне — фигня это.
Как ты правильно заметил, можно теперь по нику установить страну, город, адрес, а то и фирму. Я об этом и не подумал — молодец. Для завсегдатаев "О работе" и группы СВ может закончится не хорошо.
Здравствуйте, adontz, Вы писали:
A>Влад, а такие призывы между прочим тоже входят в УК.
Ну, "месть" должна быть многогранной и всесторонней. Чтобы у противника даже мысли не возникало защищаться, и вообще возможности защиты. Только щемиться, и ещё вчера.
A> Скорее тебя посадят за погромы на рынке и призыв к погромам...
Это да. Лишь бы на "таджикскую девочку" не нарваться.
Сам продавец-то вообще ни при чём. У него есть хозяин лотка или всей этой тряхомудии. С хозяином можно и нужно разговаривать. Они очень адекватные люди.
Сама продукция — база IP-адресов — очень специфичная и условно "скоропортящаяся". Я понимаю, IP почтовых серверов и пр. добра. Это можно использовать в том же спаме. Но вот что с рядовыми форумчанами делать. Шантажировать высказываниями на форумах? Так это и так можно делать. В той же политике кодекс требует указать имя и место жительства, иначе с тобой никто общаться и не будет.
Да нет, давно знал. И твоё сообщение когда-то читал, помню, да.
A>Это сложный вопрос. Опять таки, на РСДН с десяток раз хотели подать в суд, может кто злобу-то и затаил.
Доказательства? Суд слухами не оперирует. Тут вон за взломы Госдума медули раздаёт.
A>Это к сожалению не выход.
Про бокс или про технологии сетевой безопасности, защиты и атаки?
A>Ну не у всех XP. И потом многие программисты думают, что они самые умные и ставят брендмауэры третьих фирм, а потом некорректно их настраивают.
Ну, можно обсудить эту тему и выработать ФАКУ по настройке популярных "щитов и мечей", голосование сделать по "щитам".
A>Кстати да. И для "О работе", если IP корпоративный.
Да, с работой и шароварой можно "пролететь".
A>С другой стороны безопасности должное внимание никогда не уделялось.
Есть мнение , что проблемы следует решать по мере их возникновения. Но, конечно, немного соломки подложить стоит всегда, просто так.
A>Как ты правильно заметил, можно теперь по нику установить страну, город, адрес, а то и фирму. Я об этом и не подумал — молодец. Для завсегдатаев "О работе" и группы СВ может закончится не хорошо.
Да, тут есть повод для шантажа личности. Согласен.
Здравствуйте, adontz, Вы писали:
A>Тут какое дело — неэффективность. Картинка даётся и при просмотрах, не стабильно работает для тех кто использует Janus/NNTP ну и вобщем список IP получить можно, а вот сопоставление nick<->IP уже не очень.
А при запросе картинки браузер поле Referer в заголовке передаёт?
... << RSDN@Home 1.2.0 alpha rev. 0>>
Если нам не помогут, то мы тоже никого не пощадим.
Здравствуйте, IT, Вы писали:
A>>Тут какое дело — неэффективность. Картинка даётся и при просмотрах, не стабильно работает для тех кто использует Janus/NNTP ну и вобщем список IP получить можно, а вот сопоставление nick<->IP уже не очень. IT>А при запросе картинки браузер поле Referer в заголовке передаёт?
По умолчанию — да. Можно отключить в некоторых браузерах, можно fake подсунуть, но мало, кто на это время будет тратить.
Здравствуйте, anonymous, Вы писали:
IT>>А при запросе картинки браузер поле Referer в заголовке передаёт?
A>По умолчанию — да. Можно отключить в некоторых браузерах, можно fake подсунуть, но мало, кто на это время будет тратить.
Тогда вытянуть имя пользователя и ссылку на профайл дело техники
Блин, вот уроды! Не понятно даже как с этим бороться
... << RSDN@Home 1.2.0 alpha rev. 0>>
Если нам не помогут, то мы тоже никого не пощадим.
Hello, IT!
A>> По умолчанию — да. Можно отключить в некоторых браузерах, можно fake A>> подсунуть, но мало, кто на это время будет тратить. I> Тогда вытянуть имя пользователя и ссылку на профайл дело техники I> Блин, вот уроды! Не понятно даже как с этим бороться
Да как? Они вычислят адрес читающего, но не написавшего сообщение.
И соответвенно связи между именами и адресами не смогут составить.
Здравствуйте, IT, Вы писали:
IT>А при запросе картинки браузер поле Referer в заголовке передаёт?
Просто обязан, т.к. сервер может анализировать заголовки запроса и реагировать на это поле. Например, блокированием контента.
Так, например, некоторые сайты (народ.ру, etc) требуют, чтобы закачки происходили только с полем Referer, указывающим на страницу на их сайте. Иначе контент не отдают.
Здравствуйте, IT, Вы писали:
IT>Блин, вот уроды! Не понятно даже как с этим бороться
Во-первых, а надо ли бороться? Это же основа IP-протокола, его неанонимность. Неужели для кого-то это ещё тайна?
Во-вторых, тот, кто хочет скрыть своё лицо, имеет широкий спектр условно-работающих инструментов, как то — место публичного доступа, "анонимный" прокси. Условно — потому что всё это работает по IP-протоколу, трафик гоняется местными провайдерами сами знаете как. Однако, "анонимный" прокси скроет от "картинки" реальный адрес, лишь бы он не пропускал HTTP_X_FORWARDED_FOR. Если кто хотел спрятаться, и не спрятался, при чём тут форумы РСДН?
В третьих, всегда есть способ запретить вставлять картинки со сторонних узлов, только из файловой области пользователей РСДН. Но это не удобно.
В четвёртых, самый вред наносится взломом почтовых и веб-серверов. Самое время проверить работу всех критически уязвимых служб на сервере РСДН. Но это надо делать всегда, периодически просто так, и при внесении изменений в алгоритмы работы служб.
Здравствуйте, Merle, Вы писали:
M>Разрешить подгружать картинки только с нашего сайта.
Ну, это кстати логично. Я вот всегда копирую картинки на сервер RSDN, прежде чем ссылаться на них в теме. А то ведь кто знает, что с теми картинками будет через неделю.
P.S.
Кстати, если я правильно понимаю ход дискуссии, то аналогичную опасность могут представлять и ссылки на персональные сайты форумчан, "публикуемые" в правом верхнем углу сообщения... мало ли, что у меня там за контент.
[ posted via RSDN@Home 1.1.4 stable SR1 r568, accompanied by silence ]
Hello, SchweinDeBurg!
S> Кстати, если я правильно понимаю ход дискуссии, то аналогичную опасность S> могут представлять и ссылки на персональные сайты форумчан, S> "публикуемые" в правом верхнем углу сообщения... мало ли, что у меня там S> за контент.
Ага, и вообще отменим ссылки в интернет — мало ли что там.
По ссылке ты должен осознанно кликнуть, картинки грузятся автоматически.
Здравствуйте, IT, Вы писали:
A>>По умолчанию — да. Можно отключить в некоторых браузерах, можно fake подсунуть, но мало, кто на это время будет тратить. IT>Тогда вытянуть имя пользователя и ссылку на профайл дело техники IT>Блин, вот уроды! Не понятно даже как с этим бороться
Ссылки на внешние картинки должны заканчиватся на JPG/JPEG/GIF/PNG/SWF. То есть это конечно не 100% способ, но у кулхацкеров обычно не своего сервера на котором они могут сопоставить JPG перлу. А кстати что с referer? Referer это просто предыдущий URL Я что-то не очень понимаю.
Здравствуйте, akasoft, Вы писали:
A>Так, например, некоторые сайты (народ.ру, etc) требуют, чтобы закачки происходили только с полем Referer, указывающим на страницу на их сайте. Иначе контент не отдают.
Здравствуйте, SchweinDeBurg, Вы писали:
SDB>Ну, это кстати логично. Я вот всегда копирую картинки на сервер RSDN, прежде чем ссылаться на них в теме. А то ведь кто знает, что с теми картинками будет через неделю.
Ну и какой у тебя лимит общего размера файлов? Восьмёрка на боку? Молодец, у меня и многих других — несколько меньше.
Здравствуйте, adontz, Вы писали:
A>Это для запрошенного URL, а для IMG линков?
А ты поснифери.
Типичный сценарий. Броузер получает URI, смотрит Content-Type, выясняет, что это страничка, парсит, обнаруживает теги имг, делает на каждый GET-запрос с добавлением заголовка Referer, указывающего на URI странички. Так "ловят" ссылающиеся страницы, и блокируют медиаконтент.
Здравствуйте, adontz, Вы писали:
A>Ну и какой у тебя лимит общего размера файлов? Восьмёрка на боку? Молодец, у меня и многих других — несколько меньше.
На форуме разрешено вставлять произвольные картинки, потому что это удобно. Никто не мешает мне вставить обычную картинку, типа 
. Честный броузер просто обязан запросить по известному протоколу HTTP эту "картинку". А там ставится простенький скрипт, фиксирующий дату и IP. Ну и чего там ещё броузер вежливо даст. Пишется сообщение, в тот же юмор, работает скрипт, потом отдаётся "честная" юморинка. Потом небольшая кореляция с датой сообщений-ответов, датой оценок и никами, очёрёдностью запросов. Это всё указано. И всё. Несколько итераций, накопление статистики, и адреса известны.
Актуально для форума политики. 
После "демократии", "колобков" и "украинских тем" в политике, это, конечно, хорошая тема обвинить Команду в "продаже IP", "раздаче приватной информации о своих пользователях", etc. При должной раскрутке может нанести серьёзнейший урон не столько Команде, сколько сообществу, т.е. нам.
Если нам не помогут, то мы тоже никого не пощадим.
Мы уже победили, просто это еще не так заметно...
