Тут сказалось то, что авторизация происходит через Игровой Центр. Который в том числе входил в «большинство» с не подверженной атаке версией.
Логин-сервер ArcheAge вообще не знает ничего о логинах и паролях, он оперирует id аккаунта и одноразовым хэшем, заполучив который сделать ничего нельзя. Для этого как раз сделана единая авторизация — чтобы в том числе не зависеть от реализации безопасности конкретного стороннего разработчика.
Во-первых, «большинство» — это не все. Использовалась ли на серверах авторизации АА правильная версия OpenSSL в статье нет.
Во-вторых, как там правильно отметили в комментариях, у пользователей часто пароли на разных аккаунтах совпадают, так что просить сменить пароль все же имело смысл.
Но за ссылку спасибо. По крайней мере дело не непосредственно в почтовом сервере, если и с этим связано.
По этой причине я для игры делал отдельный почтовый ящик, да и вообще в последние годы стараюсь постепенно переводить все свои почтовые ящики с мыла на другие площадки.
Хочу ответить всем и сразу, по пунктам и максимально подробно.
1. Я считаю себя образованным человеком. Я много знаю в своем болоте, и хоть это и довольно большое болото — я знаю также, что болот на земле много. Поэтому я восхищаюсь людьми, которые являются специалистами в других отраслях и областях знаний. ITшники, специалисты по точным и естественным наукам, я вообще часами готова слушать о физике пламени и точно никогда не буду спорить с программистом о программах. Поэтому в разговорах на «чужие» для меня темы я сижу ровно и слушаю старших. Может быть, это сподвигло некоторых наших знакомых решить, что я или Сьютта просто не знаем элементарных правил безопасности. Это не так. Я в Сети с момента, когда в нашем городе появился первый диал-ап, последние 10 лет я работаю с сетевыми СМИ, не менее 6 из них — в должности главного редактора. При этом я считаю, что Сьютта в сабже разбирается лучше меня. Может быть, так совпало, что все остальные здесь действительно не знают, как себя обезопасить, но правила «по баннерам не кликать» синонимично для меня правилу «пальцы в розетку не совать». Я говорю так не по причине высокомерия или чего-то еще, я мало что понимаю в программировании, хтмл-верстке или СЕО, но я знаю, что нужно мыть руки перед едой и не скачивать вложения из подозрительных писем. Из всего моего круга общения этого не знает только моя мама, но она пока еще не очень уверенный пользователь Интернета.
2. Почему на банальный совет последовала такая острая реакция? Я попробую объяснить. Представьте себе человека, который попал в аварию и находится, например, перед неприятной перспективой потратить много денег на лечение. И ему говорят: нам тебя, конечно, жаль, это все так ужасно, а чтобы такое не повторялось впредь, давай мы тебе расскажем о правилах дорожного движения. Почему сочувствие в такой форме может не помочь, а напротив — задеть и обидеть? По двум причинам. 1) проблема человека здесь и сейчас в другом, он думает о том, где найти деньги, как сохранить работу, что делать дальше со своей жизнью, и если бы совет касался, например, работы или здоровья, он бы, наверное, отреагировал иначе. И 2) если вы не знаете, связана ли травма с незнанием ПДД — лучше не пытаться советовать. Может оказаться, что человека сбил мажор на папином «майбахе», когда он просто стоял на остановке, и тогда это будет воспринято не как помощь, а как издевательство.
В общем-то, тут все просто — если человек сам не попросил о помощи, если проблема человека заключается не в том, чтобы повысить уровень внутренней безопасности, и если человек при этом явно расстроен тем, что с ним случилось, далеко не факт, что непрошеная помощь по несуществующей проблеме будет принята благосклонно, если помощь при этом и впрямь нужна и выхода из ситуации никто не видит. Все мы живые люди, а не машинки с системой запроса-ответа. Все мы можем эмоционально реагировать, столкнувшись с нерешаемыми проблемами. И мы — все трое — безусловно, очень расстроены сейчас.
3. Почему менсплейнинг? Думаю, все дело в эффекте знакомой среды. «Когда слышишь стук копыт, думай — лошади, а не зебры». Человек оперирует уже известными шаблонами, это эволюционное; мы нарабатываем опыт, сталкиваясь с негативом, и запоминаем его в целях личной безопасности. Ирма часто видела такие ситуации, сопряженные с менсплейнингом, поэтому быстро сделала такое предположение. И нет, я не считаю, что это действительно наезд — Ирма дала понять, как выглядит такое объяснение, но все мы готовы предположить, что в реальности мотивы объясняющего могут быть другими. Но я видела наезды куда более несправедливые и ничуть не более аргументированные, и помню дивное «по форме нет, но по сути он прав», и я не помню, чтобы у того, кто выше рассуждал о «поводе наезжать», возникли какие-то претензии по этому поводу. Так что нужно определиться — или в целом это не противоречит вашим принципам, и тогда непонятно возмущение, или противоречит, и тогда я начинаю думать, что на меня можно, а на вас нельзя. Шутка :) Но не без доли правды.
4. Не будучи ITшником сама, в своей прошлой московской жизни я по воле случая попала в тусовку этих самых загадочных личностей, поэтому отвечу всем комментаторам сразу — нет, мытье рук не защитит вас от всех болезней, и нет, антивирус не спасет от взлома аккаунта. Я прекрасно помню, как двое высокооплачиваемых специалиста два дня потрошили неплохо защищенный компьютер, пытаясь понять, какая хрень туда пролезла, и этот компьютер вовсе не принадлежал сотруднику спецслужб или подпольному миллионеру.
В число прочих наших друзей-знакомых входил и один достаточно дорогой даже для Мск специалист по информационной безопасности. Товарищ этот возглавлял одноименное подразделение в крупном холдинге с, хм, банковской составляющей. И с его слов я знаю, что источником угрозы иногда может быть лицензионное ПО; черный список софта, которые любезно предоставляют вредоносным программам свои запасные дверки, в те времена возглавляли клиенты ICQ и… весь софт от компании Мейл.ру. Вплоть до шовинизма «если ты ставишь мейл-агент, ты тупее тех, кто кликает по баннерам». Это шовинизм и вообще тотальная несправедливость, и дело-то было года три-четыре назад. И если вы верите в светлые идеалы и прекрасное будущее, мы все можем предположить, что за три года Мейл из компании с репутацией «дыр больше, чем сыра» стала аванпостом информационной безопасности. Возможно. Я, как уже сказала в первом абзаце, не специалист.
ты сталкивался, наверное, что бывает http, бывает https. Добавочное S — secure, т.е. защищенный. Защита обеспечивается шифрованием, которое в очень большом числе случаев завязано на библиотеку OpenSSL. Также эту библиотеку используют не только в https соединениях. Надо понимать, что ее используют почти везде.
В этой библиотеке недавно была найдена очень серьезная уязвимость, которая позволяет злоумышленнику получить кучу информации. В указанной статье перечислены основные проблемы.
Исправление библиотеки появилось достаточно быстро после обнаружения бага, однако производители операционных систем (в состав которых оно входило) + конкретные администраторы на местах (ибо надо же обновить каждый конкретный сервер) не всегда расторопны.
Если на сервере авторизации почты и/или игрового клиента использовалась OpenSSL бажной версии, логины и пароли от почты могли быть украдены. Вопрос еще и в том, исправлена ли уязвимость на данный момент (если она была).
Не заходила с чужих компьютеров. Но после сменила все, что могла, плюс поставила запрет на одновременный сеанс. Странно то, что эта почта у меня уже не знаю сколько лет, рабочая была… и ни разу никаких эксцессов. Стоило начать играть в АА — и вот пожалуйста. Теперь, конечно, она уже не рабочая, и вообще никакая.
Так о том и речь. Не очень понятно, почему эти фиксы в верхнем сообщении рассматриваются, как заслуга трионов.
Вот сравнивать, например, работу саппорта в ру-АА и в евро-АА — да, можно и даже нужно. Или сравнивать… как это сказать… версию игры, как-то так. Химера писал, что на евро очень увлекательно играть даже соло, надеюсь, он найдет время подробно описать отличия от нашей версии и плюсы европейской.
В WOW у моей Оли тоже взломали аккаунт. Зашла с компьютера брата и это было ошибкой. Я сидел за своего персонажа, смотрю — ее персонаж в онлайн заходит, а она сидит напротив меня и смотрит фильм. Я говорю мол смотри, ты тут зашла. Переглянулись. Я давай срочно выходить со своего аккаунта и заходить на ее. Злоумышленника вышибает. Через несколько секунд вышибает меня. И так вот я вышибал его, альтабался, заходил на сайт для смены пароля, альтабался, снова вышибал и так несколько раз пока не смог поменять пароль. Вот это было, черт возьми, совсем неприятное чувство.:)
Кажется, я пропустила всё веселье. А разговор по сути слился куда-то не туда.
По сути: очень сочувствую! Несколько недель назад у меня тоже взломали мейловский ящик и чуть не развели мою знакомую на деньги, общаясь с ней по почте якобы от меня. У меня было предположение, что в почту как-то зашли из игры, а не наоборот. Я очень предусмотрительна в сети, и пароли у меня такие, что вряд ли легко можно подобрать, плюс нигде больше не используемые. (Ну, и антивирус, осторожный серфинг и проч. как положено)
Из игры, правда, ничего не пропало. Но это неприятное чувство — будто сидишь на пороховой бочке и не знаешь, когда она рванет.
не, совсем, это если бы я предположил, что маил.ру сами взламывают аккаунты игроков и сливают с них ценности для продажи голда за реал. А затем рисовали ценности и возвращали их потерпевшим, чтобы репутация тех. поддержки была на высоком уровне.
Логин-сервер ArcheAge вообще не знает ничего о логинах и паролях, он оперирует id аккаунта и одноразовым хэшем, заполучив который сделать ничего нельзя. Для этого как раз сделана единая авторизация — чтобы в том числе не зависеть от реализации безопасности конкретного стороннего разработчика.
Во-вторых, как там правильно отметили в комментариях, у пользователей часто пароли на разных аккаунтах совпадают, так что просить сменить пароль все же имело смысл.
Но за ссылку спасибо. По крайней мере дело не непосредственно в почтовом сервере, если и с этим связано.
Окэй.
habrahabr.ru/company/mailru/blog/218913/
1. Я считаю себя образованным человеком. Я много знаю в своем болоте, и хоть это и довольно большое болото — я знаю также, что болот на земле много. Поэтому я восхищаюсь людьми, которые являются специалистами в других отраслях и областях знаний. ITшники, специалисты по точным и естественным наукам, я вообще часами готова слушать о физике пламени и точно никогда не буду спорить с программистом о программах. Поэтому в разговорах на «чужие» для меня темы я сижу ровно и слушаю старших. Может быть, это сподвигло некоторых наших знакомых решить, что я или Сьютта просто не знаем элементарных правил безопасности. Это не так. Я в Сети с момента, когда в нашем городе появился первый диал-ап, последние 10 лет я работаю с сетевыми СМИ, не менее 6 из них — в должности главного редактора. При этом я считаю, что Сьютта в сабже разбирается лучше меня. Может быть, так совпало, что все остальные здесь действительно не знают, как себя обезопасить, но правила «по баннерам не кликать» синонимично для меня правилу «пальцы в розетку не совать». Я говорю так не по причине высокомерия или чего-то еще, я мало что понимаю в программировании, хтмл-верстке или СЕО, но я знаю, что нужно мыть руки перед едой и не скачивать вложения из подозрительных писем. Из всего моего круга общения этого не знает только моя мама, но она пока еще не очень уверенный пользователь Интернета.
2. Почему на банальный совет последовала такая острая реакция? Я попробую объяснить. Представьте себе человека, который попал в аварию и находится, например, перед неприятной перспективой потратить много денег на лечение. И ему говорят: нам тебя, конечно, жаль, это все так ужасно, а чтобы такое не повторялось впредь, давай мы тебе расскажем о правилах дорожного движения. Почему сочувствие в такой форме может не помочь, а напротив — задеть и обидеть? По двум причинам. 1) проблема человека здесь и сейчас в другом, он думает о том, где найти деньги, как сохранить работу, что делать дальше со своей жизнью, и если бы совет касался, например, работы или здоровья, он бы, наверное, отреагировал иначе. И 2) если вы не знаете, связана ли травма с незнанием ПДД — лучше не пытаться советовать. Может оказаться, что человека сбил мажор на папином «майбахе», когда он просто стоял на остановке, и тогда это будет воспринято не как помощь, а как издевательство.
В общем-то, тут все просто — если человек сам не попросил о помощи, если проблема человека заключается не в том, чтобы повысить уровень внутренней безопасности, и если человек при этом явно расстроен тем, что с ним случилось, далеко не факт, что непрошеная помощь по несуществующей проблеме будет принята благосклонно, если помощь при этом и впрямь нужна и выхода из ситуации никто не видит. Все мы живые люди, а не машинки с системой запроса-ответа. Все мы можем эмоционально реагировать, столкнувшись с нерешаемыми проблемами. И мы — все трое — безусловно, очень расстроены сейчас.
3. Почему менсплейнинг? Думаю, все дело в эффекте знакомой среды. «Когда слышишь стук копыт, думай — лошади, а не зебры». Человек оперирует уже известными шаблонами, это эволюционное; мы нарабатываем опыт, сталкиваясь с негативом, и запоминаем его в целях личной безопасности. Ирма часто видела такие ситуации, сопряженные с менсплейнингом, поэтому быстро сделала такое предположение. И нет, я не считаю, что это действительно наезд — Ирма дала понять, как выглядит такое объяснение, но все мы готовы предположить, что в реальности мотивы объясняющего могут быть другими. Но я видела наезды куда более несправедливые и ничуть не более аргументированные, и помню дивное «по форме нет, но по сути он прав», и я не помню, чтобы у того, кто выше рассуждал о «поводе наезжать», возникли какие-то претензии по этому поводу. Так что нужно определиться — или в целом это не противоречит вашим принципам, и тогда непонятно возмущение, или противоречит, и тогда я начинаю думать, что на меня можно, а на вас нельзя. Шутка :) Но не без доли правды.
4. Не будучи ITшником сама, в своей прошлой московской жизни я по воле случая попала в тусовку этих самых загадочных личностей, поэтому отвечу всем комментаторам сразу — нет, мытье рук не защитит вас от всех болезней, и нет, антивирус не спасет от взлома аккаунта. Я прекрасно помню, как двое высокооплачиваемых специалиста два дня потрошили неплохо защищенный компьютер, пытаясь понять, какая хрень туда пролезла, и этот компьютер вовсе не принадлежал сотруднику спецслужб или подпольному миллионеру.
В число прочих наших друзей-знакомых входил и один достаточно дорогой даже для Мск специалист по информационной безопасности. Товарищ этот возглавлял одноименное подразделение в крупном холдинге с, хм, банковской составляющей. И с его слов я знаю, что источником угрозы иногда может быть лицензионное ПО; черный список софта, которые любезно предоставляют вредоносным программам свои запасные дверки, в те времена возглавляли клиенты ICQ и… весь софт от компании Мейл.ру. Вплоть до шовинизма «если ты ставишь мейл-агент, ты тупее тех, кто кликает по баннерам». Это шовинизм и вообще тотальная несправедливость, и дело-то было года три-четыре назад. И если вы верите в светлые идеалы и прекрасное будущее, мы все можем предположить, что за три года Мейл из компании с репутацией «дыр больше, чем сыра» стала аванпостом информационной безопасности. Возможно. Я, как уже сказала в первом абзаце, не специалист.
В этой библиотеке недавно была найдена очень серьезная уязвимость, которая позволяет злоумышленнику получить кучу информации. В указанной статье перечислены основные проблемы.
Исправление библиотеки появилось достаточно быстро после обнаружения бага, однако производители операционных систем (в состав которых оно входило) + конкретные администраторы на местах (ибо надо же обновить каждый конкретный сервер) не всегда расторопны.
Если на сервере авторизации почты и/или игрового клиента использовалась OpenSSL бажной версии, логины и пароли от почты могли быть украдены. Вопрос еще и в том, исправлена ли уязвимость на данный момент (если она была).
Вот сравнивать, например, работу саппорта в ру-АА и в евро-АА — да, можно и даже нужно. Или сравнивать… как это сказать… версию игры, как-то так. Химера писал, что на евро очень увлекательно играть даже соло, надеюсь, он найдет время подробно описать отличия от нашей версии и плюсы европейской.
В WOW у моей Оли тоже взломали аккаунт. Зашла с компьютера брата и это было ошибкой. Я сидел за своего персонажа, смотрю — ее персонаж в онлайн заходит, а она сидит напротив меня и смотрит фильм. Я говорю мол смотри, ты тут зашла. Переглянулись. Я давай срочно выходить со своего аккаунта и заходить на ее. Злоумышленника вышибает. Через несколько секунд вышибает меня. И так вот я вышибал его, альтабался, заходил на сайт для смены пароля, альтабался, снова вышибал и так несколько раз пока не смог поменять пароль. Вот это было, черт возьми, совсем неприятное чувство.:)
Обращу ваше внимание, что галочку надо ставить не только на танец, но и на торговлю как минимум. :-/
Неудобно все это, неудобно. Снижает качество user experience.
По сути: очень сочувствую! Несколько недель назад у меня тоже взломали мейловский ящик и чуть не развели мою знакомую на деньги, общаясь с ней по почте якобы от меня. У меня было предположение, что в почту как-то зашли из игры, а не наоборот. Я очень предусмотрительна в сети, и пароли у меня такие, что вряд ли легко можно подобрать, плюс нигде больше не используемые. (Ну, и антивирус, осторожный серфинг и проч. как положено)
Из игры, правда, ничего не пропало. Но это неприятное чувство — будто сидишь на пороховой бочке и не знаешь, когда она рванет.