seo-блог

SEO-блог Остров МЫСЛЕЙ: сео (поисковая оптимизация), монетизация и раскрутка сайта, ресурсы сети.

В избранное :: В загрузку :: В печать
Bookmark and Share

Утопия об идеальной защите биржи: профиль, аккаунт, айпи (ip)




#145 Взлом, безопасность и стабильность.  Утопия об идеальной защите биржи: профиль, аккаунт, айпи (ip)

В сети, в частности в рунете уже наклёпано великое множество бирж, по самым скромным подсчетам — более сотни бирж, которые хоть как-то живут, хотя бы "своей жизнью" (на автомате) и набирают свою "популярность" хотя бы среди узкого круга знакомых. Но, как выясняется, ни одна из создданых бирж не обладает полным спектром безопасности. А ведь главное — не сколько зарабатываешь, а сколько выводишь на свой кошелек, хотя и сам кошелек (например,  webmoney) держать весьма не безопасно, но об этом в другой раз.

Основные методы взлома биржи

К сожалению, любой пароль можно подобрать на любой бирже к аккаунту банальным брутальным подбором, т.е. просто тупо перебирая цифры от 0 до 9 и буквы подрят по алфавиту. Какой выход? — через каждые 3 попытки залогиниться (войти в свой аккаунт) выводить капчу (картинку с секретным кодом). Выход — ставь 9-значный или более пароль, злоумышленникам бывает не лень подбирать до 8 знаков, остальное может занять неделю на один аккаунт.

Также существует множество других способов взлома аккаунтов биржи, например, такие способы мошейничества:

Взламывают биржи, постоянно их мониторят, но ничего не делают, а просто следят за пользователем, ни пароли, ничего не меняют, кроме того, что могут сменить (добавить) кошелек. Вот какая хитрая штука со мной приключилась: мошенники узнали каким-то хитрым способом пароль к почте, сменили кошелек и... 1 - биржа об этом не отписалась, или 2 - биржа отписалась, но почту предусмотрительно удалили; на самой почте также совершенно ничего не меняли, просто наблюдали. Только случайно перед выводом средств заметил, что кошелек не мой — он, вероятно, был подтвержден злоумышленником без моего ведома и деньги, чуть было, не ушли "налево".

Основные методы защиты бирж — защита по айпи (ip)

Этот не вариант безопасности, конечно же, не понацея — вдруг пользователь перемещается? Я, например, 20 лет живу в одном городе и уверен, что сдохну тоже... Эта защита не 100%-я и не подойдет для всех пользователей, но по крайней мере, думается, 60% сидят на месте и могли бы "эту" галочку себе поставить в профиле. Из-за того, что у многих пользователей динамический ip администраторы бирж не хотят это делать — сложно и долго, а доход это не приносит.

В любом случае, переезд пользователя из города в город неожиданным одноминутным не бывает, да и восстановить пароль не так уж сложно, например, та же webmoney (вебмани) предлагаетвосстановление пароля через код, присланный на смс (sms), пароль на почту (запасную), а также, как вариант, можно добавить другие функции, например, ответить правильно на 5 вопросов (какая фамилия, моб. телефон, адрес, свой вопрос, паспорт и прочее).

Как это можно было бы реализовать? — создать простой скрипт по вычислению текущей сети (подсети) провайдера, как это сделано на webmoney. При заходе на страницу блокировки автоматически добавляется в форму динамическая сеть входа пользователя или текущий айпи (статический). Добавлять можно много раз без ограничений, используя маску динамической сети.

Но есть также и другой вариант обхода защиты, например, злоумышленник может использовать прокси-сервер (proxy) для взлома, точнее, несанкционированного входа в аккаунт. Прокси-сервера могут динамически менять (скрывать) айпи в течении сеанса подключения, поэтому, выход видится такой — определять автоматическими скриптами начало трека, т.е. откуда начинается сигнал злоумышленника, ведь каждый айпи завязан на страну и город. Есть куча счетчиков в сети, которые определяют по айпи и город, и страну, и все прочее...

Как решить проблему? — Запретить вход в аккаунт с другого города или страны. Если простым простукиванием сигнала нельзя узнать откуда начинается сигнал, то наверняка это попытка несанкционированного входа (попытки взлома), зачем легальному пользователю скрывать свое нахождение на бирже, пытаться зайти на нее незамеченным? Хотя, бывают и такие... Разве нельзя запретить (разрешить) вход в аккаунт биржи только с определенного города или страны? Разве нельзя запретить (разрешить) вход в аккаунт биржи только одного человека, который бы мог войти в аккаунт за раз, а не 10 одновременно?

Основные методы защиты бирж - защита профиля

Самый эффективный способ борьбы с мошенниками - защитить профиль пользователя биржи. Например:

  • смену кошелька производить не чаще раза в неделю;
  • при смене кошелька не производить моментальный вывод средств, а ожидать неделю.
  • ввести внутренние пароли профиля, например, для смены кошелька требуется другой пароль, отличный от пароля входа в аккаунт.
  • при каждой смене чего-либо (кошелька или почтового ящика), после выхода из аккаунта высылать на почту сообщение о произведенных действиях и параметров пользователя, например, айпи, а также браузера, ОС и т.д.;
  • принудительно закрывать аккаунт через, например, 30 минут и выкидывать пользователя на главную страницу биржи для повторной авторизации.

Все эти функции не обязательно делать принудительными, нужно дать пользователю возможность выбора: использовать простой аккаунт биржи, но не безопасный, или использовать защищенный аккаунт биржи, но требующий постоянного уточнения паролей или чего-то еще.

Во многих форумах и блогах самых популярных бирж сети можно найти мои ветки по улучшению и доработке бирж, особенно в плане безопасности — защиты от взлома и юзабилити интерфейса (удобной интуитивной навигации). Основные проблемы взлома были описаны на форумах бирж nahaa.ru (форум), linkfeed.ru (форум) и другие.

Продолжение статьи читайте на следующей странице.

Другие способы защиты от взлома бирж (несанкционированного входа в аккаунты)

— Запретить сохранять логин и пароль и запретить (разрешить) использовать куки (cookie) для авторизации (входа в аккаунт) пользователя.

— Сессия только с одного IP-адреса (опция проверяет, что все запросы в сессии идут с того же адреса, с которого она началась, если не с того, то сессия считается неправильной — и отправляет на авторизацию. Выключать опцию стоит только если регулярно "выбрасывает" из на авторизацию.).

— Показывать информацию о последнем входе в систему (ведется журнал — логи, в котором можно узнать когда (дату и время)  и с какого IP-адреса был вход в аккаунт. ).

— Вести открытую статистику взлома системы. Такое ощущение, как будто ни одну биржу невозможно взломать, но ведь это не так — почти каждая биржа статей и ссылок имеет массу недостатков, так сказать "дыр" в коде, про которые злоумышленники знают, но программисты либо заняты другими вещами, либо просто не компитентны в вопросах безопасности взлома биржи и не обращают на это внимание. Почему бы не создать об этом отдельный раздел в бирже и не показывать данные злоумышленника (айпи, страну, город, ОС, браузер и т.д.)? Рано или поздно, они попадутся "хорошим" людям и их самих разнесут в пух и прах... просто заддосят их сеть или отрубят вовсе. Как правило, на одного хитрожопого найдется с десяток таких же, так пусть поупражняются во взломе...

— Почему бы всем биржам не заключить "союз", не договориться об общей безопасности сети, почему бы не создать внеглассное правило: взломали одну биржу — заблокировали злоумышленника во всех? Ведь уже давно ведутся базы данных о спаме, например, Акисмет — самая крупная популярная база спамщиков, так почему бы не создать базу ненадежных интернет-кафе и ненадежных подсетей, которые не хотят бороться с преступностью, как это делает Спамхаус (SpamHaus), замечательно описанный в корпаративном блоге Ольги Ивановой?

Например, меня постоянно мониторит один ухарь из Омска; отписался всем биржам — им просто плевать: одним пользователем меньше, одним больше — какая разница, деньги все равно не их. Поэтому, я не пользуюсь многими биржами (в частности mainlink.ru и др.), аккаунты пустые, на интернет зарабатываю за счет прямого контакта заказчиков статей и ссылок, кого интересует, смотрите раздел Реклама в блоге.

Нашли ошибки, знаете больше? - Пишите, исправим и дополним.


Просмотров: 125
Комментариев: Комментариев нет
Опубликованно: Среда, Май 6th, 2009 в 15:34
Обновлено: 16 Июль 2009 в 17:32.
Директории: Взлом, безопасность и стабильность
Автор: admin, все авторы.


В статье: 1099 слов. Ссылки на странице.
Bookmark and Share
УжасноПлохоНормальноХорошоОтлично
(голоса: 2, оценка: 4.50 из 5)
Источник: http://isle-blog.ru/cracking-safety-stability/ideal-market-protection-ip/


Понравилась статья? - Не пропустите следующую, подпишитесь на RSS-канал[?], e-mail или читайте блог Остров МЫСЛЕЙ через Яндекс.Ленту или Google.Reader.

Также Вы можете оставить комментарий, или trackback[?] на Вашем сайте.
На эту статью ссылаются:



Эту статью находят по поисковым запросам:
Оставьте свой комментарий на seo-блоге Остров МЫСЛЕЙ
Нам важно Ваше мнение. (Комментариев нет)

Еще никто не комментировал. Будьте первым.

Коммментарии разрешены, но пока их нет.



RSS-канал[?] комментариев данной статьи или всего блога Остров МЫСЛЕЙ.
Для установки аватара (фотография комментатора) используйте gravatar!
Оставляя комментарий, Вы соглашаетесь с правилами комментирования.

Прокомментировать

XHTML-теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:

символов осталось из 2000.

Trackbacks

    Пример: SEO, PageRank, ТИЦ, Search.
    banner banner banner
    Рекламный блок РБ3 (360x60 или 125х125 пх). Здесь может быть Ваша реклама (текст, ссылки, баннеры) - сквозная прямая ссылка на всех страницах всего за 40 $/мес. Подробности по размещению рекламы в блоге Остров МЫСЛЕЙ: 463768885, zgr@bk.ru...
    Июль 2013
    Пн Вт Ср Чт Пт Сб Вс
    « Июл    
    1234567
    891011121314
    15161718192021
    22232425262728
    293031  
    advertising На этом месте могла
    быть Ваша реклама.
    advertising На этом месте могла
    быть Ваша реклама.
    advertising На этом месте могла
    быть Ваша реклама.
    Регистрация в блоге:

    Частые комментаторы:

    gravatar Марина
    Комментариев: 13
    Сайт: biznes-mesto.ru
    gravatar Олли
    Комментариев: 13
    Сайт: zhenskayalogika.ru
    gravatar Alex
    Комментариев: 8
    Сайт: blog.xx-web.ru
    gravatar Елена
    Комментариев: 8
    Сайт: Ru-party.ru/blogg
    gravatar Светлана Бобровская
    Комментариев: 6
    Сайт: vseuch.ru
    Пользователи:

    Администраторы: 1 (admin)
    Редакторы: 1 (admin)
    Авторы: 1 (admin)
    Публикаторы: 1 (admin)
    Зарегистрировано: 1
    Всего пользователей: 55

    Авторы:

  • admin 1 (78)

  • Статистика блога:

    Предложить работу:

    Обратная связь:

    gravatar Блогер-сеошник, веду сайты: Остров ПОЭЗЫ, Остров УСЛУГ, Остров ЛИТЕРАТУРЫ. Это техническая страница, более подробно обо мне смотрите здесь.Также приглашаю заглянуть в раздел О блоге и посетить личный блог.

    Autor: Зайва Игорь Леонидович

    E-mail: zgr@bk.ru

    ICQ: 463-768-885

    Reserve:

    Reserve:

    Рейтинг@Mail.ru Рейтинг блогов Rambler's Top100
    Также читайте раздел: Блогосфера.

    Если Вы ведете блог схожей тематики (раскрутка, оптимизация или монетизация сайта), давайте обмениваться ссылками.

    Блогролл:

    Пока пусто, но Вы можете предложить свой тематический ресурс.
    Я.ру
    Мой мир
    Мой круг
    Мир тесен
    Моя Опера
    В контакте
    В одноклассниках
    topics
    RT @RusBase: Всероссийская база данных населения http://t.co/JT9Bs9Eu 2012-02-13
    • RT @RusBase: Всероссийская база данных населения http://t.co/JT9Bs9Eu 2012-02-13
    • RT @nepenucb: Архив переписи населения теперь в общем доступе. В нём есть и ты! Бесплатный сервис поиска на http://t.co/PzmiowL7 2012-02-06
    • RT @bazapoiska: Бесплатный поиск информации о любом человеке http://t.co/siZpIVtm 2012-01-30
    • RT @adam00011: Не можете победить лишний вес? Перестаньте кушать ЭТО http://t.co/oZicB7eZ 2012-01-27
    • RT @adam00011: Национальный поиск данных http://t.co/jAuF6N7F 2012-01-26
    • More updates...

    Posting tweet...

    Nahaa.ru
    SetLinks.ru
    linkfeed.ru
    Uniplace.ru

    Sape.ru

    ProfitBlog.ru
    j2j.ru

    1ps.ru
    Regone.ru
    Seopult.ru
    Все партнеры seo-блога Остров МЫСЛЕЙ. Также читайте статью Монетизация сайта: биржи статей и ссылок, а также статью Прогон сайта; бесплатная регистрирация.
    Последние комментарии:
  • Трекбеки и пингбеки:
  • Умные деньги: Законы блогосферы | Честный бизнес
  • Эстафета продолжается в статьях и комментариях.: Это уже позже я прочитала на блоге Игоря статью “Акции,...
  • Блог Береза Владимира: Алгоритм Google или определяем PR
  • Анонс лучших статей блогосферы: КАРТА САЙТА И БРЕДОСАЙТЫ: ХИТРОСТИ И ЭФФЕКТИВНОСТЬ.


  • Бэклинки (внешние ссылки):


    Статистика ссылок
    Яндекс: 0, Гугл: 0, Яху: 0.
    Самые любимые статьи:

    Использование материалов разрешено только при указании источника.
    Подписаться на рассылку RSS всего блога или только комментариев.
    Блог рожден: 1. 10. 2008, живет: 4 года, 9 мес. и 4 дня.
    SEO-блог Остров МЫСЛЕЙ работает на WordPress
    Copyright © 2008-2013 isle-blog.ru PageRank
    Республика Казахстан, Алматы
    Widgetize!

    seo
    Этот домен продается на telderi