Разработка сайта в действии: скрины и эксплоиты

А вообще, это всё из-за mellon который под моим ником опубликовал сообщение под гостём. Вы тогда, SATtva, сразу сказали про хэши ников и на этом всё кончилось. Если я не ошибаюсь, вы на тот менмент не понимали во что это может быть гипертрофировано в случае атаки. Собсно, я показал.

Вы правы, не понимал. А виноват во всём mellon, это точно! :-)

Заглавные буквы при сверке ников тоже надо отключать.
То есть если spinore уже есть то Spinore или spInore должны резаться скриптом регистрации и скриптом проверяющим ник гостя.

Вы правы, не понимал. А виноват во всём mellon, это точно! :-)

Ну наконец-то разобрались и нашли виноватого :-) Ну что, берём mellon'а и где у нас тут гильотина?
Птфу, chroot, а не гильотина... Оговорился.
:-)

Надо было рекламу заранее дать:

Не пропустите! Хит сезона: "Атака кло(у) нов" на сайте pgpru.com!

Режиссёр и исполнитель главной роли: spinore. По мотивам mellon.

А то половина народу так и не успеет ничего заметить. И останутся только скупые строчки в местных новостях.

Вы, unknown, неужто полагаете что я всё это знал заранее? Каждую минуту я не знал какой будет следующий шаг, сообщение и идея. Это всё рождалось налету. и я совсем не предполагал что выльется в этом
Может быть, когда-нибудь SATtva'а добавит страничку в фак или ещё куда о существовании в ИБ такого понятия как социнженерия и спекуляции на пересечении разных алфавитов. Да, ранее я прекрасно знал что какую-нибдь "o" можно написать в обоих раскладках, но я даже не предполагал что из этого можно сотворить комедию вселенского масштаба :-)
P. S.: вещи из категории очевидных, но только "задним числом", когда уже знаешь... :-)

P. S.: ну за неделю поди исправим?

Основное исправим, прочее оставим на закуску.

P. P. S.: я там по разным топикам много по существу ошибок выловил, нареканий, недочётов... Вы внимательно читайте, надо всё это вычищать и исправлять, баги в смысле. Что от меня зависит я делаю.

Лучше сваливайте свои наблюдения на страницу разработки движка. Поверьте, мне так проще будет самому отслеживать прогресс и подлежащие исправлению проблемы, чем искать их по всем топикам (коих уже не меньше дюжины). Я ведь не только этим сайтом занимаюсь, а ещё и на покушать себе зарабатываю, и иногда читаю обсуждения "по диагонали", могу что-то пропустить.

Вы, unknown, неужто полагаете что я всё это знал заранее? Каждую минуту я не знал какой будет следующий шаг, сообщение и идея. Это всё рождалось налету. и я совсем не предполагал что выльется в этом

Не скромничайте! Блестящая импровизация иногда ценится даже больше, чем хорошо продуманный план.

[/me] подумывает сменить свой ник на жертва киберклонирования.
А Вам в придачу к обещанному пиву подарить SATtve ящик корвалола, чтобы какой-нибудь очередной бал-маскарад не попортил ему нервы. А то смотрите, он ведь и разозлиться может!

Я сделал некоторую проверку ников на похожесть при регистрации и добавлении комментария / правки страницы гостем. Вряд ли она даст стопроцентный результат, но от большинства проблем избавит.

Мы ищем в базе данных два варианта имени с заменёнными наборами символов (как из кириллицы в латиницу, так и обратно), а также оригинальный вариант без транслитерации:
$cy = 'АВСДЕНКМОРТХУасекмпориху01'; $en = 'ABCDEHKMOPTXYacekmnopuxyОl';
Подскажите, если здесь чего-то не достаёт. У меня после пары бессонных ночей голова уже слабо соображает.

SATtva:
Лучше сваливайте свои наблюдения на страницу разработки движка.

Хорошо

unknown:
подумывает сменить свой ник на жертва киберклонирования.

"герой киберклонирования" звучит оптимистичнее :-)

unknown:
А Вам в придачу к обещанному пиву подарить SATtve ящик корвалола

Ещё есть волокардин, димидрол, валерианка, реланиум,...

unknown:
А то смотрите, он ведь и разозлиться может!

Не прежеивайте, у него хорошая выдержка. Кстати, unknown, а вас никогда не ломали/копрометировали?

SATtva:
Если бы я искал только выгоду, то этот сайт ныне вообще бы не существовал. ;-)

Насколько я понимаю, только те вещи, которые человек сделал в жизни бесплатно ради идеи в конечном счёте покажутся ему не бессмысленными в конце жизни. А деньги, это то что сгубило всё, всю жизнь протравило :-(

I l <-> 1

SATтva (тест)

unknown:
Не скромничайте! Блестящая импровизация иногда ценится даже больше, чем хорошо продуманный план.

Уже позже дошло, что надо было инсценировать приход подлинного SATtva'ы, его возмущёные реплики, апелляции к тому у кого хэш длинее и кто больше может подписать, потом появление ещё одного подлинного SATtva'ы с другой моделью реакции на происходящее, где каждый бы аппелировал к своим параметрам аккаунта, выдавая за верные, в итоге подлинность SATtva'ы стала бы определяться голосованием среди посетителей, а каждый бы из клонов SATtva'ы кричал "голосуйте за менчя! Я завтра восстановлю аккаунт и у меня будет 10.000 постов в рейтинге! И вам всем по 100 набавлю! А другой бы кричал "да это всё ернуда! Голосуйте за меня, я настоящий SATtva! Я вам дам возможность править все документы! У нас будет демократичный форум где все будут модераторами а пользователи будут отчаянно метаться между разными инстэнсами Саттв пытаясь выбрать лучшее ... В итоге всё сводится к полнейшему бардаку, в форуме общаются уже 6 разных инстэнсов SATtva'ы (именно столько их с учётом коллизий), каждый говорит полную чушь, все пользователи в растерянности от происходящего, под самый конец приходит тру истинный SATtva и падает в обморок. Занавес. -:)
Что-то в этом духе :-)

Не прежеивайте, у него хорошая выдержка. Кстати, unknown, а вас никогда не ломали/копрометировали?

Я каждый раз убеждаюсь и самостоятельно, и с чужой помощью, как легко это можно сделать в любой момент, что давно надоело относиться всерьёз ко всему этому "security theater".

К счастью мне ничего особо ценного не поручают.

каждый говорит полную чушь, все пользователи в растерянности от происходящего, под самый конец приходит тру истинный SATtva и падает в обморок. Занавес. -:)

Это уже не комедия, это киберапокалипсис какой-то :)

Кстати, на протяжении всей истории люди чем-то похожим занимались, только эта стратегия была придумана не для забавных игр:

Что-нибудь слышали про false-flag?

False flag

False flag operations are covert operations conducted by governments, corporations, or other organizations, which are designed to appear as if they are being carried out by other entities. The name is derived from the military concept of flying false colors; that is, flying the flag of a country other than one's own. False flag operations are not limited to war and counter-insurgency operations, and have been used in peace-time; for example, during Italy's strategy of tension.

Spy tradecraft

In espionage the false flag technique is used to recruit people into spying or stealing critical documents, by convincing them that they are working for a friendly government or their own government. The technique can also be used to catch a spy by having a loyal agent pose as a spy from the other side and approach someone suspected of spying.

Terrorism and false flag operations

Terrorist attacks may sometimes be in fact false flag operations.

Civilian usage:
Businesses/Political Campaigning

См. также black operations, black bag operations, sabotage, PSYOP...

spinore:
SATтva (тест)

Буквы "t=т", "I=l" добавил.

Может помещать вновь зарегистрировавшихся пользователей в карантин с минимальным набором прав?

Хотя что потом с ними делать? Вручную подозрительных отслеживать? Так они хитрые, затаиться могут :-)