» QIP - Quiet Internet Pager (часть 3)

TRAViS

Цитата:

Вообще интересно: если бы хранение паролей на серваке не вынесли отельным пунктом в настрйки, про него вообще фиг кто знал. Но разрабы указали эту фишку в настройках. В результате их только матерят за это ))) На месте разрабов в дальнейшем я бы вводил подобные сервисы тайком, нигде не афишируя, без возможности отключения

...то когда об этом стало бы известно, действия разработчика квалифицировались бы уже как взлом, за который предусмотрена криминальная ответственность.
а известно об этом становится когда база с паролями попадает в сеть и начинаются разборки откуда она взялась.(тот факт, что в базу попали исключительно пользователи квипа, списать на злой рок врядли получится)

при текущих же раскладах, если злобные хакеры таки взломают "сервер хранения настроек", то разработчик оказывается чист перед законом - пароли мы ему "отдавали сами", а за то что их у него утащили он ответсвенности не несет(о чем прямым текстом написано в ЛС). разработчику остается всеголишь принести "искренние извинения" перед всеми пользователями квипа и отправиться в автосалон за новой тачкой.

итого имеем: в первом случае разработчик садится на зону, во втором - на новенький лексус. согласись, было бы очень глупо с его стороны выбрать первое.

P.S. лично я узнал про всю эту бодягу не по галочкам в настройке, а по логам в фаерволе - сперва я разрешил доступ квипу только к серверам icq, а он начал рваться к storage.qip.ru, причем отказывался запускаться и намертво вис в трее, пока я не открыл ему доступ. ну это так, к слову.

Ну предположим КВИПовцы получили пароли и "завладели" вашей инфой и что они получают???! "Вася когда будем пить дешёвое пиво на лавочке у дома?!?!?!" Да инфа действительно стоящая! За неё не только Лексус но Бентли Континенталь с Бриони и Патек Филиппом хапнуть можно! Да за такую инфу от этого Васи с Тараканьего Брода я любые деньги дам! Да и кому нужны 9-и значные номера? Ржу немогу.... Действительно, кругом одна параноя, достаточно тупо наобум ткнуть любую тему в варезе и наткнёшься на сообщение типа "мой антивирус ругается на кейген! что делать?!?!" вывесят "простыню" по поводу каких то данных на полстраницы и доводы в шапке по поводу безопасности им не указ.....

insulin11, а сам факт того, что кто-то второй (не суть кто) имеет доступ к тому, к чему по определению должен быть только личный доступ - не смущает? Или "а, ну да, это ж qip.ru - им можно!" идёт за основное правило? Что ж, тогда стоит подумать о том, что таким правилом руководствуются не все окружающие.

Цитата:

Ну предположим КВИПовцы получили пароли и "завладели" вашей инфой и что они получают???! "Вася когда будем пить дешёвое пиво на лавочке у дома?!?!?!"

ну почему же, знаю нескольких людей которые через аську держат связь с любовниками-любовницами почему бы не отстегнуть за такую инфу жене-мужу?! Или продать прессе что пишет в аське какой публичный человек, вполне возможно что они ей пользуются. Так что не надо зацикливаться только на "васях с пивами".

Я более 15 лет работаю на очень обеспеченного человека Москвы. Какая аська? Он не знает как СМС отправлять! Да и вообще эта функция у него отключена! Слать СМС, это моветон сейчас господа, возьмите любую имиджевую трубу, попобуйте набрать и сразу поймёте меня... А по поводу любовниц... он и скрывать особо не будет, куда жена денется, вернее куда денется от таких денег?!?! Аська нужна только нам колхозникам и переписка наша никому не нужна, если только разрабы сидят на работе читают от нечего делать и ржут... типа как телефонисты прослушивают разговоры, а потом расказывают друг другу во время обеденного перерыва... Единственно что я могу ещё согласиться по поводу первой фразы г-на Сарти...

Ладно, ребзя, давайте завяжем с этим флеймом.
В принципе вопрос решен, как мне кажется: компромисс найден со своими страхами, то сидишь на этом клиенте, если не найден, то переходишь на другой.

Подскажите, как заставить работать юникод в 9020, в WinXP SP2 ru ?
вместо символом, просто квадратики...

Цитата:

С инфиумом по-прежнему все сложно.. надо реверсить алгоритм чтения и расшифровки хэша пароля из .qip-файла.

А по-русски можно? Можно инструкцию?

ALeXkRU

Цитата:

а ведь новые QIP-ы ломятся в инет еще в процессе установки так что, не известно, поможет ли сие "волшебное слово"

А ХЗ, надо проверить.

Цитата:

Я тут поснифил, куда обращается 2005-й 8080. На qip.ru за обновлением, вроде больше никуда. На всякий можно в файрволе разрешить ему сетевую активность только с этими диапазонами IP (АОЛовские диапазоны):

Тут речь об Infium, у него диапазон запросов побольше будет.

lucky_Luk

Цитата:

Тут речь об Infium, у него диапазон запросов побольше будет.

Я его в жизни теперь не поставлю, раз пошла такая пьянка

insulin11
Если те не знаешь способов монетизации этой инфы - это не значит, что их нет

Цитата:

Если те не знаешь способов монетизации этой инфы - это не значит, что их нет

честно говоря я тоже не понимаею что в ней может быть ценного. человек сам, добровольно оставляет имя, ник. он этого не скрывает.ну если уж чего то боятся тогда можно вообще ниче не заполнять. а за перепиской тем более никто не следит

insulin11


Цитата:

Ну предположим КВИПовцы получили пароли и "завладели" вашей инфой и что они получают???!

ну давай прикинем, сколько готов заплатить за такую инфу среднестатистический юзер, которым являюсь я.

до 5$ я готов дать просто за доступ к информации обо всех учетных записях некоторых моих знакомых. видишь ли, квип позволяет собрать информацию даже из тех профилей, которые твой знакомый не афиширует. в них могут оказаться очень любопытные контакты.

еще 10$ я готов заплатить за предоставленные пароли к этим учёткам. не забываем, что cреди этих учеток будут не только номера асек, но и почтовые ящики на mail.ru и gmail.com. так что это еще очччень демократичная цена за такую инфу.

и еще 15$ за всю историю сообщений этих учетных записей. ( а планы о сохранении истории сообщений на своем сервере разработчиками уже задекларированы)

вообщем с меня они могут получить 30$. за такую инфу не жалко. причем инфа предоставляется моментально и гарантированно из базы данных. это тебе не хакера выискивать по форумам для взлома инфы.

а теперь умножь эту цифру на количество таких же среднестатистических юзеров как я, которые не прочь пошпионить за своими знакомыми. эта фишка расчитана не на олигархов, нанимающих детективов для слежки за своими женами, а на обычный офисный планктон.
10 тысяч так точно наберется. а при должном резонансе(а он обязательно будет, это ж весь рунет на уши встанет) - так и все 100 тысяч наберется(напомню, у квипа на данный момент 10 миллионов юзеров. тоесть это всего 1% от них). Вощем по таким прикидкам легко получается 1 миллион $. и сколько у нас там лексус стоит?

где я ошибся?

Цитата:

будут почтовые ящики на mail.ru и на gmail.com

ну и на кой черт им ящики среднестатистического пользователя через которые они максимум фотки перекидывают? сдался им там какойто вася пупкин изображеный с бутылкой в руке.

какое применение всей этой базы? компромат? да это бред. даже если пару человек удастся скомпрометировать их при следующей же попытки закроют органы

Цитата:

ну и на кой черт им ящики среднестатистического пользователя через которые они максимум фотки перекидывают?

не им а МНЕ. обычному среднестатистическому юзеру. у тебя никогда небыло сооблазна залезить в мыло своих знакомых? ИМ от этого только бабло нужно, которое МЫ готовы заплатить за такую инфу.


Цитата:

какое применение всей этой базы? компромат?

самое разное. комуто хочется узнать с кем его жена увлеченно переписывается в аське. кому-то пошпионить за друзьями прикола ради, комуто накопать компромат на своего неприятеля. вообщем самые обыденные интересы обычных людишек.

-------
а вот весь список сервисов которые на данный момент предлагает qip infium, и что он сохраняет при этом на своем сервере:

icq - пароли от асек, контакт листы, в будущем история сообщений.

xmpp(jabber)

yandex online - пароль от яндекс.пасспорта. а это почтовый ящик, яндекс.деньги, фотоальбом.

google talk - пароль от учетной записи на gmail. доступ к вашему почтовому ящику

lj talk - пароль от вашего ЖЖ. доступ к вашему блогу.

mail.ru agent - пароль от вашей учетной записи на mail.ru. доступ к почтовому ящику, миру, блогу, фотоальбому, агенту. в будущем история сообщений

Звонилка - хз

Sipnet - хз

Евросеть - номер и пин код карты евросети.

а еще квип в качестве отдельного сервиса предлагает получать сообщения с однноклассников, вконтакте, мамба, и других социальных сетей. пароли от них он тоже
сохраняет? я не в теме. кто знает - подскажите.

-----------
если где ошибся - поправьте.

в итоге имеем полный пипец, если всё это дело попадает в сеть.


Добавлено:
Qip.Online сообщит о новых входящих с:
Odnoklassniki.ru
Vkontakte.ru
Мой Мир@Mail.Ru
Vspomni.Ru
Loveplanet.ru
Mamba.ru (и всех партнерских сайтов, включая знакомства на Mail.ru и Rambler.ru)
Еще одна возможность Qip.Online - история твоих сообщений. При необходимости ты всегда сможешь прочитать нужное сообщение еще раз.
Кроме того, Qip.Online может уведомлять о письмах, приходящих на твой почтовый ящик.

-----

кто юзал этот qip.online? там есть галка о сохранении паролей? с storage.qip.ru пытается соединиться?

Цитата:

у тебя никогда небыло сооблазна залезить в мыло своих знакомых?

ломал и мыла и аськи, но как то небыло особого интереса копаться с тем что меня не касается.
вот если мыслить как ты , то получается кругом заговор, оутлук отсылает пароли микрософту, браузер сохраняет пароли и отсылает еще хз кому и т д... страшно жить получается.
если бы эта система действительно комунить была нужна ее давно бы создали

601ng
То, что xeen28 описал вряд ли произойдет.
А один из реальных вариантов я уже описывал. Это когда от твоего друга к тебе приходит просьба в асю скинуть туда-то СМС по цене обычной СМС. Ты кидаешь СМС и с тебя срубают 150-200 рублей.
ТЫ не скинешь, за то при разношерстной аудитории в 10 лямов - это уже офигенный траф. Даже если каждый десятитысячный отреагирует как надо, то это уже 150*1000 рублей с воздуха.
На предыдущих страница я приводил другие примеры грамотного использования полученной инфы и не вижу смысла повторяться.

Добавлено:
Не нужно угонять мыла и прочие акки, нужно лишь иметь к ним доступ.

601ng

Цитата:

если бы эта система действительно комунить была нужна ее давно бы создали

всё когданибудь случается впервые. до сих пор ни у кого наглости не хватило. на западе бы такая тема непрокатила, там разраба бы сразу закидали тухлыми яйцами.

а у нас, как видишь, народ сам об этом просится аж пищит, волосы себе на попе рвёт, усердно доказывая как ему полезно хранить все пароли на одном сервере. зомби


Цитата:

То, что xeen28 описал вряд ли произойдет.

почему нет? в сети уже продаются десятки самых разнообразных баз данных. хоть одна причина, почему этого не может произойти?

601ng

Цитата:

ломал и мыла и аськи, но как то небыло особого интереса копаться с тем что меня не касается.

а зачем ты их ломал в таком случае? мыла.

timsky

Цитата:

ТЫ не скинешь, за то при разношерстной аудитории в 10 лямов - это уже офигенный траф.

После такой маловероятной ситуации, как волна "разводок" среди пользователей Кипа, все достаточно быстро поймут, "где собака порылась". И в следующий раз такое не пройдет, да и юзеры сбегут на другие клиенты, не забыв после этого сменить все пароли.

601ng

Цитата:

ну и на кой черт им ящики среднестатистического пользователя через которые они максимум фотки перекидывают?

через мыло можно получить доступ ко всем форумам и сервисам, к которым это мыло привязано. ты решил привториться, что не знаешь об этом?

Если есть информация, значит найдется и тот (те), кому она нужна...

Администрация оффорума по этому вопросу заняла весьма агрессивную позицию, вплоть до (в смысловом контексте): не нравится - идитенах. Следовательно, этот шаг был запланирован. Отмазки про добровольное тестирование не катят, т.к. при добровольном тестировании пользователь вправе выбирать, какую часть(части) продукта он будет тестировать (к примеру, мне из всего функционала инфиума нужна только возможность запускать несколько ICQ-аккаунтов и джаббер). Здесь этого права просто лишили, причем еще и выложив в changelog'е заведомо неверную информацию о работе данного сервиса.
Мифические "просьбы пользователей" о включении данной фичи очень напоминают совковое "по просьбам трудящихся".

ALeXkRU
Цитата:

если б при первом применении этой фичи вылезло бы окно типа: "Теперь есть возможность хранить ваши пароли/настройки на сервере.. Это оч. круто удобно! Вы точно хотете включить эту крутую фичу? ОК/Кансел" - никакого шума бы не было! Кому надо - те бы пользовали кому нет - нет..

Логично, но почему то это сделано не было...

Резюме:
Шаг был сделан, сделан продуманно. Остается лишь ждать следующего... или не ждать... здесь каждый вправе выбирать по вкусу.
А гадание на кофейной гуще предлагаю прекратить - 40 страниц нафлудили... Более чем достаточно...

Цитата:

а зачем ты их ломал в таком случае?

Цитата:

небыло особого интереса копаться с тем что меня не касается.

вот как раз узнать то что меня касается, но от меня же скрывают

Цитата:

И в следующий раз такое не пройдет, да и юзеры сбегут на другие клиенты

и надо сказать что затраты на реализацию этого... мм.. обмана, не успеют окупиться

Гм, это у всех теперь так?
Но когда опции еще были, я галки снял...

Разъясни. Что-то мутно спросил.

В настройках нет пунктов Хранить на сервере настойрки/пароли (см приложенный скрин).

Dukat
а ты его запускаешь, случайно, не с

Цитата:

с ключом /isolated

Dukat У меня эти пунктики есть...

Чертовщина какая-то... Запускал всегда через стандартный ярлык, без доп. ключей. Несколько раз пробовал, опций не было. Сейчас опять перезапустил - появились.

Цитата:

не было. Сейчас опять перезапустил - появились

Дукат - это же табачок...

Dukat

Цитата:

да и юзеры сбегут на другие клиенты, не забыв после этого сменить все пароли.

"Берут не всех, а только умных", вот так и сбегут не все. Автору на Лексус лохов хватит.

601ng

Цитата:

и надо сказать что затраты на реализацию этого... мм.. обмана, не успеют окупиться

Чисто предположение. А ты прикинь если автору уже дали 50% предоплаты за акцию Создание базы - сбор инфы - продажа базы под видом взлома злобными анонимными хакерами. Cтараются .

Sympathy
Что за намеки?

На Вики:
Дукат — название европейских золотых монет весом 3,4-3,5 г. Впервые золотой дукат был выпущен в Венеции в 1284 году. Впоследствии дукат получил распространение во всей Европе (в качестве синонима использовали термины «цехин» и «флорин»)...

И еще куча значений, не имющих отношения к моему нику

Ну не нарисовал же я этот скрин, в конце-то концов