Názory k článku Postřehy z bezpečnosti: 300 GB milostných podvodů

Je to stejný nepochopení toho, k čemu Java (včetně pluginu v prohlížečích) velmi často slouží, jako i od jiných (včetně Mozilly).

A stejně, jako prohlížeče mají v historii spoustu kritických chyb, má je i Java. A co?
Jestli je ovšem něco velmi znepokojující, je to to ohledně zmíněné vysoce postavený paní z Oraclu, a jejích "IT mouder".
Takže, kdyby měl autor na mysli ohledně Javy toto, tak neřeknu ani popel, on ale myslí asi něco jiného.
Ostatně, má za Javu (např. pro čtení čipových karet) snad někdo náhradu (masově nahraditelnou)?

Okomentoval bych i otisky a Apple. Takových "vyprávění", jak a co se uchovává jsme už slyšeli (včetně těch o TPM modulech)...
A ostatně, i kdyby, i v těchto hw a sw může prostě být chyba (někdy i úmyslný backdoor), tak nevím, proč autor tak vehementně chce, abychom si přečetli, co o tom tvrdí jakýsi jabko...

Fízlo IoT zmar.

mna uprimne prekvapilo autorove prekvapenie :) hlavne ked v clanku, z ktoreho cerpal to je rozumne vysvetlene Android developmentom. Java ma tiez velke mnozstvo libiek, ktore su typicky open source a hostovanie sajtami ako github...

Až na to, že v Androidu není Java ale Dalvik a v Androidu 5 už ani to.

Ale na programovanie sa pouziva Java. Co cakas ze ten nastroj ktorym to skumali (Linguist) by mal tie zdrojaky oznacit ako 'dalvik'? Maju koncovku Java a je to java akurat to pouziva Android API. Ze je runtime iny? No a co, Scala bezi na JVM a je vyhodnocovana ako iny jazyk. Takze? Nejde o runtime ale o to v com to pisete.

Má to stejnou syntaxi jazyka, ale jen minimum společných API a úplně jinou JVM, je to vůbec ještě Java?

Predbehol si ma. Autor asi rad fandi obskurnostiam a mainstream je too mainstream. Java tu je dlho a dlho aj zostane. Jedna z najdolezitejsich veci na Jave je ze je CITATELNA.
Program raz pisete a musite napisat mozno viac ako v inych jazykoch ale potom sa to dobre cita. Vsetko ostatne su uz iba kozmeticke vychytavky.
Typicky napriklad Scala ktora mi usetri par uderov do klavesnice na ukor citatelnosti, smeruje presne tam kde Perl. Skvely 'write only' jazyk, niekedy neviem citat zdrojaky ani sam po sebe, po niekom inom iba s vedierkom na kolenach.
Java forever a Google tah ohladom Android-u a GWT bol velmi premysleny aj ked GWT sa trochu vymklo kontrole.

Zaujimave je, ze autora negativne prekvapila Java, ale zbugovany javaskript uz nie. Divne v tomto kraji...

> nastavte si raději Touch ID používající otisk prstu, a to nejen pro odemčení, ale i např. bankovní aplikace, což je rozhodně bezpečnější než nějaký PIN.

Nech sú už otlačky chránené akokoľvek, SW a HW bez chýb neexistuje. Naviac, tie otlačky majú narozdiel od PINu vážný problém a to, že nie sú revokovateľné ani ich nie je možné zmeniť.

A ja poznam este jednu vyhodu. PIN sa da nadiktovat, odtlacok ... hmmm odrezat? Tak neviem.

Ja poukazujem na problém, že až sa raz otlačok nejak odcudzí, tak sa nedá revokovať a ani zmeniť.

A čo s otlačkom prstu? Ten je tiež uložený ako nejaký digitálny záznam. Až ho raz niekto odcudzí a nájde sa chyba v tej HW čítačke odtlačkov (aby sa jej mohol podstrčiť ten digiálny záznam), tak problém je na svete.

Taktiež, kto mi dokáže, že nie je možné spraviť otlačok na diaľku alebo ho získať z nejakého predmetu, ktorého sa dotyčná osoba iba dotkla?

Ak mi niekto ukradne heslo/certifikát, tak ho viem revokovať. Čo ale spravím ak mi niekto ukradne otlačok? Ako sa bude riešiť tento bezpečnostný problém?

Samozrejme pouzivat biometriu jednofaktorovo je blbost.

Ukradený otisk prstu - odstraníte danou část a zaregistrujete nový otisk.
Lze opakovat 9x (v nouzi i 19x, ale přikládat prsty u nohou na čtečku nebude zrovna pohodlné...) :)

Vzdycky me fascinuje, jak vsichni tvrdi, ze je to ke stazeni, ale NIKDO neda odkaz. A nekteri na to dokonce reaguji stylem "Why you shouldn’t download Ashley Madison database " :D

Takze zde je ten odkaz:
http://yuc3i3hat65rpl7t.onion/stuff/impact-team-ashley-release.html

na čem to je uložené?rychlost na toru asi moc velká nebude pro 300gb

torrent

Tak to nechas stahovat tyden, no. Nebo 14 dni. Nicmene fakt, ze je ten torrent na TORu jeste neznamena, ze to musis nutne stahovat pres nej ;)

Konečně, díky!

Nejak jsem nepochopil z odkazovaneho clanku jak lip je u Applu chranena autorizace otiskem prstu. Videl jsem na YT videa jak borec sejmul necim jako izolepa z krytu mobilu otisky prstu a ty pak postupne na ctecku prikladal az se do nej dostal.

Koukam ze zverejneni dat z Ashley Madison bude jen snadny vydelek pro ruzne spamerske skupiny... ano, muzeme to brat ze si to ti lidi zaslouzi. Ale prakticky to nema smysl. Meli rovnou smazat cely web, pokud chteli neceho dosahnout.

A ze ti hackeri z ImpactTeamu ty BTC nesbiraji? Dokazte to. Byli by blby to neudelat a takto lehce dat vydelat treti strane.

(redakce: nejde sem vlozit plne zneni vydiracskeho mailu - pry zakazana slova, bez blizsi specifikace)

Smazat cely web... A na co by to bolo?

Ashley Madison urcite niekde zdrojaky ma a zalohy databaz taktiez. Za hodinu by to bolo opat online.

Co si ti uživatelé Ashley Madison zaslouží? Odhalení jejich soukromých aktivit? Dva uživatelé už prý kvůli tomu spáchali sebevraždu.
http://www.bbc.com/news/technology-34044506

Jestli neunesou odhalení toho, že podváděli svého partnera, měli si to rozmyslet předem. Nežijeme v 18. století kdy by se to dalo ospravedlnit nucenými sňatky. Ty lidi věděli, že to je objektivně nemorální, těžko lze tvrdit, že jde o nevinné oběti zlých hackerů. A stejně tak je hloupé očekávat, že by se firma která na tomhle vydělává chovala morálně (nechali si platit za odstranění údajů ale na svých serverech je stejně nechaly). Neříkám "dobře jim tak", ale určitě bych je neoznačil za nebohé oběti. Moc dobře věděli, že dělají něco špatného...

Aha. Takže ta samá komunita umí jak bojovat za ochranu soukromí, tak z důvodů nějakého falešného moralismu vpadat lidem do soukromí a zveřejňovat podrobnosti z jejich intimního života. Jaké soukromí? Vždyť kdo nedělá nic špatného, nemá se čeho obávat :D

Pánové by si měli všimnout, že cca polovina mužů a třetina žen měla minimálně jednu epizodu nevěry. A bagatelizovat vpád do něčího soukromí tím že dělal něco co já podle svých měřítek považuji za nemorální je naprosto nesmyslné.

Tak já netvrdím, že tu je nějaká "dobrá" strana. Všechny tři udělali něco špatného a pro žádnou nemám soucit/sympatie.

O jakou komunitu jde a jak se pozná jestli jsem její součástí? A jak se poznalo že hackeři AM jsou její součástí?

Předpokládám, že zákazníci AM jspou plnoletí a svéprávní. A pokud jsou zadaní, pravděpodobně někdy mluvili s partnerem/par­tnerkou o nevěře. A málo kdo neví, jak jeho společnost reaguje na nevěru (US politici se mohli podívat, jak se měila podpora Clintona apod.) Takže předpokládejme, že registrovaný člověk zná riziko prozrazení a podstupuje vše dobrovolně.

Pokud ví, že v případě prozraení nezbude než se zabít, stopnout kariéru nebo se nechat dle předmanželské smlouvy připravit o všechno krom spoďárů co má na sobě a přesto takhle riskuje, tak je to jeho rozhodnutí, jeho debilita a jeho boj a jeho boj.

Jiná věc je, pokud někdo založí účet jeho jménem. Prý AM neověřuje při registraci adresu - viz článek na Lupě. Tam by člověk měl mít aspoň teoretickou možnost se domáhat veřejné omluvy a odškodnění po firmě, která AM provozuje. A pokud se takových liddí najde dostatek a podají hromadnou žalobu, bude výsledek zajímavý.

A? Za blbost se plati. Nechtel bys taky skocit nekde z mostu?

Oni to o sobe zverenili sami a dobrovolne! VSECHNA data KDEKOLI na internetu jsou VEREJNA!

Nevsim sem si, ze by jim nekdo vtrhnul do bytu a natacel tam snima nejaky orgie pod pohruzkou nasili.

A ted muzes zacit vyklat o tom, jak sou data u M$ v suchu a bezpeci, vcetne kridelek.

Ad Oni to o sobe zverenili sami a dobrovolne! VSECHNA data KDEKOLI na internetu jsou VEREJNA! - nešlo o žádná veřejně dostupná data. Šlo o důvěrná data, která uživatelé poslali šifrovaným kanálem přes internet firmě, se kterou měli smlouvu o dalším nakládáním s daty. A ta data někdo nezákonně ukradl. V ČR za to podle §230 trestního zákona hrozí každému z pachatelů odnětí svobody na jeden rok až pět let, a pokud byla škoda velkého rozsahu, tak na tři léta až osm let. K tomu pachatelé porušili listovní tajemství, za což hrozí stejný trest jako za předchozí.

Ad muzes zacit vyklat o tom, jak sou data u M$ v suchu a bezpeci, vcetne kridelek - osobně bych cloudu nikdy nesvěřil žádná citlivá data, firemní ani osobní. MS cloudu věřím samozřejmě víc než Googlu nebo Facebooku, protože MS nemá jako hlavní business shromažďování a prodej osobních údajů, ale i tak se má míra důvěry velmi blíží nule.

Jasne, dam na zahradu obri ceduli, ze sem vcera klatil marku, a pod ni noticku mm pismem, ze to nikdo nesmi cist, ani nijak sirit, natoz si to pamatovat. Ostatne, je to za plotem, tak co je komu do toho.

Ty lidi si zcela jiste mohli precist podminky a v tech se zcela jasne pise, ze nikdo za nic neruci a ze provozovatel muze cokoli a kdykoli. Ostatne, presne stejne podminky ma M$.

Takze posilat tam zcela libovolny data je asi tak stejny, jako dat si auto na "hlidany" parkoviste, kde se provozovatel zrika jakekoli odpovednosti za poskozeni ci kradez.

Jelikož jsi nadosmrti nezalezl do vlastnoručně vyrobeného protiatomového krytu, koleduješ si o to, aby tě někdo praštil palicí po hlavě a okradl, protože celý svět je jeden velký binec a ty ses mu vystavil dobrovolně, že ano?

Ashley Madison sou parchanti největšího kalibru, nejvtipnější bylo když kolega, co se tam v práci zaregistroval (pochopitelně fake učet, není debil) chtěl učet zrušit a Ashley Madison po něm chtěli peníze, tuším cca 1000 na naše.