- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Неправильно поняли. Опаснейшим образом неправильно!
Ок. Сеньк за ценную инфу.
Первое что должно было Вас насторожить, так это то что e-num клиент превосходно скачивается с google.play хотя бы.
Это не могло меня насторожить ибо я там не был никогда. А как там что устроено - вообще не вникал :) Да и по-моему когда я качал явовский енум-клиент гуглоплея ещё не существовало (тут могу ошибаться). Причем скачать я его мог только с этого номера. Меня спрашивали девайс и номер. После этого была "генерация" клиента. Могу ошибаться, но кажется даже в названии файла, фигурировали некие перс. данные.
Но давно это было, мог что-то запамятовать.
Единственное отличие енумов - к каждому енум-аккаунту выдается "соль", немногочисленный пароль, который вбивается в енум клиент в настройки и дальше используется при генерации ответа на вопрос.
Ок. Соль - уже немало. Но если только соль, то теоретически зная пароль на клиента АПД код активации можно уже взломать. А как насчёт данных девайса - он точно не использует ничего?
Т.е. возможно ли использовать несколько клиентов (девайсов) для одного ВМИДа? Насколько я помню - нет.
А?
edogs, да ясно, что приложение одинаковое. Кстати, если ввести неправильную активацию, то оно будет "врать", что как бы доказывает, что вся его защита как раз на этом коде и держится.
Другое дело, что подобрать этот 7-значный код к конкретному мыльнику, имхо, нереально. К тому же, там после третьей неверной попытки вроде блочили на 15 минут. Сейчас как - не знаю, давно не ошибался)
---------- Добавлено 26.12.2014 в 00:13 ----------
SeVlad, возможно) у меня один енум и на планшете и на телефоне. Хотя вот какой там код активации, не скажу, но вроде как сам енум привязывается только к мылу...давно я их ставил.
Точнее, когда обновляешь енум, на мыло приходит ссылка на новую скачку + код активации на тело.
Кстати, в последние разы я вроде бы менял только код активации.
edogs, да ясно, что приложение одинаковое. Кстати, если ввести неправильную активацию, то оно будет "врать", что как бы доказывает, что вся его защита как раз на этом коде и держится.
Это на самом деле хорошо. Код приложением не проверяется, он реально используется именно как соль, без проверки. Т.е. по крайней мере эта схема не позволяет фильтровать заведомо неверные соли.
Другое дело, что подобрать этот 7-значный код к конкретному мыльнику, имхо, нереально. К тому же, там после третьей неверной попытки вроде блочили на 15 минут. Сейчас как - не знаю, давно не ошибался)
Нам лениво было смотреть алгоритм в деталях, но есть опасение, что зная набор вопросов-ответов для одного мыльника (что в общем-то как раз трояном можно утащить, вводится-то эта инфа на компьютере) и алгоритм - можно с хорошей степенью вероятности определить эту соль, благо что ее состав - 7 цифр - особо много вариантов не дает. Ведь даже при сложном алгоритме - слабая соль будет его слабым звеном.
f(x)*y=z при известных f (алгоритм), x (вопрос) и z (ответ) даже при криптоалгоритмах позволит сузить область y, особенно учитывая что x,y,z это все набор цифр с известной длиной.
---------- Добавлено 25.12.2014 в 23:38 ----------
Ок. Сеньк за ценную инфу.
Это не могло меня насторожить ибо я там не был никогда. А как там что устроено - вообще не вникал :) Да и по-моему когда я качал явовский енум-клиент гуглоплея ещё не существовало (тут могу ошибаться). Причем скачать я его мог только с этого номера. Меня спрашивали девайс и номер. После этого была "генерация" клиента. Могу ошибаться, но кажется даже в названии файла, фигурировали некие перс. данные.
Но давно это было, мог что-то запамятовать.
Ок. Соль - уже немало. Но если только соль, то теоретически зная пароль на клиента можно уже взломать. А как насчёт данных девайса - он точно не использует ничего?
Т.е. возможно ли использовать несколько клиентов (девайсов) для одного ВМИДа? Насколько я помню - нет.
А?
Данных девайса не использует. По крайней мере предыдущая версия не использовала. Опять же, ява приложение у нас отлично работало без изменений и на телефоне и на эмуляторе, т.е. на разных устройствах. Может быть в последних версиях что-то изменили, не знаем.
Точнее, когда обновляешь енум, на мыло приходит ссылка на новую скачку + код активации на тело.
Кстати, в последние разы я вроде бы менял только код активации.
Чот я это не особо понял.. Обновление клиента - это ты наверное про андроидные версии? Я явовскую как поставил хз когда - так она до сих пор работает.
Но если действительно можно юзать несколько девайсов на один ВМИД - это, конечно, оч. сильно меняет мои представления о енуме. Не в лучшую строну, надо сказать..
Уж не помню почему и откуда я взял, что клиента (результат работы) не возможно клонировать, но был в этом уверен до сего момента.
edogs, соль походу не от пароля к клиенту, а от кода активации. (Про него я совсем забыл. ;) Вот освежил как оно было).
ЗЫ. pavel419, по ником юзера есть полезная ссылка - "цитировать выделенное". ;)
ЗЫ. pavel419, по ником юзера есть полезная ссылка - "цитировать выделенное".
Во, точно)
SeVlad, да, про андроид, оно и в маркете есть, как выше верно заметили. Можно на разных, на телефоне и на планшете установлено. Одинаковый ли код, не помню уже, но по идее - да. Так как на планшете вобще 3G нет, то есть я б при всём желании туда смс не получил)
Чот я это не особо понял.. Обновление клиента - это ты наверное про андроидные версии? Я явовскую как поставил хз когда - так она до сих пор работает.
Явовская тоже менялась, как минимум два раза, один раз без изменения алгоритма (старая оставалась рабочей), второй раз с изменением (старая перестала работать).
Но если действительно можно юзать несколько девайсов на один ВМИД - это, конечно, оч. сильно меняет мои представления о енуме. Не в лучшую строну, надо сказать..
Тут нас скорее огорчает то, что в енум клиенте при этом НЕ предусмотрена возможность вбить несколько "солей" - для разных аккаунтов. Казалось бы чего проще. А так... 5 вмид - 5 телефонов? АдЪ.
edogs, соль походу не от пароля к клиенту, а от кода активации.
Мы собственно код активации солью как раз выше называли. Этот код используется как соль в алгоритме генерации ответа.
Вывод как бы из всего этого простой. Если вебманьки потерять жалко, то надо удушить жабу и купить отдельный ноут (нетбук, планшет на винде) под вебмани, где запретить вообще всё кроме самого необходимого. И в идеале настроить так, что бы при каждом разе разворачивался чистый образ системы. Это кажется гимороем, но на самом деле затрат - тысяч 8 рублей и часа 4 времени.
Java-приложения действительно генерируются. Подозреваю, что туда вшивается соль, потому что при заказе нового файла в SMS высылается новый код активации.
АдЪ с несколькими WMIDами на самом деле решается гениально и просто - алиасами. Приложение же остаётся одно.
Но и риски, конечно, тоже на все эти WMIDы начинают распространяться.
По поводу поминавшегося взлома мыла - не забываем, что у WM есть своя почта.
Главное не превратиться в уробороса, обязательно подключить вход в вммыло не только через вмид, а и через пароль для почтового клиента, который пускать в дело только при тупиковой ситуёвине
Java-приложения действительно генерируются. Подозреваю, что туда вшивается соль, потому что при заказе нового файла в SMS высылается новый код активации.
Как раз наоборот. Новый код активации присылается именно потому, что приложения не генерируются, и именно код активации как соль и используется. Да и потом - попробуйте качнуть приложение для одного аккаунта енум и вставить в него код активации от другого - вопрос будет снят сам собой. Ну, т.е. может они и генерируются конечно, но алгоритм от этой генерации не зависит, может просто вшивается дата генерации и для кого заказано - но в алгоритме это не используется.
Вывод как бы из всего этого простой. Если вебманьки потерять жалко, то надо удушить жабу и купить отдельный ноут (нетбук, планшет на винде) под вебмани, где запретить вообще всё кроме самого необходимого. И в идеале настроить так, что бы при каждом разе разворачивался чистый образ системы. Это кажется гимороем, но на самом деле затрат - тысяч 8 рублей и часа 4 времени.
У меня чуть проще и значительно дешевле ;).
Когда был на винде - юзал виртуалку с отдельной виндой чисто для ВМ и отдельный юзер на винду. (А до этого была отдельная винда параллельно, но потом забил на это)
А теперь уже неск. лет линухе. Для ВМ отдельный акк в ОС. Ну и кипер-лайт, а не стандарт. Т.е. виндовири идут мимо (хотя и будучи на винде с ними у меня никогда проблем не возникало) :)
Если вернусь на винду - для ВМ будет виртуалка с линем.
Из потерь - только несколько гектар на ХДД :).
Java-приложения действительно генерируются.
Значит не мне показалось, а то я уже начал переживать за своё здоровье ;)
обязательно подключить вход в вммыло не только через вмид, а и через пароль для почтового клиента, который пускать в дело только при тупиковой ситуёвине
А это об чём?
Это про https://mail.wmid.com
WM-почта
Как раз наоборот. Новый код активации присылается именно потому, что приложения не генерируются, и именно код активации как соль и используется. Да и потом - попробуйте качнуть приложение для одного аккаунта енум и вставить в него код активации от другого - вопрос будет снят сам собой. Ну, т.е. может они и генерируются конечно, но алгоритм от этой генерации не зависит, может просто вшивается дата генерации и для кого заказано - но в алгоритме это не используется.
Так вот именно качал, правда для одного аккаунта, нет у меня второго. Взял приложение, заказанное 1 июня, скормил ему код активации приложения от 5 декабря. Авторизация инамом не прошла.
Видимо фокус в том, что как раз летом меняли алгоритм, потому что вот сейчас заказал ещё раз новое приложение, так в SMS не только тот же самый код активации прислали, но ещё и ту же самую ссылку для скачивания.🤪 Однако скачанный файл всё равно с другими контрольными суммами. Значит действительно, по крайней мере сейчас, на алгоритм эти таинственные вшиваемые водяные знаки не влияют