Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!
+4
#!/bin/sh
count_roosters(){
echo $1: `grep -c -P $1 gk_users.csv`
}
for rooster_name in nemyx_HoMep g0_14 Antibagor _daSome spooler ebebebeb assosin pdro alisher 14sun bot.number ,rss
do
count_roosters $rooster_name
doneВыхлоп:
nemyx_HoMep: 40817
g0_14: 1434
Antibagor: 1404
_daSome: 1001
spooler: 1000
ebebebeb: 678
assosin: 490
pdro: 300
alisher: 281
14sun: 250
bot.number: 131
,rss: 127
Запостил: 
3EHuTHblu_nemyx,
06 Августа 2021
Follow us!
Сорок тысяч обезьян в жопу сунули банан.
А как их регистрировать? Раньше было с этим проще? А как сайту защититься от атаки, когда хакеры регистрируют 40000 аккаунтов и заканчивается место на сервере?
Как в нём их регистрировали?
Кажется, раньше её не было.
Что-то типа такого:
https://fifaforums.easports.com/en/discussion/519093/captcha-puzzle-thingys-on-webapp
И делать это надо очень быстро, а не то ты – бот.
А спиральные галактики можно китайцами разгадывать. Какой нынче прайс на капчи? Мне кажется, самое сложное – регистрировать 40_000 имейлов.
Однако, для этого теста нужно немного поспамить. Серьёзные компании вроде «Гитхаба» не опускаются до такого.
можно и в key-value базе, но там вроде надо слать спец сигнал чтобы перечиталось
В ней будет аунтентифицироваться и твой IMAP и Postfix -- оба через sasl. Cyrus это точно умеет.
http://www.postfix.org/SASL_README.html#server_cyrus_comm
Аутентифицированным пользователям постфикс будет делать relay, например, и не позволять указывать во From другой email (забыл параметр, надо в ман глянуть)
Если ты хочешь чтобы постфикс отфутболивал несуществующих юзеров, то тебе нужен local_recepient_map
http://www.postfix.org/postconf.5.html#local_recipient_maps
(по умолчанию там unix.passwd, как можно видеть)
его нужно поменять на mysql://..
Чтобы пересылать письма в IMAP тебе можно (на выбор)
* использовать локальный агент доставки (придется создавать реальных юзеров с maildir)
* заменить его на доставщика твоего IMAP (прописав его в master.cf и указав в качетсве ``local_transport`` в main.cf)
* использовать ``lmtp`` (если imap его слушает) тоже прописав его в local_transport
А можно вынести это в aliases или в virtual (оба можно положить в SQL тоже) и тогда выбирать способ доставки для каждого питуха отдельно.
Существует охулион способов
после этого всё становится очень легко. Но процесс вкуривания может занять много времени.
На картинке пропущен еще "generic": должен быть такой синий квадратик рябом с ``smtp`` в правой части
Видел такую. Ещё видел, где нужно вращать несколько квадратиков, чтобы собралась мозаика. Ещё видел, где мозаику нужно собрать перетаскиванием фрагментов неправильной формы.
CTo9I4uu_nemyx
У них на всех капчах одна спиральная галактика типа Sb и куча иррегулярных. Никакой питушни типа галактик с баром (SBa, SBb, SBc) искать не нужно.
Hashcash с адаптивной сложностью.
Или ты предлагаешь сделать так, чтобы сложность повышалась у каждого нового зарегистрированного пользователя?
Этот центр согласно уникальному физическому идентификатору (по сетчатке, ДНК и прочей питушне) выдаёт уникальный идентификатор и подписанный криптушиный сертификат.
Все сайты вместо отстраивания своих башенок с автоматчиками просто имеют публичный ключ сертификата центра, никого лишнего не пускают и дважды никого не регистрируют.
https://habr.com/ru/news/t/453802/
Нет. Просто кто-то (не будем на них показывать лапкой) натренировал распознавалку говнокодовской капчи.
Осталось только придумать способ отличить лёгкую капчу от сложной, чтобы не делать лишний запрос на регистрацию.
А его нет в публичных исходниках?
Вот этот генератор:
https://github.com/iLobster/mzz/tree/master/src/system/modules/captcha
Посмотри «font.ttf». Узнаёшь шрифт?
Представляете как было бы ужасно, если бы они вместо .tpl нафигачили прямо на пхп код?
Шоблон {url ...} я заменил функцией decorator.
Весь фреймворк качать не надо.
Этот код высирает в текущую директорию png-файл. Содержимое совпадает с его названием. Алфавит выбирается в файле «captcha.php»:
Напоминает нетленку:
http://lib.ru/ANEKDOTY/non_pas.txt
https://ru.wikipedia.org/wiki/Настоящие_программисты_не_используют_Пас каль
Нуля нет, палочка — это «эль».
Я бы 1 или l тоже выкинула для однозначности. Нафиг они нужны.
А каково тем, кто регистрируется в первый раз?
В «base32» по RFC4648 буквы заглавные, поэтому «L» ни с чем не спутать, «O» («о заглавное» и «I» («и заглавное») присутствует, но отсутствуют единица и ноль. Поэтому можно сделать декодер с маппингом '0' => 'O' и '1' => 'I'.
В известных реализациях «base58» (к сожалению, стандарта для него нет, поэтому есть несколько вореций алфавита) исключают «O», «0», «I», «l», чтобы вообще не думать, что вводить. Правда, единицу и «o строчную» оставляют.
В остальных кодировках о похожести символов не задумываются.
Самая забавная кодировка — RFC1751, в которой 11-битные слова кодируют словами из словаря:
https://datatracker.ietf.org/doc/html/rfc1751
Реальный пример: шестнадцатеричное число «EB33 F77E E73D 4053» превращается в «TIDE ITCH SLOW REIN RULE MOT».
Главный файл будет таким:
https://typodermicfonts.com/expressway/
Хотя, погодите, вернёмся в 2007-й:
http://web.archive.org/web/20071012215432/http://typodermic.com/31.html
На самом дне страницы видим неприметную ссылку на «фри»:
http://web.archive.org/web/20070101054545if_/www.typodermic.com/free/expressway_free.zip
Для этого нужно завести файку AHaJlbHblu_KpoTuK.
Надо Пивовару Салгиру подбросить идею обновить шрифт и добавить кириллицу в капчу, чтобы было как во «Вконтакте»: то латиница, то кириллица, и надо переключать раскладку.
https://cdn4.fontspring.com/images/typodermic/56/79d9/expressway_fp-950x475.png
Заканчивается на «р».
3dar уже ловил на джвух скобочках
https://govnokod.ru/27544#comment657540
Кстати, где вы все эти слова достаёте? Кто-нибудь знает?
Вот самый крутой из тех, которые мне попадались:
https://sanstv.ru/words#template=п*р&dict=ru_nouns&sort=de sc
1. Типа bfba06fa14bc4366 (ящики на @mail.ru).
2. Типа sFYQizF (ящики на @rainmail.biz).
3. Типа xyozvewo (ящики пока не вычислил).
4. Типа SUzOCAjNsNipMBI (тоже пока не вычислил).
Шестнадцатизначных юзернеймов на mail.ru (включая неботов) всего 171 (видимо, их задолбались регистрировать).
Так это вручную надо делать? Пиздец.
bfba06fa14bc4366, sFYQizF, SUzOCAjNsNipMBI похоже на совсем рандомную хрень, xyozvewo - сильно меньше.
Для очень длинных таких идентификаторов будут характерные частоты символов (частоты символов из [0-9a-f] по 1/16, остальных символов — ноль), частоты пар символов и подстрок (например, длиной четыре символа), отличающиеся от таких распределений для обычных юзернеймов (например, в обычном юзернейме редко встречается подстрока «6f» или «4b», а уж «4bc4» тем более реже).
1. Строим питушню Маркова, обучаем её на реальных логинах
2. Каждый логин преобразуем в частоты перехода.
То есть на месте слова появляется его вореционная волна (если считать частоты переходы за отсчёты сигнала) или кобемелодия (если частоты перехода понимать как частоты звука).
Например, слово "троефшюмист" будет выглядеть как подъём ("трое" имеет хорошие вероятности перехода), спуск (редкое "фшю") и снова подъём (пнятное "мист").
Дальше можно, например, представить кобеволну как точку в многомерном пространстве и считать расстояние от точек для реальных логинов.
Либо как-то свести к одному числу. Скажем, усреднить с затуханием: sum(x_i / k^i) / sum (1 / k^i) и сравнить с эталоном для логинов подобной структуры.
Либо обучить нейросеть на этих кобеволнах, поскольку определение случайности - это сравнение завитушек - почти как распознавание рукописного текста. Тут соль в том, что из-за возможного зашумления ("пуфшистик" вместо "пушистик") нельзя воспринимать каждый отсчёт кобеволны как отдельное измерение, но в то же время, слишком большое удлинение увеличивает логическую размерность ("пухошизатукзик" уже заметно длиннее), из-за чего нельзя просто так всё свести к одному числу. И негросеть будет сравнивать просто отдельные отрезки сигналах "в рамках разумного".
Для примитивной модели из единственного символа в слоге вполне няплохо.
Кстати, оно кириллицей.
Нядо либо тренировать ня большой выборке заведомо правильных никнеймов, либо как-то делать поправки ня частотности слогов во всей выборке.
SIGSEGV и BARANKEE_GNU понравились.
У тебя только те, кто оставлял комментарии? У меня почти все, я даже удалённых п-ром с-ром подтянул из вебархива. Точнее, не все, я не стал сохранять тех, у кого не удалось подтянуть хэш аватарки.
Из них 360 юзернеймов содержат подстроку «govno» (без учёта регистра).
GlobalnaPizdarija
xuipizdajigurda
polskapizda
AndreyPizdaAlkasha
ya-zvizda-tobi-pizda
penispizdabola
huy-pizda-scovoroda
Sigizmund-Pizdauskas
pizdamangusta
samoletpizdatebe
PizdaTwojejStarej
BigFatPizdabol
Chertofanpizdatii
pizdajirafa
По всей видимости, креативили русские и поляки.
Szukaj «kurwa».
kurwamac
wkurwionykrzywyzenon
CHUJKURWA
Kurwawszystkozajete
NakurwiatorKodu
rozkurwiator
CzegoKurwaNieWiesz
wszystkokurwazajete
TakiKurwaLuj
KurwaNieWiem
NazlecenieKurwa
Fantakurwastyczny
chujkurwapierdoleto
Dekurwinator
KurwaZapierdalac
ProdawamKurwi
jebacdisaskurwysyna
chujwamnakurwe
jebaccistaregokurwo
NajbardziejLeniweKurwyNaSwiecie
Kurwazawracaciedupeztymiwymogami
kurwachujpierodolonadziwka
Kurwadomowa
kutaskurwachujcipajebanie
jebac-disa-kurwe
Kronixtokurwasukinniechceznacjebac
NaChujTuKliklesSkurwysynkuWyruchacCieCo
Кажется, я весь польский мат прочитал.
Интересно звучит «NakurwiatorKodu». Как переводится? «Наебатель кода»?
>chujwamnakurwe
Ахаха, чуй.
Интересно, rozkurwiator повышает курвливость (как в глаголе "разбуянился") или наоборот понижает (как в глаголе "развоплотился")?
Можно дальше посканировать. Первый миллион юзеров точно до 2014-го регистрировался (у моей учётки 2012-го года айдишник 700 к с копейками).
Удобно: можно распознать е-мейл с картинки и тут же проверить качество распознавания, сравнив md5 с URL аватарки.
http://rsdn.org/account/info/106964
Забанен до 19.02.2114 21:15
Бан на сто лет. Офигеть, какие они оптимисты.
Это натуральный брейнфак
хотя нет: у BF мнемоник мало
Скорее это работа по математике Nicolas Bourbaki
Но ты можешь стать главпитухом, например
https://en.wikipedia.org/wiki/Fabaceae
В латинской таксономии много питушни, содержащей восемь 16-ричных цифр подряд:
https://en.wikipedia.org/wiki/Andreaeaceae
https://en.wikipedia.org/wiki/Bombacaceae
https://en.wikipedia.org/wiki/Cycadaceae
https://en.wikipedia.org/wiki/Taccaceae
И ещё в английском есть такие странные слова (16-ричными числами не являются, но содержат по 8 шестнадцатеричных цифр подряд):
https://en.wiktionary.org/wiki/effaceable (и его производные)
https://en.wiktionary.org/wiki/reacceded
Так это же классическая информационняя энтропия.
17 и 16 — это в основном нумерные петухи.
Уберём ботов, перечисленных в заголовке этого ГК (которые в принципе убираются регуляркой):
Самыми ожидаемыми длинами оказались 7; 8; 6; 10; 5; 9; 11; 12. До эры nemyx'ов тут было принято выбирать короткие имена a la «creat».
Мне кажется, такие короткие имена в принципе плохо зожимаются. Да и у юзернеймов ботов, которые меня интересовали длины 16; 8; 7; 15. Разве что попробовать зожать тех, у кого не меньше 15 символов.
Подветка твоей ветки не твоя ветка.
У меня нят полной базы юзернеймов, подсчитала энтропию по Шеннону примерня 8309 ников. Самые хаотичные:
На таких объёмах -- само собой. У кого больше разных букв оказалось -- тот и рандомнее других.
Ну это легко лечится. Можно для каждого слова построить такие транслитные/визуальные формы и их тоже добавить в словарь.
Мы вот в никах из иероглифов не заметим рандома. А китайцы с японцами могут.
Поэтому какого-то чисто математического критерия здесь не будет.
Носители языка нехило обалдевают
Как так получилось?
Сказал пользователь ГК.
Ну да, или обобщать это дальше до марковской модели, как предлагали выше.
Т.е. нам в качестве метрики нужна не "случайность" а "непредсказуемость". В конце-концов ты сам так и оцениваешь эти ники.
Хм
(Это сова UwU)
https://pl.wikipedia.org/wiki/Kserkses_I
https://govnokod.ru/27448#comment653497
И видел рекламу переходного периода. Помню, была питушня, где за кадром говорили "давайте, мужики", и там они двигали пиво и окружающую обстановку щипцами и тяжёлой техникой. Это был креативный ответ на запрет рекламы алкоголя ДОБРОЕ ИМЯ ДОБРАЯ СЛАВА ИМЯ ИМЯРЕК В ЧЕСТИ ЖИВЫМИ ЛЮДЬМИ.
С пивом-нулёвкой точно также работает
С бормандом-хормандом точно также работает
ebufsehjidov это хаотично злой, как я понимаю
xyozvewo — ящик на mintemail.com. Локальная часть адреса — четыре буквы, так что находится быстро даже тупым перебором.
SUzOCAjNsNipMBI — есть подозрение, что на «десятиминутной почте» или на похожем сервисе. Там много доменов, а логин нельзя задавать самому, он генерируется автоматически и каждый раз совершенно нечитаем.
Малое время спустя она начала вздыхать, стонать и кричать. Тотчас отовсюду набежали повитухи, стали ее щупать внизу и наткнулись на какие-то обрывки кожи, весьма дурно пахнувшие; они было подумали, что это и есть младенец, но это оказалась прямая кишка: она выпала у роженицы вследствие ослабления сфинктера, или, по-вашему, заднего прохода, оттого что роженица, как было сказано выше, объелась требухой.
– Ну, ну! Вам, мужчинам, легко говорить! – сказала она. – Уж я с Божьей помощью для тебя постараюсь. А все-таки лучше, если б тебе его отрезали!
– Что отрезали? – спросил Грангузье.
– Ну, ну, полно дурака валять! – сказала она. – Сам знаешь что.
– Ах, это! – сказал он. – Да пес с ним совсем! Коли уж он так тебе досадил, вели хоть сейчас принести нож.
Одна из них называла его втулочкой, другая – булавочкой, третья – коралловой веточкой, четвертая – пробочкой, пятая – затычечкой, коловоротиком, сверлышком, буравчиком, подвесочком, резвунчиком-попрыгунчиком, стоячком, красненькой колбаской, яичком-невеличком.
– Он мой, – говорила одна.
– Нет, мой, – говорила другая.
– А мне ничего? – говорила третья. – Ну так я его отрежу, ей-ей отрежу!
– Еще чего, отрезать! – говорила четвертая. – Да ведь ему больно будет! Кто же, сударыня, эти штучки детям отрезает? Хочешь, чтобы он бесхвостый вырос?
Во исполнение данных обетов они и до сей поры пребывают грязными и сопливыми, ибо суд еще не раскумекал это дело до тонк
– Должно полагать, эти протобестии ждут, чтобы я уплатил им за въезд и за прием. Добро! С кем угодно готов держать пари, что я их сейчас попотчую вином, но только для смеха.
С этими словами он, посмеиваясь, отстегнул свой несравненный гульфик, извлек оттуда нечто и столь обильно оросил собравшихся, что двести шестьдесят тысяч четыреста восемнадцать человек утонули, не считая женщин и детей.
\https://fossies.org/linux/glibc/resolv/README
Возможно поэтому. Кому-то понадобилась такая особенность, а в «libbind» её включать не захотели.
Просто неожиданно netdb.h (который с gethostent и прочие /etc/hosts) это часть bind, а resolv.h это часть glibc. Хотя как-бы ожидалось наоборот.
Вообще в том углу вселенной такие копролиты встречаются, что жутко становится: глобальные стейты, глобальные ошибки, char* вместо void*
В BSD было изначально четыре файла
/etc/hosts
/etc/services (порты сервисов)
/etc/protocols (tcp, udp итд)
/etc/networks
В networks можно указывать имя сети, и соответственно есть функции get[что-то]byname.
Эти сети в BSD показываются в netstat -i (к какому интерфейсу подключена какая сеть)
Но они не поддерживают маску, и со времен CIDR (1993 г) никому не нужны
В линуксе netstat их не читает, да и сам netstat депрекейтнули
А функция осталась, но она никому не нужна
А вот /etc/services теоретически могли бы быть полезны: например ты подключаешься не к 25-му порту, а к "smtp". (getservbyname возвращает servent с его портом в сетевом кстати байт ордер)
А какой порт связан с smtp администратор может установить в этом файле
Но никто никогда так не делает
https://datatracker.ietf.org/doc/html/rfc3425
glibc сообщает нам
IQUERY Inverse query. This option was removed in glibc 2.26,
since it has not been supported by DNS servers for a very
long time.
As noted in [RFC1035], section 6.4.3, inverse query processing can
put quite an arduous burden on a server.
A server would need to
perform either an exhaustive search of its database or maintain a
separate database that is keyed by the values of the primary
database.
Вот в обратной зоне (in-addr.arpa) они индексированы нормально
PTR только один результат возвращает, да и то обычно бестолковый типа названия AS с номером хоста.
У хороших хостеров можно править обратную зону. У домашних провайдеров обычно нет
owever, as we've explained before, IQUERY is seldom used. BIND Versions 4.9.4 and later, by default, do not even support IQUERY.
https://docstore.mik.ua/orelly/networking_2ndEd/dns/ch15_02.htm
(это легендарная книжка с кузнечиком)
https://host.io/
Этот сервис кэширует записи DNS в своей базе и показывает результаты обратных запросов любого типа.
Например, вот у этих доменов MX-запись ведёт на «mx.yandex.ru»:
https://host.io/mx/yandex.ru
А вот эти хостятся на айпишнике 195.216.243.246:
https://host.io/ip/195.216.243.246
А вот с этих редирект на «blogspot.com»:
https://host.io/redirects/blogspot.com
А вот эти сайты поставили ссылки на «govnokod.ru»:
https://host.io/backlinks/govnokod.ru
Я уже и забыл Подивилова с его «WCT»...
https://datatracker.ietf.org/doc/rfc8565/
Посылаешь серверу тело документа, а он тебе в ответ запрос, которому этот документ может соответствовать.
О, настоящий Инканус, только без "не ходи по мне". Ура!
Привет, я Алексей Сурин, это — что-то типа моего блокнота, в который я пишу. Бывает редко, а бывает, так прорвет. Тут все: кодинг, шкодинг, писишки, макоси, киношки, видяшки, еда, вода, билеты, интернеты. Вообщем — читайте, наслаждайтесь, пишите комментарии, заходите по ссылкам в шапке!
INSTAGRAM
@zelib0ba и питуз
Похоже все в курсе.
Он?
https://habr.com/en/users/ZeLib0ba/posts/?mobile=no
>Date of birth 18 August 1981
>https://surin.ru/all/s-dr-menya/
4 days ago
Довольно скучный пост, надо сказать
Хоть что-то было бы в безопасности...
Security by obscurity какое-то.
AXFR должен работать только для слейвов, там нужно IP фильтровать.
https://upload.wikimedia.org/wikipedia/commons/9/93/Gargouille_Saint-Urbain_Troyes_110208_03.jpg
Подсказка: связано с представлением имени в сообщении в протоколе
https://youtu.be/zjqojIjdVuo
Оцените дату публикации и качество записи.
А как это зожатие реально используется?
Когда тебе куча строк прилетает в ответ с одним и тем же доменом.
Queries:
000C: 06 "google" 03 "com" 00
Answers:
001C: C0 0C (ссылка на имя по оффсету 0x0C)
002С: C0 0C
... и ещё 4 похожих ответа ...
000C: 03 "www" 0A "aliexpress" 03 "com" 00
0024: C0 0C (ссылка на имя из запроса)
0030: 06 "global" C0 10 (ссылка на хвост aliexpress.com без www)
Они сэкономили кучу октетов т.к. в ответе всегда куча повторяющихся доменов и их кусков.
> алфавит имени не полный, не использовали
А ты хочешь как в смсках, чтобы без бутылки не читалось?
Сначала мне пришлось поддержать две кодировки («UCS-2» или «UTF-16» и ту самую противную семибитную), потом пришлось поддержать «EMS», чтобы смотреть склеенные сообщения и сообщения с вложениями.
Потом я узнал, для поддержки вложений на звонилках «Siemens» мне придётся поддержать «SEO», а для поддержки вложений на звонилках «Nokia» и «Samsung» мне придётся поддержать «NSM». Были такие говнопротоколы, которые позволяли отправлять большие вложения, но только в пределах аппаратов одной марки, на других марках они отображались как кракозябры. Ни документации, ни результатов реверс-инжиниринга протоколов «SEO» и «NSM» я тогда не нашёл.
Самое сложное было самому реализовать декодирование семибитной параши (там восемь символов упаковывались в семь батов). Вроде простая задача, но можно запутаться в байтордере, даже в битордере.
Похожая проблема, если сам пытаешься реализовать «Base64» или «UTF-8».
Знак подчёркивания — это «ручной бан».
Да, случай сложный, я бы не подобрал. Тут, вероятно, остаётся только брутить все шестизначные логины.
Тебе бы white hat hackerом стать
Ты готов послать что-нибудь доброе восьми тысячам олдфагов?
Тяжелее всего найти тех, у кого почта на собственном домене или у кого в локальной части плюсик. В частности, е-мейлы новых учёток «Госта» я так и не нашёл.
– у mzz нет своего мыльного сервака?
https://360.yandex.ru/business/
https://360.yandex.ru/business/tariff
Надо понять, что эти тарифы дают.
– как побегать с голой жопой перед стертором, не?
Если ты хочешь свой почтовый сервер, то есть три пути
* Поднять свой сервер. Нужен VPS и нужны скилы миддл-прыщеадмина (его можно нанять за денюжку или самому разобраться)
* Взять нахаляву это всё у Яндекса
* Купить (можно у Гугла или у Яндекса)
Если ты Янду не доверяешь, то остается первый вариант.
Вообще где-то за пару дней подобрал. Перед этим пару недель собирал вспомогательную информацию (почтовые сервисы, популярные юзернеймы).
Теперь их 14329. Спасибо Настеньке за подсказку.
С кем поделиться?
Такую же табличку можно сделать для «Stackoverflow», «Bitbucket», «npmjs.com», «pypi.org», «packagist.org», «rubygems.org», «rsdn.org» и для старых юзеров «Гитхаба».
такие акки тоже бы подхватились?
Подбирать к ним ящики я пока не буду.
– так и не знаю, что за личка. типа ты пишешь комментарий юзеру, он получает уведомление на почту, ты успеваешь отредактировать мессагу, но про это письмо уже не приходит?
Один раз надо было запостить свой ключ, потом нажать какую-то кнопку для импорта чужого - генерился общий ключ 2 пользователей по D-H, и дальше с помощью AES можно было шифровать свою питушню.
Там вроде какой-то алгоритм генерации ключа, который, если не фэйлбэкается на Math.random, должен использовать хороший браузерный алгоритм. Впрочем, ключ можно придумать отдельно и вставить. Или вообще передать симметричный ключ по стороннему каналу и просто вставить в настройках скрипта.
то что помешает кому угодно сгенерить "общий ключ"?
я чот туплю, но не въезжаю в хитрость схемы
Далее из своего приватного и чужого публичного по алгоритму диффи-хеллмана можно получить общий секрет (ака мастер-ключ).
А из него уже можно породить транспортные ключи для трафика.
TLS примерно так и работает, только там ещё аутентификация.
По почте?
Он вычисляется на основе твоего приватного и чужого публичного. Алгоритм DH так устроен, что обе стороны ма-те-ма-ти-чес-ки получат одно и то же число.
А придумывает PrivA и публикует PubA = g ** PrivA
B придумывает PrivB и публикует PubB = g ** PrivB
А вычисляет PubB ** PrivA = g ** PrivB ** PrivA
B вычисляет PubA ** PrivB = g ** PrivA ** PrivB
Очевидно, что полученные результаты равны и их можно юзать как общий секрет.
Т.к. PrivA и PrivB никто не видел, другие это вычисление повторить не могут. И посчитать PrivA по PubA они тоже не могут т.к. это задача дискретного логарифмирования.
Хм... А какой режим был и как выбирался IV для сообщений?
З.Ы. Мне просто лень гитхаб читать с мобилы.
Там в коде есть "iv" и "iv_text".
Асимитричные ключи нужны для аутентификации.
И кстати сессионный ключ нужно регулярно менять, иначе PFS обосрёца
Хотя высрать симетричный ключ из асиметричных вроде можно, вроде RSA так умеет
Надоест старый юзать -- сгенери и запости новый. Вот тебе и PFS.
Само по себе оно не может высрать... Но можно одно из двух:
1) Сгенерить ключ и зашифровать его на публичный RSA получателя. Это удобно для почты и прочих ситуаций, когда всё надо сделать за 1 пакет. Но если ключ спиздят, смогут читать всю старую переписку.
2) Согласовать ключ по DH, а RSA юзать тупо как подпись для аутентификации. Это удобно для случаев в духе TLS когда ты можешь позволить себе обмен пакетами. Здесь ты получаешь Perfect Forward Secrecy.
Как-то так.
С эпилептическими кривыми что-нибудь тогда уж.
Дольше всех OpenID продержался у «Yahoo». Надо проверить, работает ли сейчас.
то есть сегодня Паникёр Сапёр может выпилить поддержку опенид и никто и не заметит?
Зашёл на «openid.yahoo.com». Там пишут, что все приложения для OpenID нужно переписать на «OpenID Connect» — это гибрид OpenID и OAuth2. Т. е. В «Говнокод» залогиниться через «Яху» не получится, потому что в «Говнокоде» модуль поддержки OpenID старый.
Эпоха OpenID ушла.
Каждый раз приходится делать лишний клик по ссылке Обычная форма входа.
а лишний клик бесит, да
Зачем? Зачем?
Я-то думал что вся вагинация уже давно как-то автоматизирована.
С таким-то количеством всяких файек и питухов.
>> Теперь их 14329.
15273.
Вореции принесли мало новых адресов. Слишком много оказались уже известными. Но всё-таки полтыщи по сравнению с предыдущим результатом есть.
Точно поддерживают «Gmail», «Яндекс», «Рамблер», «Хотмейл» (outlook.com, hotmail.com, live.com, live.ru и ещё 100500 локальных доменов).
Не поддерживают «Mail.ru» (там надо явно заказывать алиасы через веб-морду), «Yahoo» (такая же питушня).
Первое, что пришло в голову — это юзернеймы «Говнокода».
Второе — это юзернеймы других сервисов. А вот как я их собрал, это отдельная история.
Некоторые сервисы напрямую показывают список своих юзеров (я с «Гитхаба» через официальный API скачал 88 миллионов юзернеймов).
У других же добыл список всех URL через API вебархива (спасибо «Госту» за ссылку). Вот таким запросом можно добыть юзернеймы «Ватабу» на букву «a»:
API фуфлыжный, через него список юзеров не достанешь.
В HTML-списке всего 25 юзеров на страницу, сканироваться будет долго.
Через API вебархива по шоблону «https://reddit.com/user/%USERNAME%» удалось добыть всего 3 с половиной миллиона юзернеймов. Если расширить шоблон до поддиректорий, то будет больше, но уйдёт слишком много времени на получение мусора типа «https://reddit.com/user/%USERNAME%/comments/100500».
Если нужно 3,5 миллиона юзернеймов с «Реддита», могу отсыпать. Плейнтекстом сорок метров.
Реальный пример:
https://to-email.com/find-email/71566b9e12d7605ae053fbac55594caa
Отягчающее обстоятельство: у питузов с которых спамили стояли граватары.
Причём их дата реги сильно отличалась и они до того постили реальные ГК и писали осмысленные комменты.
Я на «Говнокоде» увёл ровно три учётки («Konardo», «Horse2» и «Horse3»), когда с них шёл флуд, чтобы его стереть, потому что Сракера не дождёшься.
У этого юзера активный е-мейл. Он придёт на «Говнокод» и даст тебе лечебных пиздюлей.
Вот, кстати, тот, у кого ты увёл учётку:
https://www.npmjs.com/~thorn_
https://habr.com/ru/users/grimskin/
Его тоже можно позвать, чтобы он сменил пароль.
А она пустая. Они из-за неактивности вообще все письма стёрли нахуй. Ну хотя бы саму почту не дропнули, и то хорошо.
И это была гигантская дыра.
Кстати, такая же дыра с опсосами. У меня как-то было, что мой старый номер продали новому абоненту через день после того, как отобрали у меня.
Анскильный дульфятник, от которого ничего не слышно? А откуда уверенность что он ещё с нами?
>только на кого-то из нас обидится
А под каким он ником?
У ГК нет отсечки после N попыток?
Собссно говнокод.ру, который тормозит при тысяче комментов к коду (очевидно там N+1 запросов) и падает с halted by exception -- хороший пример качественности и Петра Снукера и всего пи аш пи в целом
Эээ, насколько я помню быдльфятник.
https://govnokod.ru/user/21467/codes
И последняя активность акка была в 2018.
Пидор Сракер был спутал с Пидором Стертором вероятно
Хотя плохой вариант. Взломщик может и почту сломать.
Заходишь, вроде все олды, а аккаунты какие-то левые.
У всех по 100 учёток, переобуваются на ходу, Стерторы, Снукеры, хуй пойми кто.
Ты гост, нет я иканус, помнишь сёму, который Питер Спаркер он же кегги?
Тот самый, невзломанный. Завёл новые учётки, когда «Стертор» зарегистрировал юзернейм, отличающийся от моего одним знаком.
ВОЛЕИЗЪЯВЛЕНИЕ № 0001 от 2019 года, Июль 17 дня
(7527 Лето от С.М.З.Х., месяц Хэйлѣтъ 16 день)
Мое Волеизъявление вступает в силу с момента его провозглашения мной, а его действие распространяется во все времена и на все пространства.
Пусть провозглашенное мной свершится на высшее благо всех Живых Душ самым простым и наилучшим способом.
Клятвенное заявление Живой Души Живого Духа с титулом Живорождённый в теле Мужского Рода Бог-Сына Бога Рода-ПервоТворца Всего Сущего Живорождённый Живой МужЧина имянаречённый Любомир в Роду собственник имени дмитрий и Моё Провозглашение о беЗсмертии, суверенитете, иммунитете, независимости, свободе от структур иноземных/земных корпораций, легальных фикций под вывесками государственных и/или федеральных служб и личная Декларация Независимости Моей Вечной Живой Души.
Родился на улице Герцена. В гастрономе № 22. Известный экономист. По призванию своему библиотекарь. В народе — колхозник. В магазине — продавец. В экономике, так сказать, необходим.
— Почему вы думаете что вы Бог?
— Ну само рождение 29 сентября как раз
И там почитайте комментарии. Особенно про врата рая...
Вообще весь «М Е Д Ф И Л Ь М» — годнота. Источник вореционного вдохновения.
— Свидетельство только одно: чёрный квадрат.
На самом деле они мыслят адекватнее большинства...
https://www.youtube.com/watch?v=_DN2mrHnJxo
Комментарии как обычно раскрывают всю суть.
А известно на какую почту зареганы все эти hormandы?
gologub — disposable.
zhigolo — disposable.
cmepmop — disposable.
void_main — disposable.
nyTuH_nugop — disposable.
Этот действительно похож на гомодельфятника, да.
https://govnokod.ru/27214#comment606410
А казался приличным человеком..
Любимые ящики ботов:
mailinator.com
doanart.com
rainmail.biz
lackmail.ru
mailforspam.com
mailcatch.com
ce.mintemail.com
shitmail.me
trashmail.ws
getamailbox.org
И куча нечитаемых адресов вроде nwytg.net.
Нет чтобы юзать что-то приличное вроде guerrillamail.com
Просто было интересно кто такой скилльный.
Очень вореантно. Педантичность и мастерство на уровне. Но утверждать бы не стал.
А JloJle4Ka и PolinaAksenova чьи?
Ну это и не скрывалось. Там же «Инженерный отдел».
– блин, не могу найти старый комментарий, в котором типа деанонили юзеров и напротив мыла тараса стояло "имя неизвестно"
rotoeb, gologub, Hacpy
https://panteric.ru/zhivotnye/bananoed/bananoed-rido/
https://panteric.ru/zhivotnye/gekkony/bananoed-ficroj/
Где еще может понадобиться такая конструкция
?
Я хоть правильно распутал этот клубок или накосячил?
Гэцэцэшный typeof хотя бы позволяет отделить описание от результата.
Сравним это:
И вот это:
Хотя всё равно говно.
`возвращаемое_значение (имя*)(аргументы)`
Справедливости ради, я и на коко охуею писать тип "функция, которая возвращает функцию". И на TS тоже могу охуеть
Поэтому вот тебе монада.
Всё просто же:
Начну список:
1. Сервисы с регистрацией:
Gmail, Mail.ru, Яндекс, Рамблер, Yahoo, Hotmail, AOL, km.ru, nextmail.ru, sibmail.com, ngs.ru, i.ua, ukr.net, meta.ua, bigmir.net, tut.by, mail.kz, inbox.lv, e1.ru, icloud.com, abv.bg, Protonmail, GMX.
2. «Разовая» почта, в которой можно выбирать логин, можно использовать повторно:
mailinator.com
mailcatch.com
yopmail.com
tempinbox.com
mailforspam.com
tempsky.com, tempsky.top
shitmail.me
mailnesia.com
disposeamail.com
mytrashmail.com (@mt2015.com @thankyou2010.com @trash2009.com @mt2009.com @trashymail.com)
3. «Разовая» почта, в которой нельзя выбирать логин, нельзя использовать повторно:
10minutemail.com: @avxrja.online @bptfp.com @bptfp.net @etochq.online @ianvvn.com @rffff.net @tbbyt.net @ttirv.net @ttirv.org @uivvn.net @urhen.com @zqrni.com @zqrni.net
Добавлю в список неопознанный сервис с логинами вида [a-z]\d{6,7}:
@drdrb.net, @drdrb.com, @jnxjn.com, @klzlk.com, @mvrht.com, @mvrht.net, @nwldx.com, @nwytg.com, @nwytg.net, @rmqkr.net, @rtrtr.com, @trbvm.com, @trbvn.com
Какие ещё знаете?
5. Децентрализованная почта в «I2P»: «I2P-Bote», «I2P-Mail».
Страница с описанием сервиса сообщает, что при использовании почтового ящика внутри сети I2P возможен адрес @mail.i2p, а для обращений извне - @i2pmail.org. Также выделено жирным текстом, что использовать сервис в криминальных целях категорически запрещено! Основательно соглашаемся с этими словами и двигаемся дальше.
Кстати, через 100 дней без активности почту удаляют, а ещё регистрация может занять до пяти минут.
На «i2pmail.org» я, кстати, зайти не смог: пишет «коннексьён рефьюзён».
dig i2pmail.org MX:
Аж пять SMTP-серверов, готовых принять почту из интернетов и доставить её в «I2P».
В Рамблере и в Хотмейле можно регистрироваться по-старинке.
Сделай себе VPSку и зону, поставь туда bind, делегируй зону на него, поставь postfix, настрой в bindе dmarc, spf и dkim, рядом поставь courier imap, и будешь ни от кого не зависить.
Если сервис не нашёл хэш в своей базе, он добавляет его в очередь для брута. С сайта можно вытащить полезную для брута информацию: аватарки обычно обёрнуты в ссылку на профиль юзера, а рядом присутствует юзернейм, обёрнутый в ту же ссылку. Этот юзернейм можно использовать в качестве старта для брута.
Можно грабить корованы.
https://brainly.ph/app/profile/852240/answers
Ang tatlong anyo ng globalisasyon ay globalisasyong politikal, ekonomiya, at teknolohikal at sosyo-kultural
https://youtu.be/ibmh64itn1M
https://youtu.be/wARNWnviu4w
> аватарки обычно обёрнуты в ссылку на профиль юзера,
> рядом присутствует юзернейм, обёрнутый в ту же ссылку.
> Этот юзернейм можно использовать в качестве старта для брута.
Какая bigdata )))
Представляю что будет если кое-кого запустить в «Google» с их объемами данных и вычислительными возможностями.
Кстати, я думаю о том, что неплохо было бы посчитать расстояние Левенштейна между юзернеймом и локальной частью е-мейла, а потом отсортировать табличку по этому расстоянию. Интересуют случаи с небольшим расстоянием (1..3), когда заменяют какую-нибудь букву или дописывают суффикс.
Некоторые данные вытащены из веб-архива.
Ладно, некоторые учётки удалял Пистамбар Сандар, а потом олдфаги создавали из заново.
Но как объяснить одновременное существование таких учёток:
http://govnokod.ru/user/65
http://govnokod.ru/user/66
У этой пары учёток совпадают, и юзернеймы и логины. Как сервер догадается, какой айдишник использовать, если mvcdev решит залогиниться?
Значит, при логине на «ГК» сервер выбирает ту учётку, которая в базе оказалась физически ближе к началу таблицы?
Как прекратить ржать? Я видел на сайтах спонтанные даблпосты, а тут бывают даблреги.
По паролю.
А если юзер запросит восстановление пароля на почту, то на восстановление какой учётки придёт ссылка?
Будут ли конкурировать активная и неактивная учётки?
Если почта одноразовая и позволяет повторное использование, можно сделать активную учётку как у спамера.
Ошибка регистрации:
1. Пользователь с таким логином уже существует. Выберите другой
2. Это прозвучит странно, но пользователь с таким E-mail уже существует. Укажите другой
Это файки Конардо. Удивляюсь его креативу
У него же была куча файек *гумно. HaskellGovno, LispGovno, итд.
https://govnokod.ru/20471
Раньше только читаешь, уму разуму набираешься.
Знания и опыт - как кинетическая энергия молекул. Чем больше, тем больше вероятности отдать, а не получить.
Я уже смирился с мыслью, что никогда не дорасту до скилла множества людей, которые тут писали раньше.
Да и чему может научить старпёр, который форсит «научный коммунизм»?
https://govnokod.ru/27445#comment669108
Кстати гегелевская философия и марксизм-ленинизм действительно проще чем С++.
А суть та же: сектанты варятся в говне, и верят в светлое будущее: «коммунизм через джвадцать лет». Ну уж «в новом Стандарте™ всё починят».
И сейчас пишут...
Кто больше всех прославил уютный ГК?
https://govnokod.ru/27509#comment664945
То-то же.
Заметим, что мы видим и запоминаем только сильные стороны других, но все стороны себя.
Читатель интегрирует комментарии условного Борманда и осознаёт, что он силён и в том, и в этом, и вообще все его комментарии - платина, а интеграл положительный. Затем читатель интегрирует свои знания и незнания и получает интеграл около нуля. Но читатель не проинтегрировал Борманда по свему пространству, какой багор!
тебе нет повода обсыраца
У меня в «ВКонтакте» было две странички на одном номере. Заходил я на них по разным «паролям».
Иногда мне хотелось проверить, что же будет, если на одной из страничек сделать такой же пароль, как и на другой...