{"id":860,"title":"\u041f\u043e\u043b\u0451\u0442 \u043a \u042e\u043f\u0438\u0442\u0435\u0440\u0443 \u0432 \u043d\u043e\u0432\u043e\u043c \u0440\u0435\u043b\u0438\u0437\u0435 \u0412\u0430\u043d\u0433\u0435\u043b\u0438\u0441\u0430. \u041a\u043e\u0434\u0437\u0438\u043c\u0430 \u0443\u0436\u0435 \u0437\u0430\u0446\u0435\u043d\u0438\u043b","url":"\/redirect?component=advertising&id=860&url=https:\/\/tjournal.ru\/umg\/450423-poslushat-novoe-kosmicheskaya-opera-ot-sozdatelya-saundtreka-k-begushchemu-po-lezviyu&placeBit=1&hash=d7cf24ebd26468490c3963a5f0d2007e10183cc7470e797c409220708a49a72a","isPaidAndBannersEnabled":false}

ФБК после признания «экстремистской» организацией перезапустил систему донатов Статьи редакции

Для безопасности плательщиков создали новое юридическое лицо и сделали пожертвования полностью анонимными.

Команда Навального сообщила, что запустила новую систему донатов. Полученные средства они пообещали тратить на новые расследования и «Умное голосование».

Переводить деньги на нашу работу через этот сайт абсолютно безопасно. Мы придумали систему, благодаря которой ни ваш банк, ни российские власти не смогут узнать, кому именно вы жертвуете деньги.

В ФБК объяснили, что открыли новое юрлицо, никак не связанное с предыдущими. Поэтому ему можно спокойно жертвовать, не опасаясь, что это сочтут «финансированием экстремизма». Также сторонники Навального приняли ряд дополнительных мер для защиты.

  • Платежи проходят через независимый сервис Stripe, не имеющий отношения к России;
  • Конечный получатель денег не виден — только сервис-посредник;
  • Данные о пользователе не собирают, если он сам этого не захочет;
  • Для отмены платежей будет специальный обезличенный код;
  • Пожертвования можно будет делать в криптовалюте.

В начале июня 2021 года Мосгорсуд признал ФБК, Фонд защиты прав граждан и «штабы Навального» экстремистскими организациями. В прокуратуре Москвы утверждали, что структуры якобы создавали «условия для изменения основ конституционного строя». Рассмотрение дела проходило в закрытом режиме из-за наличия материалов с «государственной тайной».

{ "author_name": "Ольга Щербинина", "author_type": "editor", "tags": ["\u0444\u0431\u043a","\u043d\u043e\u0432\u043e\u0441\u0442\u0438"], "comments": 276, "likes": 197, "favorites": 24, "is_advertisement": false, "subsite_label": "news", "id": 420147, "is_wide": true, "is_ugc": false, "date": "Thu, 05 Aug 2021 11:29:24 +0300", "is_special": false }
0
276 комментариев
Популярные
По порядку
Написать комментарий...

Переводить деньги на нашу работу через этот сайт абсолютно безопасно

Уже завтра вам придёт рассылка на почту, виноватым будет бывший сотрудник 

96
Светский будильник

Вроде Stripe чуть более ответственная компания

4

Mailgun тоже ответственная компания, что не спасло от слива

27
Удачный историк

Автомат Калашникова тоже надежный и относительно безопасный, если им не пользуется долбоеб

13
Японский глобус

А я вот в армии служил...
Два деда-долбоёба пытались штык-ножом (является частью автомата калашникова) открыть банку сгущёнки: сломали штык-нож.

22
Удачный историк

ну хоть не проебали

23

Криворукие. Тоже служил и тоже этим же штык ножом вскрывал сгуху. 

1

да он ломается от простого падения на бетонный пол

0

Мейлган там вообще ни в чем не виноват. Был неотозванный доступ у давно уволившегося сотрудника. Это приемлемый уровень распиздяйства для мелкого и среднего биза, но не для борцов с режимом. Надеюсь, они сделают выводы, и наймут полноценного IT безопасника, с зарплатой от 200к+, это ДЕЙСТВИТЕЛЬНО того стоит. Чтобы он там им мозги сушил даже за то, что они реже чем в 6 мес. пароли меняют, и используют одинаковый на 2ух и более сервисах. Потому что сейчас там, видимо, кто то "в свободное от всего остального" время этим занимается.

5

Использование одинакового пароля в разных сервисах проверить тяжело без анальных зондов. Частая смена пароля безопасности не помогает, ето миф. В конечном счёте это приводит к тому, что люди тупо начинают добавлять циферки в конце, типа password1, потом password2, потом password3 и т.д.

2

Ну блин, есть ведь куча прекрасного софта с открытым исходным кодом. Пароли должны генерироваться менеджером паролей. "В голове" нужно помнить, если по простому, то два пароля - один от дешифрования операционной системы, второй - от собственно менеджера паролей, все остальные пароли на всех сайтах и сервисах будут подставляться из него. Менеджер паролей автолокается через минуту после анлока. В итоге вы вводите один и тот же пароль в него, а он использует разные. Раз в полгода потратить 1 - 2 часа на запоминание двух мастер-паролей, не так уж сложно.
Еще пин код на лок компа когда отходишь покурить, тут можно не изголяться, если комп изымают включенным, он не особо спасет - это просто чтобы не было потом разборок, что кто-то у вас ценную инфу на мониторе подсмотрел пока вы кофе пьете, и оказался потом засланным казачком. 
Для людей распологающих особо ценной инфой, еще нужен пароль на зашифрованный контейнер и двойное дно в нем, даже понять присутствие там информации довольно сложно. 
Итого выходит, что нужно помнить 3 пароля и один пинкод.

2

Я менеджером паролей давно пользуюсь и фактически у меня все так и есть. Но я все ещё не понимаю, нахера мне менять пароль регулярно (политика компании, тем не менее, заставляет это делать). Допустим пароль нужно менять раз в 4 месяца. Это означает, что если я проебу пароль, то в среднем в среднем у злоумышленника будет 2(!) месяца на то, чтобы им пользоваться. За это время можно кучу всего сделать. Да, возможны сценарии, что кто-то обнаружит мой пароль спустя пару лет, или же будет просто очень долго иметь скрытый доступ к устройству. Но также и вероятны варианты, что люди не будут пользоваться менеджерами паролей и тупо на бумажке начнут писать, которую проебать проще простого :) получается, что частая смена рассчитана на какую-то очень узкую группу людей, которые достаточно грамотны для использования менеджеров паролей (и, предположительно, уникальных паролей на разных сервисах), но при этом способны проебать пароль и не заметить этого. Ну прям хз.

0

Менять пароли в первую очередь нужно как раз на сервисах, сайтах, потому что у них пароль может утечь и без вашей вины и вашего ведома. И эта база может быть слита и попасть в руки тех кто хочет вас атаковать, и через годик после утечки, далеко не факт что они сразу будут использоваться. Так что вполне себе защита от таких утечек.
Что касается мастер-паролей, если вы уверены что нигде их больше не используете и не сольете, то можете и не менять конечно. Но проблема в том что уверены вы можете быть только в себе. А когда у вас сотня человек за безопасностью которых нужно следить, наверняка найдутся те, у кого рано или поздно они куда-нибудь утекут, и чем дольше они их используют, тем больше эта вероятность, человек привыкает вводить одно и то же и вполне может начать юзать этот пароль и дома на каких-то сервисах. Потом, допустим, комп этого сотрудника изымает ФСБ, начинает подбирать к нему пароль, и думаю в первую очередь смотрит какой пароль у этого человека в утекших базах. 
В случае же с ФБК там наверняка была еще и очень пристальная наружная слежка, где-нибудь на камере можно спалить ноут и какие буковки вы там тыкаете на нем.

0

Менять пароли в первую очередь нужно как раз на сервисах, сайтах

Без анальных зондов ни один безопасник это не сможет проверить или заставить делать, такое себе улучшение. Если же мы считаем, что это как-то возможно контролировать, то заставить всех использовать уникальные пароли намного лучше, чем регулярные замены. В случае утечки будет затронут только уже скомпроментрованный ресурс. 
чем дольше они их используют, тем больше эта вероятность, человек привыкает вводить одно и то же и вполне может начать юзать этот пароль и дома на каких-то сервисах.

С этим согласен. Но это никак не поможет в случае, если человек делает какие-то тривиальные изменения пароля (как я уже говорил, password_1 и password_2). При этом забавно получается, что чем чаще ты будешь заставлять менять пароль, тем выше вероятность, что юзер начнёт так делать.
При этом решение же уже есть - двухфакторная аутентификация. Она не выстрелит в ногу со слитой базой (если, конечно, юзер не совсем имбецил и не слил экстренные коды), её нельзя игнорировать. Тоже не панацея, но имхо безопаснее постоянных смен паролей и намного менее раздражающая.  ред.

0

Так менеджер паролей ведь настраивается, что если пароль на сайте не менялся столько-то месяцев, то там горит флажок что пора бы его сменить. Весь анальный контроль собственно сводится к тому, что безопасник может посмотреть окно менеджера (с паролями не в открытом виде), на наличие этих флажков. А нафига юзеру менять вручную пароль на модификацию предыдущего, если у нас эти пароли генерируются менеджером паролей по одному клику кнопки? Это наоборот менее удобно. И уникальность при случае, если пароль генерируется софтом, предполагается по умолчанию. 

Это дома у вас могут быть сотни этих сайтов и сервисов, а по работе сколько реально надо? Пара десятков? Не такая уж возня их менять периодически.

2ФА конечно нужно везде включать, согласен, только не по СМС.

0

«... 200к+ ...».
Это в чём и за какой период?

0

У них (ФБК) все весьма херово с безопасностью. В один момент у них наружу торчала админка кубов, где можно было посмотреть переменные окружения и где лежал ключ API Mailgun. Очень удобно.

2

Данные платежей будут у Stripes, так что сценарии со сливом почты здесь не работают. Это не значит, что рисков нет, но и параллели не стоит проводить прямые.

4

По API ключу страйпа точно так же можно выгрузить историю оплат, имена владельцев карт, емайлы, последние четыре цифры карты и срок действия. Достаточно данных для сопоставления с реальным человеком.

Если они проебут апи ключ ещё раз, будет ещё веселее.

1

Но зачем им хранить API ключ страйпа? Для email'ов всё понятно - они часто занимались массовыми рассылками.

1
Газовый Илья

Там в коде сайта будет ключ... Т.е. доступ у программиста к ключу будет.

0

вообще нормальные люди такие вещи выносят в .env-файлы, но в теории можно спионерить и такой файл

1
Японский ключ

Stripe - это не левый сервис рассылки, один из лидеров рынка платежей

0
Читать все 276 комментариев
null