Брут Для Yandex Почты
Брут почтовых сервисов (Yandex.ru, Mail.ru) на VBScript Опубликовал, Дата: Август 19, 2015, В рубрике:, 0 комментариев VBScript как и все остальные криптоновые языки программирования очень урезаны в своих возможностях. Но всё же не на столько, что бы при помощи него нельзя было создать брутфорс. В этой статье я расскажу и покажу, как сделать брут (Brute) почтовых сервисов (Yandex.ru, Mail.ru) на VBScript (vbs).
Стоит отметить, что я знаю два способа создания Брута почтовых сервисов на зыке VBScript. Я покажу наиболее простой способ. Всё началось с простого vbs скрипта отправки почты с которым я немного начал экспериментировать.
Как в последствии оказалось удачно. Суть моего открытия заключалась в том, что если я указывал не верный пароль от почты с которой собираюсь отправить письмо, то выдавалась ошибка. Тут-то меня и осенило! Обязательно к прочтению:. Объект Shell. Объекты Message и Configuration (Отправка почты).
Далее, после кода, последует объяснение принципа действия и код статистики. Код брута vbscript. MsgBox 'Подбор паролей закончен! Проверьте результаты!' Я постарался описать всё как можно подробно.
Теперь опишу принцип действия и как его настроить. Принцип действия Вначале у нас имеется переменная «LoginPass». Если она ровна 1, то пароли и логины находятся в одном файле — base.txt и разделены «;». Если переменная ровна 0, то пароли и логины находятся в разных файлах — base.txt и pass.txt. Создаём из ‘этих данных два массива. В след за не начинается цикл For Next в котором мы перебираем массив с паролями.
Новичкам данный 'гайдик', надеюсь, поможет:) В общем, если хотите брутануть сервер через. Воспользуйтесь профессиональной программой для взлома почты. С помощью утилитки Brut Force. → Скупаю почты mail, yandex и многое другое! Автореги, брут. Купить ссылку. Mar 16, 2012 - Slavik9779, если программа поддерживает работу через прокси, то юзай. Попробуй раз 20 подряд на яндексе забить неверный логин и пароль, что будет? Правильно, вылезет капча. С одного IP идет много неверных запросов авторизации. При использовании прокси IP меняется,.
И если «LoginPass» равно 0, то уже в нём мы начинаем ещё один такой же цикл, но уже с массивом паролей. То есть мы получаем один логин, и пока мы не подставим все пароли к нему цикл не сможет вернуть нам следующий логин.
Там же мы вызываем процедуру «subbrute», в котором и происходит проверка пароля. Далее в процедуре «subbrute» я поместил код отправки почты. Если пароль подойдёт к логину, то вам на почту отправится сообщение. Жертва не узнает об этом.
Этого письма не будет у неё в «отправленных». Далее мы обрабатываем ошибки ошибки и сортируем их при помощи Err.Number. Легко и просто мне удалось узнать номер ошибки. В случае неправильного пароля ( -). Эти логини с паролями я сохраняю в bad.txt. Если пароль правильный, то это значение будет нуль и этот логин с паролем сохранится в good.txt. Все остальные ошибки (отсутствие интернета, капча и т.д.) сохраняются в Error.txt.
Электронная Почта Яндекс
По окончанию подбора появится сообщение «Подбор паролей закончен! Проверьте результаты!». Так же я сделал небольшую статистику, которая сохраняется в файл «Status.txt».
Статистика для брута С брутом мы разобрались. Теперь нам нужна статистика.
Вы у меня в долгу, так как я не поленился и смастерил её! Данная статистика показывает не только прогресс, но и сколько осталось времени.
Точность таймера +-1 мин, а может и точней. Статистика записывается в файл «Status.txt», а при помощи Status.vbs она удобно выводится с возможностью обновления. Close Статистика сохранена отдельным файлом status.vbs.
Она автоматически запускается во время начала работы брута. У вас появится окошко с двумя кнопками: «Повторить» и «Отмена». Если вы нажмёте «Повторить», то статистика обновится. Если же нажмёте «Отмена», то окошко просто закроется.
Его можно будет опять запустить. Подводные камни. Отсутствие прокси — Этот очень большой минус. Так как если вы за очень короткое время сможете подобрать пароли, где то к 500 почтам, то система ваз заблокирует на время. Однопоточный — Малость медленный.
Застывание таймера — Когда происходит ожидание ответа от сервера, происходит временная остановка скрипта и таймера соответственно. Незаконный =) P.S. Данная статья только для ознакомления возможностей VBScript. Я настоятельно не рекомендую использовать данный скрипт, так как это влечёт за собой нарушение законодательства Российской Федерации.
Сегодня на одном довольно широко известном ресурсе разместили базу email адресов с паролями от почтовых ящиков «Яндекса». База представляет собой текстовый документ, в котором заявлено 1 млн позиций. С удивлением обнаружил там один из своих, и хотя пароль не был космической сложности, уж точно не для брута и словарей. Когда именно, и по какой причине данная база утекла в сеть, остается неизвестным. В комментариях народ пишет, что из первых попавшихся 10 яшиков как минимум 8 являются на настоящий момент валидными. В общем, дружно меняем пароли, пока представители «Яндекса» ищут крота.
Метки:. Добавить метки Пометьте публикацию своими метками Метки лучше разделять запятой. Например: программирование, алгоритмы. Я понимаю, «хабр — сборище школоты», но вы-то почему к ним примазываетесь? Вроде взрослый человек, а про CRAM-MD5 (если он поддерживается Яндексом, то и требует для него базы паролей в открытом виде) не знаете, ПАРОЛЬВОТКРЫТОМВИДЕКАГЖЕТАГ.
Мне стыдно за вас. То, что он и в любом случае используется в открытом виде, хотя бы и через SSL — никто не задумывается. К чему это приводит, как пример: heartbleed или иная дырка в сервере, и утекли ваши пароли. Что, думаете, все сервисы затирают ту область памяти, в которой проверялся пароль, надёжно? Проблема не в том, что пароли хранятся в открытом виде. Проблема в том, что для проверки так или иначе используется пароль (или его эквивалент) в открытом виде.
Ещё раз, для непонятливых: то, что достаточно сообщить серверу для удостоверения себя, обязательно необходимо сообщить ему в открытом виде, либо он заранее это должен иметь в открытом виде. Есть механизмы вроде SRP-6, в которых это требование снимается, и это хорошо. Но он сложный, хорошо если один из тысячи хабровчан, паникующих при словах «пароль в базе в открытом виде», способен реализовать SRP-6.
И давайте вспомним любимый BGP или хотя бы OSPF. Что там для аутентификации? Пароль в открытом виде. А, ну и CHAP у провайдеров ещё. В Ростелекоме, например. Вы понимаете, что передача хэша не решает проблему? Атака на SSL очень сложна, и чтобы перехватить переданный пароль, все-равно нужен снифер.
Если каким-то образом атака на конкретного пользователя оказалась удачной, другие пользователи от этого не страдают. То же, если у сервиса угнали базу (подразумевается, что сервис хранит хэши паролей с солью). А в случае с вашим хешем, снифер сразу перехватывает «пароль» (т.е.
По этому пункту система более уязвима). В случае угона базы данных злоумышленник получает доступ ко всем аккаунтам (т.е.
И по этому пункту система более уязвима, при чем существенно). Единственный случай, когда, казалось бы, хэш выигрывает — это если пользователь использует один и тот же пароль для разных сервисов. Однако, если у пользователя один пароль для всех учеток, день рождения или 123456 — то это пользователь идиот, а не проблема сервиса. В вашей схеме есть излишества, ведущие к потенциальным уязвимостям.
Почта Яндекс Проверить
Например, ваш клиент вычисляет md5(md5(secret clientSalt) challenge) — зачем, когда можно вычислять md5(secret clientSalt challenge)? В вашем случае, если каким-то образом утечет md5(secret clientSalt) (с сервера, например, потому что сервер хранит именно md5(pass + salt)), появляется возможность использовать его повторно, а это критическая уязвимость. Сервер генерирует challenge, используя ip — зачем? Соль должна быть случайна, а если соль случайна, её придется временно хранить.
Если так, то добавление ip излишне, можно просто отправлять длинную случайную строку и хранить её на время проведения аутентификации. В правильном случае сервер отправляет клиенту длинную случайную строку, которая никак не связана с любыми характеристиками клиента — challenge. Клиент вычисляет response = md5(salt secret challenge) и отправляет серверу response и salt, где последняя — это длинная случайная строка, которую генерирует сам клиент. Сервер, зная secret, salt и challenge повторяет вычисление у себя и либо отшивает клиента, либо аутентифицирует его. Очевидный недостаток — пароли хранятся в открытом виде:), а ведь именно этого мы и пытались избежать. Зато это самый всамделишно-настоящий CHAP!:) Поэтому есть вариант лучше, вот его протокол: 1. Пользователь вводит некий пароль password.
Генератору ECDSA-ключей скармливается pbkdf2(password) — на выходе получаем secret и public. Клиент говорит серверу — «Привет, я vasya@yandex.ru» 4.
Сервер проверяет, есть ли у него в базе публичный ключ vasya@yandex.ru, и если да, то говорит клиенту — «Окей, держи длинную случайную строку challenge и некий последовательный счетчик seq, на который ты не можешь влиять и который растет монотонно, никогда не повторяясь». Клиент вычисляет response = ecdsaSign(secret, challenge seq длинная случайная строка) и отправляет подписанное сообщение серверу. Сервер отбрасывает соль, сверяет, что challenge совпадает с отправленным ранее, и проверяет публичным ключом, извлеченным из БД, что подпись верна. В этом случае сервер не знает ни пароля, ни его хэша, и пароль никогда не передается никуда даже во время регистрации. Наличие счетчика обеспечивает неуязвимость к replay-атакам даже в случае дублирующегося challenge.
MITM при этом, правда, возможен, так что этот протокол всё равно нужно пускать поверх TLS, чтобы клиент был уверен, что говорит с сервером, а не с хакером. Если вы хотите аутентифицировать клиента средствами TLS, клиент должен получить валидный клиентский сертификат. Я не говорю, что это сложно, но это, как минимум, непривычно для большинства, и сопряжено с рядом неудобств, связанных с хранением и бэкапированием этого самого сертификата, его восстановлением в случае, если «шеф, усё пропало», и реализацией логаута, когда браузер уже спросил, какой сертификат будем использовать и отказывается его «забыть». С серверной же стороны реализация клиентской идентификации тоже не так проста, потому что работает на уровне соединения.
Это всё возможно, но сопряжено с рядом трудностей и для клиента, и для сервера. Тогда как предложенная мной схема использует «обычные пароли» и вписывается в существующую инфраструктуру любого проекта, использующего аутентификацию по паролю, с полпинка. Для сайта, на котором вы авторизовываетесь изредка под одной учеткой, и всегда с браузера — да, удобно. А вот когда нужен вход с нескольких устройств (импортировать клиентский сертификат в мобильный браузер — не всегда элементарная задача) и возможность зайти откуда угодно, не думая о ключе, то лучше уж обычный пароль — основная масса народа не потянет премудрости TLS-авторизации, переевыпуск ключей, бэкапы и т.д Протокол, похожий на описанный используется в Steam.
Я не особо разбирался с подробностями, и возможно могу ошибаться в последовательности. Там используется RSA, и схема проще. При нажатии кнопки логина на сайте, делается запрос на /login/getrsakey/ с логином и временем. В ответ приходит публичный ключ RSA (уникальный для пользователя) и им просто шифруется пароль. Правда соли вроде нет, т.е. Получается что перехваченный ответ можно переиспользовать, но тут не уверен, не отслеживал.
С другой стороны, вероятность перехвата TLS-соединения мала, у основной массы пользователей аккаунты взламывают через подставные сайты или троянов. Вы правы, в данном случае все равно придется хранить пароль на сервере, тут защита будет только на этапе передачи по сети (для чего в большинстве случаев лучше использовать SSL). Тут надо использовать не просто хеширование, а асимметричную криптографию. Тогда можно введенный в браузере пароль превратить в пару открытый/закрытый ключ. Присылаемый сервером токен шифруем в браузере с помощью закрытого ключа, который никуда не передается и нигде не хранится (он вычисляется каждый раз из пароля). А открытый ключ хранится на сервере, позволяя расшифровать и проверить токен.
А про CRAM-MD5 (если он поддерживается Яндексом, то и требует для него базы паролей в открытом виде) не знаете Это тоже было бы оскорблением в их сторону. То, что он и в любом случае используется в открытом виде, хотя бы и через SSL — никто не задумывается.
К чему это приводит, как пример: heartbleed или иная дырка в сервере, и утекли ваши пароли. 1) Heardbleed, как и прочие баги, позволяющие длительно и незаметно сосать память сервера, случается редко.
Сравните вероятность наличия у сервера подобного бага с наличием у него дыры, позволяющей делать SQL инъекции. Например, select. from passwords.
2) Heartbleed требует довольно длительного прослушивания, чтобы поймать много паролей. У того же яндекса сессия месяцами может висеть открытой. 3) Этой же аргументацией можно доказать, что и PKI — отстой, так как у сервера можно незаметно стянуть приватный ключ.
Но обычно такого не происходит. 4) Чтобы инсайдеру стащить базу паролей, в одном случае ему достаточно иметь доступ к базе на любом уровне, а в другом — распространить на все сервера трояна и долго ждать. Так что нет, хранение пароля в базе в открытом виде куда страшнее, чем кратковременное его пребывание в памяти и передача через канал в зашифрованном виде. А еще наверняка у большинства юзеров один пароль на всё. Потому еще правильнее было бы полностью защититься от его раскрытия и передавать только хеш, а для валидации брать хеш от хеша. Тогда пароль будет иметься в памяти только на стороне клиента.
А если клиент скомпрометирован, то тут уж пиши пропало в любом случае. И давайте вспомним любимый BGP или хотя бы OSPF. Что там для аутентификации?
Пароль в открытом виде. А, ну и CHAP у провайдеров ещё.
В Ростелекоме, например. В этих случаях предполагается, что риск MITM (или вообще подключения третьей стороны) минимален. Потому и защита минимальна. Вы ведь, надеюсь, не выберете CHAP для защиты чего-либо смотрящего в интернет, еще и без защиты на уровне транспорта (SSL например)? В этих случаях предполагается, что риск MITM (или вообще подключения третьей стороны) минимален. Потому и защита минимальна.
Вы ведь, надеюсь, не выберете CHAP для защиты чего-либо смотрящего в интернет, еще и без защиты на уровне транспорта (SSL например)? «Дважды ошибиться в одном и том же человеке?
Да, раньше со мной такого не былвало. Старею.» Окститесь. Для PPPoE я безусловно выберу CHAP, потому, что к ADSL или Ethernet-линии абонента можно незаметно для него подключиться и подслушать, и если бы это был PAP, подслушали бы пароль, а в случае с CHAP — фигу с маслом. Пусть лучше провайдер знает пароли, чем будет возможна таргентированная атака на пользователей. А SSL тут вообще прикручивать некуда. 4) Чтобы инсайдеру стащить базу паролей, в одном случае ему достаточно иметь доступ к базе на любом уровне, а в другом — распространить на все сервера трояна и долго ждать.
Да ладно там, почему сразу трояна. Может быть, код просто кривоват и можно ухитриться сбрасывать пароли в лог-файл. Кстати говоря, Apache вполне можно настроить так, что он будет сбрасывать в debug-лог всю информацию, достаточную для расшифровки SSL-канала, то есть, фактически — лог с паролями в открытом виде. А еще наверняка у большинства юзеров один пароль на всё. И самым безопасным вариантом будет не давать им возможности задать пароль самостоятельно. В лучшем случае, генерировать несколько и разрешать выбрать, или генерировать и допустить незначительную модификацию. Что вообще разорвёт связь между тем, как хранится такой пароль на сервере и безопасностью остальных сервисов юзера: данный скомпроментированный сервер и так уже скомпроментирован настолько, что база утекла, и хуже уже не будет, а остальные не пострадают.
Для PPPoE я безусловно выберу CHAP, потому, что к ADSL или Ethernet-линии абонента можно незаметно для него подключиться и подслушать Это сложно сделать для одиночного пользователя и ОЧЕНЬ сложно для множественных пользователей. Потому и допустимо задействовать такой небезопасный механизм как CHAP. Если есть дополнительные меры защиты (например, логиниться можно только с указанного порта коммутатора), то и PAP допустим. Может быть, код просто кривоват и можно ухитриться сбрасывать пароли в лог-файл. И это подразумевает очень кривые руки у администраторов. И самым безопасным вариантом будет не давать им возможности задать пароль самостоятельно Не Тогда эти пароли будут постоянно забываться (недовольство сервисом), а также записываться где попало. Вот если пароль в открытом виде бывает только на клиенте — это уже не проблема.
Итого, только что получил: Здравствуйте! Вы получили это письмо, потому что пользуетесь сервисом Яндекс.Почта для домена. Дело в том, что завтра, 16 сентября Яндекс.Почта перейдёт на протокол SSL.
При передаче данных по IMAP/POP3/SMTP сервис будет требовать шифрование по SSL. Пожалуйста, измените настройки почтовых программ, которые используют владельцы почтовых ящиков, зарегистрированных в Вашем домене. Иначе с помощью этих программ нельзя будет получать и отправлять письма. Мы подготовили для Вас подробную инструкцию, как изменить настройки.
Выберите соответствующую программу. Из чего следует: ЛИБО они имеют мой пароль в открытом виде, т.к. Иначе не работал бы CRAM-MD5 (и опция «зашифрованный пароль» в thunderbird) ЛИБО мой пароль мог пересылаться в открытом виде по сети, т.к. По-другому они не смогли бы его проверить.
Уж лучше первое. Речь идёт не об основной яндекс-учётке, но тонкость в том, что я в основном и пользуюсь-то почтой той, что на ПДД. И я не настраивал эту почту в программах, использовал через веб-интерфейс, который через HTTPS, так что про себя я более или менее уверен. Скорее, второе. Наследие былых времен, когда прослушка трафика считалась чем-то крайне нереалистичным, а шифрование трафика и вообще его защита — излишеством. Чтобы ужаснуться масштабам бедствия, погуглите «wall of sheep».
Это — случаи, когда люди пересылают пароли серверу. При подключении по вайфаю. С открытой аутентификацией. На конференции по безопасности. Среди толпы кулхацкеров разного уровня грамотности (но в среднем такого, что лучше даже несмартфонный телефон оставить дома, на всякий случай).
Я к тому, что в целом хранить пароли в открытом виде на сервере, при условии того, что это необходимо для защищённой аутентификации по сети — не так уж и плохо. Даже в случае Яндекса, потому, что обязательный SSL он вводит только в третьем квартале 2014 года. А вообще доводилось и мне отравить ARP, вклиниться MitM и перехватить такой вот пароль (никакого SSL не было, конечно). В академических целях, чтобы продемонстрировать знакомому, что это довольно просто, делается на ровном месте и никакого специального оборудования не нужно. Ну тут надо выбирать. Либо повысить вероятность компрометации отдельных юзеров (а у части в любом случае украдут учетные данные, хоть теми же троянами или из-за использования одинакового пароля везде), либо повысить вероятность компрометации вообще всех юзеров. Ну а чтобы ловить чужой трафик в незашифрованном вайфае, достаточно простого пассивного сниффинга.
Никому ничего отравлять не надо. У меня давно была идея поднять дома отдельный открытый SSID и пропускать его трафик через отдельную машинку с Cain'ом. Строго в исследовательских целях, не используя эту информацию кому-либо во вред разумеется, и наверное даже с предупреждением (captive portal) о том, что трафик может анализироваться:). Чего то вы ересь несете. Пароли надо хранить, пропустив через однонаправленную хэш функцию, что бы в случае утечки их из места хранения нельзя было узнать изначальный пароль и завладеть аккаунтом. «хотя бы и через SSL» — ну если для вас ssl не является надежным методом передачи данных, то вероятно вы настолько крутой хакер-нешкольник, что и восстановить пароль из хэша для вас не составит труда.
Проблема не в том, что для проверки используется пароль в открытом виде, а в непонимании как и почему так это все происходит. Полную базу я из ветки на своем форуме вытер, так как небывалый поток скачиваний пошел после публикации на хабре, но оставил для возможности проверки. Поверьте, база с паролями существует. Мне эта ситуация интересна тем, что еще утром шестого числа прошла новость(а на других ресурсах может и раньше), были выложены базы, и тут в ночь на восьмое число такой переполох, даже по ящику показали, что пользователь хабра обнаружил утечку миллионов аккаунтов, и всем вдруг срочно эта база понадобилась и пошли первые комментарии от самого яндекса.
Нашел базу с паролями. Достаточно опасная штука. Нашел красивый ящик, зашел под его данными, оказывается если номер телефона не указан можно указать свой и этим активировать ящик.
Можно сменить пароль на заблокированном ящике не вводя секретные вопросы, какие либо личные данные и т.д. Просто злоумышленник после блокировки ящика может поменять пароль если ящик не привязан к номеру телефона. Ящик оказался мертвый, с 2008 года им не пользовались.
(ого 6 лет прошло) Никаких данных там нет абсолютно. Ящик видимо создавался, но про него сразу забыли. Но вот так вот при желании как я понимаю, можно найти старые ящики без введенных номеров и захватить много данных. Чет яндекс совсем сплоховал, даже система блокировки идеальная для взлома, кроме пароля и логина ничего для захвата не надо знать. Я не совсем тот к кому вы обращаетесь, но если всписок продолжить, наверное в нем окажусь, поэтому отвечу. Я не из паспорта, т.е.
Мое мнение не является официальным. Но вообщем я достоверно знаю, что пароли у Яндекса в закрытом виде.
И в открытом, на сколько мне известно, никогда не были (по крайней мере 10 лет назад когда я пришел в компанию, точно были закрытыми). Что на самом деле произошло вам наверное ответят официально, когда разберутся.
Комментарий kabachok ниже про то, что в списке встречаются логины по несколько раз в разном регистре, что скорее говорит о сборке паролей со ввода пользователя считаю разумным объяснением. Вообще, база однозначно получена разными способами. Нашёл один точно свой акк (совершенно случайно, просматривая список коротких адресов в поисках «красивых»), как его слили — загадка.
Проблема в том, что акк во-первых регался ну очень давно (оценочно — 2005-2006-ой), во-вторых регался с целью получить спам-почту для регистрации на другом сайте (временных емейлов тогда то ли не было, то ли я о них не знал), в-третьих кроме этого сайта врядли где-то мною использовался (т.е. На 90% уверен, что я его зарегал — ввёл и всё).
Нашёл в списке ещё один акк, предположительно временно мой, но насчёт него однозначно не уверен. Примечательно, что основного яндекс-акка (который вполне себе регулярно используется) — в списке нет. Я не хацкер, но мне кажется ничего нереально нет, в том, чтоб корневой сертификат поставить в автоматическом режиме. Другое дело, что в ff, например, они свои, но это просто можно учесть. Ну и да, пользователи не часто обращают внимание на муть про сертификаты. Я сам, заходя на малопопулярные ресурсы, редко заморачиваюсь на тему валидности.
Особенно, если мне туда пароли не вводить. Другое дело, если я помню, что сайт был с норм сертификатом и вдруг стал выдавать пижню, про невалидность — подозрительно. Но это всё настолько должно быть на уровне рефлексов, даже у продвинутых пользователей, что обычные пользователи остаются без шансов в этом плане. У меня лично винда прожила 8 лет (с миграцией по железу и с апгрейдом ОС) без антивируса. Тут главное правило — вовремя обновляться. А уж не кликать по непонятной фигне — не самое сложное. Ну это только предположение.
Если это правда, то мне грустно от глупости 1 млн людей в части безопасности. Кевин Митник уже давно это приметил, но тогда компы только появлялись. Тогда можно было, мне кажется, спокойно спросить пароль, сказав, что он был утерян в базе я не говорю, что все эти люди глупы, поскольку их нельзя винить в том, что они не знают элементарных правил безопасности в сети. Эти люди могут быть гениальны в каких-то других вещах или по крайней мере успешны, причём так, что эти умения приносят им деньги, а моё понимание правил безопасности, мне ничего не приносит, кроме самой безопасности. Вопрос философский, что лучше. И вообще интересно, существуют ли курсы повышения понимания сетевой безопасности?
Вообще хорошо было бы такие вещи в школе преподавать, на ряду с ОБЖ. Думаю, некоторые люди просто еще не до конца осознают, что именно они хранят в интернете и как это им может навредить. Они не читают эпические истории о взломе на Хабре, они не знают, что одного пароля от почты достаточно, чтобы увести все деньги, переписки, фотографии и видео, или даже по этой планете, а так же заблокировать твою мобилу и десктоп и так далее. И если в школах и заведут такие курсы в школе — их будут слушать так же, как сейчас слушают литературу/историю и т.д.
— то есть те, кому это надо. А кому это надо — тот, как известно, и безо всяких курсов разберется. Ну курсы — это хотя бы что-то. Если даже на 5% снизятся глупые уводы паролей, то это уже хорошо. Чот у меня нет истории перемещения по этой планете(( ещё кстати, меня удивляет отсталость безопасности многих крупных фирм. Был как-то у девчонки в офисе, легко поднял ssh-тоннель с порт-мапом порта прокси.
И так очень много где. Блокировка сайтов в большинстве фирм вызывает у меня смех или хотя бы улыбку. Пока не было конторы, где у меня не было бы полного доступа в интернет и для этого даже обычно не нужны админские права, хотя если нужен полноценный l3 доступ, то без админских прав никак, но это тоже не проблема. Есть много волшебных дисков, позволяющих поиметь локальные админские права.
Прочитал ваш топик, из представленных скриншотов html верстки ясно видно следующее:. У поля с паролем пустой аттрибут value, т.е. С серверов Яндекса данные не приходили. У этого же поля отсутствует аттрибут autocomplete, по дефолту его значение может быть равно on, в таком случае браузер может запомнить пароли и подставлять их автоматически.
Сейчас у аналогичных полей в верстке прописано значение для аттрибута autocomplete, поэтому проблема не воспроизводится Я сам не разбираюсь почти никак в html, поэтому поправьте, если я не прав. Если вы печатаете слепым методом, то, особенно на первых порах, часто случается, что одним пальцем вы набрали следующий символ, раньше чем успели набрать другим пальцем предыдущий.
Актуально для печати любым количеством пальцев, кроме одного. Ну и кроме того us — далеко не единственная раскладка в мире. У меня dvorak и там qwerty выглядит как x,doky (могу немного ошибаться, т.к.
Печатаю по памяти со смартфона). Но u не находится рядом с w и здесь. Так можно опечататься, наверное, при наборе со слуха человеком, не понимающим, почему qwerty пишется так, как оно пишется, либо при использовании других раскладок (я не помню, что там в какой-нибудь azerty).