Конкурс на взлом/обход нашей системы безопасности аутентификации

[Андронн]

Объявляем конкурс на взлом!

Предоставляем вам возможность попробовать свои силы в обходе системы безопасности аутентификации. Мы работали над ней довольно долго и реализовали целый ряд нестандартных надстроек для гарантии надежности. Пришло время проверить нас, самоуверенных молокососов!

Задание вполне конкретное:

В системе Тендос зарегистрирован пользователь с почтой lamer@tendos.ru. Ваша цель: узнать в каком городе живет пользователь.Результаты отправлять на почту Кристалла (info@crystallabs.ru). В письме обязательно указать порядок действий, совершенных для получения информации. Задание бессрочное.

Победителю (или победителям) будет навсегда отведено почетное место на странице авторов сервиса, гарантированно свидетельствующее о вашей квалификации, и денежный приз в размере
15 000 ₽.

[Александрович]

Объявляем конкурс на взлом!

Предоставляем вам возможность попробовать свои силы в обходе системы безопасности аутентификации. Мы работали над ней довольно долго и реализовали целый ряд нестандартных надстроек для гарантии надежности. Пришло время проверить нас, самоуверенных молокососов!

Задание вполне конкретное:

В системе Тендос зарегистрирован пользователь с почтой lamer@tendos.ru. Ваша цель: узнать в каком городе живет пользователь.Результаты отправлять на почту Кристалла (info@crystallabs.ru). В письме обязательно указать порядок действий, совершенных для получения информации. Задание бессрочное.

Победителю (или победителям) будет навсегда отведено почетное место на странице авторов сервиса, гарантированно свидетельствующее о вашей квалификации, и денежный приз в размере
15 000 ₽.

Добрый день. Не имею никакого отношения к взлому, просто начитавшись этих ваших интернетов хочу поинтересоваться: "Победителю ... и денежный приз в размере 15 000 ₽" - какие Ваши гарантии, что победитель в качестве Вашей благодарности получит именно денежный приз в размере 15 000 рублей, а не заявление в полицию?

[Андронн]

Добрый день. Не имею никакого отношения к взлому, просто начитавшись этих ваших интернетов хочу поинтересоваться: "Победителю ... и денежный приз в размере 15 000 ₽" - какие Ваши гарантии, что победитель в качестве Вашей благодарности получит именно денежный приз в размере 15 000 рублей, а не заявление в полицию?

Здравствуйте! Если кто-то сможет обойти систему безопасности, будьте уверены, он получит именно деньги.
Для нас важно найти дырки в безопасности. Пока только безрезультатно пытались простым подбором паролей зайти.
А какие гарантии, по Вашему мнению, мы могли бы предоставить на форуме?

[poltinnik]

Не вижу смысла в подобного рода конкурсах на взлом, когда вы ко взлому готовы и ожидаете его. Вас взломают, когда вы не будете этого ждать. Взломы происходят именно из-за реальных ламеров в сети, а не из-за заранее подготовленного имэйла lamer@tendos.ru

[Андронн]

Не вижу смысла в подобного рода конкурсах на взлом, когда вы ко взлому готовы и ожидаете его. Вас взломают, когда вы не будете этого ждать. Взломы происходят именно из-за реальных ламеров в сети, а не из-за заранее подготовленного имэйла lamer@tendos.ru

lamer@tendos.ru - это логин пользователя в Тендос. Если смогут взломать сайт, то легко узнают и все данные по нему, в том числе и город.

А в целом, если кто найдет дыру в безопасности сайта, напишите на почту Кристалла (info@crystallabs.ru). Без награды не останетесь. (В письме обязательно указать порядок действий, совершенных для получения информации.)

[diaplaz]

На мой взгляд, конкурс изначально нелепая затея: кто реально сломает вашу защиту, тому вообще до фонаря эти 15 тысяч (сумма смешная), потому как при молчании получит значительно больше, да и афишировать свои умения и знания на этом поприще как-то, по меньше мере, недальновидно и чревато. И даже если найдётся такая личность, что найдёт дыру и сообщит вам об этом, то как показывает практика, с одной дырой попутно ещё парочка вылезает. За одну дыру получит свой приз, а остальными будет пользоваться (если возникнет желание)

[Андронн]

может вы и правы, т.к. никто не откликнулся (или не возникло желание попробовать).

[andrek]

1. Не использовать несколько виртуальных сайтов на сервере, объясню популярно - это когда рядом с вашим супер защищенным сайтом параллельно крутится какой нибудь phpbb форум через который вас и поимеют.
2. Стараться не использовать распространенные открытые движки, либо нужно понимать сильные и слабые стороны. т.к. обновляться вы будете всегда позже чем выйдет обновление безопасности, за этот промежуток вас взломают.
3. Следить за обновлениями в операционной системе.
4. Ну и конечно не забывайте про инсайд, есть люди которые вам делали сайт, есть люди которые обслуживают сервак, есть люди которые наполняли контент, и конечно они обычно увольняются.

это все бесплатно.

Ну ладно, вы все условия выполнили у вас крутая защита.... Но люди то не роботы, люди ошибаются.
1. выявят ваш персонал кто наполняет контент (обычно у них пароли от сайта все сохранены в браузере), их email публичны, разошлют вирусов троянчиков, поимеют доступ на из рабочие места.
2. просто устроятся к вам на работу, и взломают вашу локальную сеть она обычно всегда хромает.
3. у вас нет двухфаторной аутенфикации? тогда поиметь также ваших клиентов, из публичной базы тендеров, штук 10 клиентов и опубликовать от их имени несколько крупных тендеров, вот вам скандал несуществующего взлома сайта и черный пиар.