Случайны выбор дневника Раскрыть/свернуть полный список возможностей


Найдено 371 сообщений
Cообщения с меткой

vk.com - Самое интересное в блогах

Следующие 30  »
Leovik10

МОЯ СТРАНИЦА В КОНТАКТЕ

Понедельник, 22 Мая 2017 г. 16:28 (ссылка)

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

[Из песочницы] Способы деанонимизации руководителей сообществ и приложений «Вконтакте»

Четверг, 06 Апреля 2017 г. 15:13 (ссылка)

Все описанные способы были отправлены «Вконтакте» через hackerone, но «Вконтакте» решили, что эти способы не являются проблемами. Решение было принято через 6 месяцев после изменения статуса репорта на «Triaged». Я пытался переубедить, но ответа не увидел.



Многие продемонстрированные ссылки у вас работать не будут, т. к. они разные для всех.



Деанонимизация руководителей сообществ



Через видеозаписи



При ограниченном доступе добавлять новые видеозаписи могут только редакторы и администраторы сообщества.


На странице видеозаписей сообщества есть вкладка «Загруженные», в которой отображаются только видео, загруженные с компьютера. Если видеозаписи сообщества ограничены, то во вкладке «Загруженные» отображаются видеозаписи, которые загрузили руководители. Проблема в том, что прямые ссылки на видеозаписи содержат идентификатор загрузчика. Посмотрев идентификаторы можно деанонимизировать руководителей.



Пример на созданном сообществе: vk.com/club143400909.



image



Вытягиваем прямую ссылку или hls-поток на видеозапись: vk.com/video-143400909_456239017

Прямая ссылка: cs632300.userapi.com/4/u237115941/videos/5115525024.240.mp4

Hls-поток: cs632300.userapi.com/video/hls/4/u237115941/videos/5115525024/index-f1-v1-a1.m3u8

Видим, что руководитель vk.com/id237115941.



Пример на сообществе: vk.com/meduzaproject (они разрешили)

Видеозапись: vk.com/video-76982440_456239236

Прямая ссылка: cs632603.userapi.com/1/u1564856/videos/84c5da2b5a.240.mp4

Руководитель: vk.com/id1564856



Видеозапись: vk.com/video-76982440_456239231

Прямая ссылка: cs632606.userapi.com/3/u464017/videos/7ec04da5ac.240.mp4

Руководитель: vk.com/id464017

Всего по всем видеозаписям было найдено 4 руководителя.



Также есть возможность деанонимизировать руководителя по обложке от видео с другого источника (youtube, rutube и др.). В ссылке на обложку содержится идентификатор первого загрузчика этого видео на vk.com, т. е. этим способом можно деанонимизировать только зная, что видео загрузил руководитель и он был первый. Это может быть результат конкурса или что-то еще.



Видео: vk.com/video-143400909_456239018

Ссылка на обложку: pp.userapi.com/c836123/u237115941/video/l_5881cb5e.jpg

Видим, что руководитель vk.com/id237115941.



Через аудиозаписи



Проблема в том же. Прямая ссылка на аудиозапись содержит идентификатор загрузчика. Нигде не отображается, добавлена аудиозапись из поиска или загружена с компьютера, поэтому этим способом можно деанонимизировать только зная, что аудиозапись загрузил руководитель. Такие аудиозаписи могут выделяться (запись эфира с радио и т. п.).



Аудиозапись в сообществе vk.com/club143400909: Мелодии – Карело-финская полька

Прямая ссылка: psv4.userapi.com/c815220/u237115941/audios/eb9137fb510b.mp3

Видим, что руководитель vk.com/id237115941.



Пример на сообществе vk.com/meduzaproject.

Аудиозапись: «Медуза» – Как узнать, сколько стоят «фужеры» Собянина?

Прямая ссылка: psv4.userapi.com/c613316/u1564856/audios/1cb08ff13792.mp3

Руководитель: vk.com/id1564856



Через документы



Прямая ссылка на документ содержит идентификатор загрузчика. Зная, что документ загрузил руководитель можно деанонимизировать. Многие загружают информацию о проводимых конкурсах, правила группы.

Пример на созданном сообществе vk.com/club143400909.

Документ: 1.ts

Прямая ссылка: cs7064.userapi.com/c812339/u237115941/docs/c134bbccadba/1.ts



Если документ является изображением, то можно деанонимизировать по маленькой копии.

Документ: G.png

Ссылка на маленькую копию: pp.userapi.com/c812235/u237115941/-3/m_56c1679b77.jpg

Видим, что руководитель vk.com/id237115941.



По концу идентификатора



Этот способ можно комбинировать с другими способами. Прямая ссылка на загруженное изображение содержит конец идентификатора загрузчика. Можно получить список всех участников сообщества и отобрать тех, у кого конец совпадает. Если сообщество маленькое, то скорее всего в результате будет 1 страница, если большое, то несколько, но там точно будет руководитель. Также можно деанонимизировать автора записи, если в записи есть загруженное изображение. Если сообщество большое и в результате отбора много идентификаторов, то можно получить список нажавших «мне нравится» записи и отобрать (вдруг автор нажал).



Прямая ссылка на фотографию группы: pp.userapi.com/c836123/v836123941/2362f/5TA-jc1s8Q0.jpg

Конец идентификатора: 941

Руководитель сообщества vk.com/id237115941.



Прямая ссылка на обложку сообщества vk.com/meduzaproject: cs7064.userapi.com/c639129/v639129017/92f9/itZoAG-k1GQ.jpg

Конец идентификатора: 017

Руководитель: vk.com/id464017



Деанонимизация главного администратора приложения



В настройках приложения можно загружать иконку приложения 16x16, которая после загрузки получает ссылку, в которой присутствует идентификатор страницы администратора. В ссылке на иконку всегда отображается идентификатор главного администратора, даже если иконку загрузил неглавный администратор, а другой пользователь-руководитель с правами. Также раскрыв администратора приложения, вы еще раскрываете руководителя сообщества приложения, т. к. группу в настройках приложения можно установить, если являешься в ней руководителем.



Ссылка: pp.userapi.com/cЦифры/uИдентификатор_администратора/имя.gif
Original source: habrahabr.ru.

https://habrahabr.ru/post/325840/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
Встреча_с_прекрасным

Мастер-класс по вязанию обезьянки крючком от SunnyBunny

Четверг, 16 Февраля 2017 г. 15:48 (ссылка)

источник :  ᴥ ФанКлуб вязанных игрушек ᴥ «AMIGURUMI» ᴥ






Друзья! Хочу поделиться с вами своим мастер-классом по вязанию обезьянки крючком! Вяжите с удовольствием!



jOwTpYZnJAQ -обезьянка крючком (604x532, 48Kb)






Вложение: 5103721_masterklass_obezyanka.pdf

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Частичный обход аутентификации vk.com [BugBounty]

Четверг, 26 Января 2017 г. 22:35 (ссылка)

Поставил перед собой задачу — обойти аутентификацию Вконтакте. Когда ip адрес человека, который входит на аккаунт vk меняется, нужно ввести полный номер телефона. Если злоумышленник входил через телефон; пароль, то он сможет совершать действия на аккаунте. Но если он входил через email; пароль или через подмену cookies, то он не сможет совершать какие либо действия на аккаунте.

image



Вся информация предоставлена исключительно в ознакомительных целях. Я не несу ответственности за любой возможный вред, причиненный материалами этой статьи.





Брутфорсинг здесь работать не будет, так как у нас всего 3 попытки ввести номер телефона. Пытался выполнять все возможные get и post запросы, но все время происходил редирект на https://vk.com/login.php?act=security_check.

image

Можно было бы выполнить post запрос из другого аккаунта, для этого нам нужен csrf token(hash), но я смог найти только токен для логаута https://login.vk.com/?act=logout&hash=dbefb8b0bba973b95e&reason=tn&_origin=https://vk.com.

Нам предлагают изменить номер телефона на аккаунте vk.com/restore?act=change_phone, здесь можем видеть количество непрочитанных сообщений ( не баг, а фича, но убрать это не мешало бы ) и настройки пунктов меню.

Чуть позже, случайно я наткнулся на функционал шаринга ссылки https://vk.com/share.php?url=https://ok.ru, на мое удивление, эта ссылка открылась

image

Попытался запостить себе ссылку на стенку и получил сообщение



Поздравляем! Ссылка появится на Вашей странице.

image



Сначала не поверил, подумал, что security_check заблокировал всё, но зашел на стенку и увидел, что ссылка успешно запостилась)))









На стену можно расшаривать не только ссылки, а и обычный пост, для этого нужно оставить параметр url пустым https://vk.com/share.php?url=.

image



Также, если мы владелец или администратор сообщества, мы можем запостить на стену сообщества запись в обход ввода номера телефона.



Друзьям мы не можем отправить сообщение, так как vk.com/login.php?act=security_check блокирует получение списка друзей.

Запрос отправки url другу имеет вид



POST /al_mail.php HTTP/1.1
Host: vk.com
User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:50.0) Gecko/20100101 Firefox/50.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: ru-RU,ru;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate, br
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: https://vk.com/share.php?url=">
Content-Length: 139
Cookie: remixlang=0
Connection: close

act=a_send&al=1&chas=89c444076031dff154&from=share&media=share%3A0_0&message=ww&share_desc=&share_title=&share_url=&title=&to_ids=204690***


, где to_ids — иды друзей, chas — csrf токен, значит, мы не можем просто подставить ид друга, токен нам мешает. С запроса шаринга ссылки на стену токен мы взять не можем, так там совсем другая переменная — hash=bb6e1ce8db5f1419e3.



Сразу после обнаружения уязвимости я написал репорт на h1, мне сказали, что это дубликат, ранее уже присылали такой репорт.

Чтобы узнать примерную дату, когда прислали репорт, я обращаюсь к поиску по репортам, смотрю репорт, ид которого наиболее близок к моему и смотрю дату hackerone.com/reports/170894. Оказалось, репорт этот прислали 4 месяца назад.



Очень печально, что vk за это время не смогли исправить уязвимость. Некоторые репорты висят годами, уверен, что много баг хантеров в bug bounty vk наткнулись на дубликаты, так как ни для кого не секрет, что у ВК много репортов и много работы, а безопасников очень мало.



Пруф — уязвимость в видео файлах, которую прислал Алексей Писаренко. Ожидает устранения уже 2 года!!

image



Ещё один репорт, который висит уже 1 год

image



Эта статья создана только для того, чтобы привлечь внимание разработчиков Вконтакте, надеюсь, они исправят данную уязвимость, увеличат штат безопасников и начнут оперативно устранять уязвимости.



Выводы: Цель фишеров — спамить, она остается выполнимой, аутентификацию можно забайпасить.



P.S: В процессе обхода аутентификации обнаружил уязвимость, которая позволяет подписаться на любую групу vk, не зная номера телефона жертвы, и ещё одну, с помощью которой можно полностью обойти ввод номера, но пока об этом не написал репорт.

image

P.P.S: Об импакте уязвимости:

1. Эта уязвимость можем использоваться при массовых фишинговых атаках на пользователей(сейчас набирает популярность создание фейков ВК и распостранение их через личные сообщения, а также соц инженерия, применимая на друзьях взломанных аккаунтов), часто фишеры при получении логов сталкиваются с проблемой входа в аккаунт и дальнейшего распостранения url фишингового сайта(получают только email;password), с этой уязвимостью они могут получать намного больше логов за счет того, что делятся своей ссылкой на стене и в группе жертвы…



2. Чтобы заблокировать или заморозить страницу пользователя — нужно поделится запрещенной ссылкой у себя на стене и аккаунт сразу заблокируют.



Twitter: https://twitter.com/MaximYaremchuk

VK: https://vk.com/qiece. Буду писать туда много чего интересного.
Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/320408/

Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Как SEO-агентство потратило 600 тыс.руб. на рекламу и что из этого вышло

Среда, 25 Января 2017 г. 15:26 (ссылка)

Всем привет.



Мы — SEO-агентство «Иващенко и Низамов».



В октябре прошлого года мы поняли, что наши каналы лидогенерации не приносят достаточного количества заявок и продаж. Вроде не новички на рынке, но и не старожилы: не можем почивать на лаврах первопроходцев. «Сарафан» работает, но для агрессивного роста этого недостаточно. А впереди сезон деловой активности: 70% продаж приходится на ноябрь-декабрь и март-апрель.



И у нас был бюджет. Около 600 тыс.руб. Хочу поделиться полученным опытом.







Конечно, мы решили потратить эти деньги на рекламу. Цель: сделать максимальные продажи. Сливать всё на контекст было бы глупо. Реклама в рейтингах SEO-агентств уже расписана на долгое время вперёд. Пришлось думать.



О нашей воронке продаж



Наша ЦА: директора и владельцы SMB, маркетологи.



Специфика работы делает нашу воронку продаж достаточно простой. В 99,9% случаев мы начинаем знакомство с потенциальным клиентом с SEO-аудита его сайта. Таким образом, первый контакт — это оформление заявки на аудит. Это позволяет нам с высокой точностью оценивать результаты разных рекламных каналов: как с помощью простого отслеживания источника перехода, так и с помощью промокодов на бесплатный аудит.



Соответственно, реклама уводит посетителя на специальный лендинг с формой заявки на бесплатный аудит. Хорошо, если у посетителя к этому моменту ещё и промокод есть.



Выбор рекламных площадок



Это был не первый наш опыт в рекламе, но впервые у нас был приличный бюджет.



До этого момента мы пробовали «Яндекс.Директ», таргетированную рекламу на vk.com и некоторые другие каналы, не поддающиеся масштабированию.



Следует заметить, что ни контекст, ни таргет не дал самоокупаемости даже на дальнюю перспективу.



Решили попробовать новые каналы. Старались подбирать что-то необычное, дабы избежать эффекта «баннерной слепоты». Список получился следующий:




  • Таргет vk.com. Всё-таки огромная аудитория.

  • Прямая реклама в сообществах в vk.com.

  • Реклама в Telegram-каналах.

  • Реклама на Pikabu.

  • Партнёрские материалы на «Медузе» и vc.ru.





Процесс



Таргет vk.com



Креатива не много, а зря. Сейчас уже понимаем, что можно было сделать объявление более привлекательным. Да и неплохо бы было протестировать промо-посты.



Тем не менее, тогда объявление казалось сносным:







Реклама в сообществах vk.com



В первую очередь я заглянул в раздел «Реклама в сообществах» рекламного кабинета соцсети. Попробовал найти там что-то сносное тематическое — тщетно. Либо паблики в стиле «МДК» с миллионным охватом и завышенным ценником, либо совсем какой-то шлак.



Начал искать напрямую. Нашёл Tigermilk. Цены более адекватные, за пакетное размещение дали скидку. К тому же, принимают к оплате безнал.



Решили разместиться в пяти пабликах сети: Esquire, «Шедевры рекламы», «Дневник успеха», «Якорь | Мужской журнал» и даже «Интеллектуальный юмор». Посты примерно следующего содержания:







Реклама в Telegram-каналах



Сначала я пошёл на свежую на тот момент биржу Telega. Каналов нужной тематики оказалось не просто мало, а почти ноль.



К счастью, каким-то чудом на меня вышла Лиза Апрельская. Она, насколько я понял, специализируется на этом рекламном канале и выступает посредником. Тем не менее, работать с ней оказалось легко и приятно, а как бонус — возможность оплаты по безналу (в Telega такой функционал отсутствовал).



В итоге через неё мы разместились на трёх каналах: Digital Eva, «IT и медиа | Палач Говорит» и «Русский маркетинг». Плюс один через биржу: «Эрудит».



Посты под каждый канал готовились индивидуально, каждый со своей «фишечкой». Примеры:











Pikabu.ru



На «Пикабу» действует своя рекламная система с личным кабинетом. Оплата за показы. Доступно пополнение баланса по безналичному расчёту. В целом, всё довольно прозрачно работает.



Рекламный блок размещается между постами. Наш имел следующий вид:







Meduza.io



«Медуза» — онлайн-СМИ от бывшей редакции «Ленты.ру». Одно из немногих на сегодняшний день независимых изданий. Кроме того, у них действительно мало рекламы и интересные форматы, а цены пока относительно невысокие.



Публикация на «Медузе» обошлась дороже всего, но оно и понятно: всё-таки СМИ. Пока готовили «карточки» (специальный формат издания для объяснения читателям каких-то тем) — я успел пообщаться с менеджерами, журналистами, главредом. Целая цепочка.



Что понравилось: всё очень профессионально. С ответственным за написание статьи человеком я пообщался по скайпу буквально минут 40 — и через некоторое время у нас уже была статья, почти не потребовавшая доработок.



Мы размещались «полным пакетом»: статья на сайте и в мобильных приложениях, анонсы во всех соцсетях, а также в «Вечерней Медузе» — ежедневной рассылке новостей за день.



При выходе публикации дают доступ на страницу со статистикой публикации: сколько просмотров получил анонс материала, сколько раз прочитали саму статью, сколько кликов совершили по ссылкам, сколько лайков в соцсетях и т.д.



Статистика «Инсайт» от Meduza выглядит примерно так:







Сама же публикация:







vc.ru



vc.ru — одна из самых популярных площадок на тему IT, бизнеса и маркетинга.



Есть у меня одна история, почему мы обязательно хотели разместиться на vc.ru. Ещё в январе 2015 я опубликовал довольно обширный комментарий в статье, где HR-специалист даёт советы по поиску SEO'шника. Бой был неравный, конечно.



В конце комментария я опубликовал приписку, что, раз вы дочитали этот огромный комментарий до конца, вот вам подарок: бесплатный аудит по промокоду такому-то, заказать можно тут-то.



За два прошедших с того момента года с этого комментария пришло порядка 20-30 заявок, но, что главное, у них был какой-то нереально высокий показатель конверсии: многие приходили и уже оплачивали контракт буквально на следующий же день.



Тут, на мой взгляд, совпало два момента:


  1. Сам комментарий показался пользователям действительно экспертным. Особенно на фоне других комментариев и довольно слабой статьи от HR-специалиста.

  2. На vc.ru действительно есть наша целевая аудитория: владельцы и директора SMB, маркетологи.





Мы хотели получить аналогичный эффект.



Довольно много сил мы потратили на написание материала (это единственная площадка, где мы решили писать самостоятельно). Тем не менее, вышло не очень. Думаю, следовало лучше продумать тему и саму публикацию.



В итоге вышло примерно так:







Результаты



Самое интересное: результаты всех этих каналов. Постарался в удобном виде представить всё в одной таблице:







Суммарные затраты: 610 720 руб.

Суммарные продажи: 642 500 руб.



Выводы



Которые мы сделали для себя по итогам проведённой кампании.




  • Получили необходимую загрузку отдела продаж.

  • Как итог, выполнили план продаж.

  • Повысили уровень доверия, если можно так выразиться. Пример: с «Медузы» пришёл довольно известный бренд. Коммерческий директор сказал, что будет работать с нами только потому, что нас рекомендовала «Медуза».

  • Публикуясь на крупных площадках, нужны быть готовым к серьёзным пикам в нагрузке: за 2 дня после публикации на «Медузе» мы получили наш средний месячный объём заявок. Хоть мысль и очевидна, нужно заранее продумывать тактику на случай физической нехватки времени на работу с заявками (мы к этому были готовы и отработали всё почти без задержек).

  • Telegram-каналы — интересный и, в целом, пока что эффективный рекламный инструмент. Но выбор площадок и охват пока минимальны.

  • Прямая реклама в сообществах vk.com даёт мизерный охват. Уже через час после публикации какая-либо активность вокруг неё фактически стремится к нулю.

  • Интересные результаты дал «Пикабу». Не смотря на то, что ни одной продажи не случилось, показатели CPC и CPA довольно хорошие. Заявки вполне хорошего качества. Нужно пробовать на больших объёмах.

  • vc.ru — площадка скорее для наращивания уровня доверия, нежели для лидогенерации. Без действительно экспертных материалов лучше и не публиковаться. А хорошие материалы там зачастую и бесплатно проходят.





Мы будем и дальше пробовать различные каналы, подробно документируя их эффективность. Если тема будет интересна читателям — постараюсь продолжить публиковать полученный опыт.



P.S. Ну и если вдруг тема SEO для вас актуальна, вы знаете куда идти за бесплатным SEO-аудитом. Промокод HABR сработает лучше всех остальных:)



Продолжать публиковать результаты наших рекламных терзаний?




























Проголосовало 7 человек. Воздержавшихся нет.





Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.


Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/319980/

Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
Встреча_с_прекрасным

ИНТЕРЕСНЫЕ ССЫЛКИ на vk.com. Вязание Мастер классы

Понедельник, 16 Января 2017 г. 16:20 (ссылка)










лого=pdPq6l2cTXM (200x500, 124Kb)

✔ Сохрани себе ☚ヅ✌


≣ Группы по вязанию ≣



👉 ВЯЗАНИЕ РУКОДЕЛИЕ - https://vk.com/knitting


👉 Вязание для детей - https://vk.com/knitskids

👉 Вязание для мужчин - https://vk.com/public104157568

👉 Вязание крючком - https://vk.com/kryuchok_v

👉 Вязание спицами - https://vk.com/spicami_v

👉Мастер классы - https://vk.com/public24181742

👉 Рукоделие- https://vk.com/public41809514

👉 Ярмарка рукоделия - https://vk.com/club78826635

👉Узоры крючком -https://vk.com/club83929919

👉Узоры спицами - https://vk.com/club83918662



далее
Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
maxi4u

Жанна Эрлих – агент высшей категории!

Вторник, 13 Декабря 2016 г. 14:35 (ссылка)





ז'אנה ארליך הינה סוכנת ביטוח מורשית - מקצועית, אחראית ובעלת ותק וניסיון רב בתחום - העובדת מול חברות הביטוח הטובות בארץ ומציעה את כל סוגי הביטוח הקיימים ללקוחותיה: ביטוח דירה ביטוח רכב ביטוח חיים ביטוח בריאות ביטוח נכס ביטוח עסק ביטוח משכנתא ביטוח נסיעות ביטוח אחריות (אחריות מעבידים, אחריות מקצועית) פנסיה ועוד... Жанна Эрлих – агент высшей категории. Её основные качества – профессионализм, интеллигентность, обязательность и информированность. Она предлагает все виды страхования: пенсионное, страхование жизни, здоровья, ответственности, имущества, бизнеса, доходов, машкант, туристов. לקוחות המבטחים את רכבם אצל ז'אנה ארליך, נהנים מתנאים מיוחדים: ביטוח מקיף ללא השתתפות עצמית ביטוח מקיף חלקי - רק גניבה או רק תאונות ביטוח מופחת לנשים רכב חלופי חינם Жанна предлагает своим клиентам особые условия страхования машин: страховка "макиф" - без личного участия машина взамен – бесплатно страховка "Только от угона" или "Аварии" страховка для водителей-женщин по особой цене אצל ז'אנה, כל לקוח נהנה משירות ייחודי ומיחס אישי, וכן מביטוחי דירה במחירים אטרקטיביים ומביטוחי המשכנתא הזולים בארץ - כולל ביטוח חיים, פנסיה ופיצוי במקרה של אובדן כושר עבודה. Только у Жанны эксклюзивные цены на страховку квартир, самая дешёвая страховка машканты с компенсацией в случае потери трудоспособности. Звоните и консультируйтесь! הענבל 7, פתח תקווה 49733, טל': 03-9339466, טלפקס: 03-9339466, נייד: 052-2538758 ул. Инбаль, 7, Петах-Тиква, 49733 тел: 03-9339466, телефакс: 03-9339466 мобильный: 052-2538758 #музыка #yearinreview2016 #Видео #видеосъемка #страхование #страховки #страховка








 





ВЫБЕРИ СЕБЕ ПРАВИЛЬНО СТРАХОВОГО АГЕНТА. Жанна Эрлих - страховой агент высшей категории. Страховка “Макиф” без личного участия. Машина взамен - БЕСПЛАТНО! Особые условия страхования машин. Личная страховка всего за 1 шек. в д...











Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
maxi4u

Телефон: 03-9339466 Мобильный: 052-2538758 ул. Инбаль 7, Петах-Тиква, 49733

Вторник, 13 Декабря 2016 г. 14:33 (ссылка)






Добрый день, мои уважаемые читатели! "Страхование квартир в Израиле" – тема нашей беседы. Но, давайте, сегодня вопросы задавать вам буду я. Вы постараетесь мысленно на них ответить, а я здесь же прокомментирую варианты ваших ответов, ладно? Застрахована ли ваша квартира? Если нет, то почему? Вот обычные ответы: - Да нечего мне страховать-у меня нет ничего особо ценного! –Я живу на "схируте" – вот куплю свою квартиру, тогда застрахую... – У меня квартира застрахована в банке! - Трудно с деньгами сейчас... ну и т.д., и т.п. Знакомо, не правда ли? Давайте разберемся в этом. Когда речь заходит о страховке квартиры, у большинства возникают ассоциации с кражами и только. Многие рассуждают приблизительно так: " Бриллиантов у меня нет, а мой старый диван (холодильник, телевизор и т.д.) мне не жаль. При этом в голову совершенно не приходят мысли о, не приведи Б-г, пожаре, который может уничтожить не только личное имущество, но и, что гораздо хуже, имущество соседей по дому (зачастую очень дорогое). Кроме того, и старый холодильник для вас еще, видимо, ценен, ведь не зря вы его пока не сменили на новый и роскошный. Далее, разумеется, вам ясно, как обременительно для любой семьи выплачивать ссуду за купленную квартиру. По этой причине многие из вас даже не решаются на покупку. Так вот, должна вам сказать, что, к сожалению, есть семьи, которые, не имея своей собственной квартиры, по решению суда вынуждены выплачивать несколько ссуд за чужие, пострадавшие по их оплошности, поскольку не имели страховки, так как руководствовались соображениями, приведенными выше. Этим людям не позавидуешь! Приведу еще пример. Когда человек покупает машину за 100 тыс. шекелей, он ни секунды не думая, тут же делает на нее страховку, ведь так? А квартира – это покупка всей жизни, и стоит она в несколько раз дороже – разве можно оставить ее без защиты? Не зря банки, пока мы платим машканту, требуют от нас сделать страховку квартиры в их пользу. Но знайте, что здесь есть подводные камни: 1) Если, допустим, вы должны банку 300 тыс. шекелей, то квартира поначалу застрахована на эту же сумму. Но по мере выплаты ссуды часто и сумма страховки вашей квартиры резко уменьшается, а это значит, что в случае катастрофы (напр. землетрясения), вы получите гораздо меньшую сумму, чем рассчитывали. А, кстати, вы знаете сумму вашей страховки? Поверьте, из всех людей, с кем я беседовала на эту тему, ни один не знал этих цифр, а ведь это необыкновенно важно! Более того, многие по мере погашения ссуд сами стремятся уменьшить сумму страховки квартиры, не понимая того, что "рубят сук, на котором сидят". 2) Теперь, даже, если ваша квартира постоянно застрахована на 300-400 тыс шекелей (речь идет только о строении, а не об имуществе), то достаточно, если хотя бы один из жильцов дома не хотел (или не мог) отстраивать свою квартиру, чтобы у вас не оставалось другого выхода, как строить либо покупать что-то в другом месте. А для этого нужны совсем другие деньги! Что же делать? – спросите вы. Так вот для этого делают страховку так, чтобы в нее входило условие "эрех карка", т.е. стоимость земли. Я, например, стараюсь, по возможности, сделать своим клиентам именно такую страховку. Я не останавливаюсь здесь подробно на разных страховых случаях, но хочу сказать вкратце, что страховка квартиры покрывает любую вашу оплошность по отношению к "третьей стороне", даже такую, как нечаянную шалость вашего ребенка, разбившего мячиком витрину дорогого магазина, или газон, случайно поврежденный вами во время пикника. Она покрывает травму человека, приходящего к вам убирать квартиру, может вернуть вам деньги за утерянный фотоаппарат и многое другое. Нужно только ее сделать. Жду ваших обращений ко мне по этому поводу. Всегда к услугам. Телефон: 03-9339466 Мобильный: 052-2538758 ул. Инбаль 7, Петах-Тиква, 49733



Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
maxi4u

Каталог бизнесов!

Вторник, 13 Декабря 2016 г. 14:05 (ссылка)


Установка, ремонт и замена всех видов бойлеров и солнечных зеркал



 


 



■  Мы специализируемся на продаже, установке и обслуживанию солнечных и электрических бойлеров, и мы рады, чтобы дать вам возможность насладиться горячей водой.



■  Мы предлагаем вам самые лучшие продукты и самые современные, доступные цены и высокий уровень персонального обслуживания. За годы нашей работы – Мы завоевали уважение сотен наших клиентов, имеем положительные отзывы, и всегда можем предоставить Вам устные рекомендации от наших клиентов.



■  Наша команда состоит из высококвалифицированных специалистов, которые будут выполнять установку для вас быстро и профессионально.



■  Мы также предоставляем услуги по обслуживанию и ремонтные услуги для всех типов бойлеров быстро и эффективно в поставленные сроки.



■  Мы отдаем себе отчет в важности наличия горячей воды в семейной жизни и сделать все возможное, чтобы дать быстрое и эффективное обслуживание.



■  Мы решим любые проблемы, возникающие с вашим водонагревательным оборудованием. От ремонта и замены неисправных деталей до продажи и установки нового оборудования.



■  Скорая помощь в течении 24 часов, гарантия на все виды работ. Качество, надежность, быстрое обслуживание принцип нашей работы.  ☎ 054-4726279  



 



   





 



 Установка, ремонт и замена всех видов бойлеров и солнечных зеркал


Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
maxi4u

Добрый день, мои уважаемые читатели!

Вторник, 13 Декабря 2016 г. 14:02 (ссылка)




Добрый день, мои уважаемые читатели! В продолжение моих с вами бесед о "Страховании в Израиле" придется мне сегодня многих из вас огорчить. Поэтому постараюсь, как в известной притче, смеяться (знаете, когда ничего больше не остается…), и призываю к иронии и вас. Итак, о чем у нас пойдет сегодня речь? Так и хочется воскликнуть: "Товарищи! Революция, о которой так долго говорили большеви… простите… члены нашего кнессета, и о которой мечтали все мы, наконец-то, совершилась!", а именно, пронеслась весть о том, что якобы подешевела обязательная страховка… Ах,как это чудесно! - уверена, воскликнули вы, узнав об этом. Вот об этом "чуде" мы сегодня и поговорим. Действительно, с 1-го января 2017 очень сильно изменились тарифы на "битуах хова", но как именно? Безусловное облегчение почувствуют молодые и новые водители, особенно женского пола. Так что они и их родители, если платят страховки за своих подросших, но финансово зависимых детей могут радостно улыбнуться, а мы - от всей души и искренне их поздравить. Тем более, что любой из нас когда-то оказывается на этом месте… Но здесь мое воодушевление и радость, к сожалению, иссякают. Все вы, конечно, помните формулу сохранения материи: сколько в одном месте убыло, столько же в другом прибыло. Выражение это, как и закон, бессмертны, что и доказывает наша родная израильская экономика, богатая находчивыми еврейскими умами. Чтобы не быть голословной поясню в цифрах и простым языком. Для того, чтобы получить ощутимую скидку (от 100 и выше шекелей) на обязательную страховку, в первую очередь, нужно ездить на новом автомобиле, оснащенном системами безопасности вроде ESP и пр., которые появились в последнее время, да и то не во всех марках машин. Модели более ранние этими системами не оборудованы, а значит, их владельцам о скидке можно только мечтать. В Израиле насчитывается приблизительно 3 млн. частных машин (у меня данные на конец 2014 г. – более поздней статистикой не располагаю, но уверена, она еще более впечатляет). Из этого количества примерно 2 млн. – новые и не совсем новые машины и, примерно, 1 млн. – старые (свыше 9-ти лет). Деньги на скидки Минфин решил вытащить из излишков фонда "Карнит", обеспечивающего выплаты людям, пострадавшим в авариях, где нельзя было рассчитывать на получение денег от страховых компаний. Речь идет о накопившихся 1,2 миллиарда шекелей, которые собираются вернуть автовладельцам за два года, не упоминая, впрочем, что будет дальше, когда эти деньги закончатся… Но, ладно, не будем неблагодарными, скажем спасибо и за это! Однако, при сем посчитаем, сколько же придется на долю каждого? Скажу честно, я посчитала! Получилось в среднем 200 шекелей на человека. Но, если учесть, что скидку от 600 до1,600 (!) шекелей получат молодые и новые водители, а их немало, и довольно приличные скидки - владельцы новых машин (правда, в основном, со стажем вождения свыше 16 лет!), то легко выясняется, что остальным никаких миллиардов не хватит… И это скорее напоминает подсчет средней зарплаты по стране, которая перевалила за 9,100 - расскажите о ней тем, кто получает минимум… Ну, а что же страховые компании?! - спросите вы. - О!!! – отвечу я и вновь напомню о нашей национальной находчивости. Не желая вступать в пререкания с Минфином, но и прекрасно понимая, что благими пожеланиями, да еще противоречащими статистике множества несчастий на дорогах, выстелен путь в финансовый ад, страховые компании тут же взвинтили цены владельцам стареньких машин (коих среди вас, друзья мои, увы, большинство)! При этом не забыли так же наказать нарушителей, лишенных когда-либо (!) прав, и тех, кто выдвигал ранее иски по травмам. Ну, а тут уж тот съел, кто смел – одна компания стремится превзойти другую, точно, как в известном диалоге из моего любимого Жванецкого: "Мадам, почему у Вас семечки по 30 копеек стакан, когда у других -20?! - Потому что 30 копеек больше!" Словом, за что боролись… Грустно, господа. Но жизнь продолжается, звоните, подумаем, что можно сделать. Всегда к вашим услугам, страховой агент Жанна Эрлих. 03-9339466, 052-2538758








 





ВЫБЕРИ СЕБЕ ПРАВИЛЬНО СТРАХОВОГО АГЕНТА. Жанна Эрлих - страховой агент высшей категории. Страховка “Макиф” без личного участия. Машина взамен - БЕСПЛАТНО! Особые условия страхования машин. Личная страховка всего за 1 шек. в д...





Комментарии (0)КомментироватьВ цитатник или сообщество
rss_rss_hh_new

Двойная аутентификация Вконтакте — секс или имитация?

Вторник, 22 Ноября 2016 г. 17:02 (ссылка)

Всем привет! Недавно решил протестировать аппаратный OTP токен с возможностью перепрошивки по NFC, подключив его к своей учетке в vk.com. При этом наткнулся на недоработки в системе двухфакторной аутентификации Вконтакте, которые показались мне довольно существенными. Хочу поделиться своими наблюдениями с вами, так как в самом VK ошибок не признали. Возможно, я немного параноик? Интересно, что скажете вы, хабровчане.







Оговорюсь, что перед тем, как приступить к работе над статьей, все свои наблюдения я изложил на HackerOne. Ни один из описанных багов Вконтакте не признали. Но когда перед публикацией статьи я решил сделать подтверждающие скриншоты, оказалось, что один из багов все-таки был исправлен. То, что к моим словам прислушались, не может не радовать. Жаль только, что ребята даже “спасибо” не сказали.



Итак, ошибка №1. Статичный секретный ключ.







Чтобы подключить к своему аккаунту приложение для генерации OTP, пользователь вводит пароль, после чего перед ним открывается страница с секретным ключом, необходимым для выпуска программного токена. Пока все правильно.







Но если по какой-либо причине пользователь не активировал программный токен сразу (например, отвлекся на важный звонок, или просто передумал и вернулся на главную страницу), то когда через некоторое время он все-таки решит получить токен, ему опять предложат тот же секретный ключ.



Усугубляет ситуацию еще и то, что в течение получаса после ввода пароля, даже если вы перешли на главную страницу или вышли из аккаунта, а потом снова вошли, перед показом QR кода с секретом повторно пароль не запрашивается.









Чем это опасно?



Токен Вконтакте, как и любой другой TOTP токен работает по достаточно простому принципу: генерирует одноразовые пароли по алгоритму на основании двух параметров — времени и секретного ключа. Как вы сами понимаете, единственное, что нужно для компрометации второго фактора аутентификации — это знать СЕКРЕТНЫЙ КЛЮЧ.



Подобная уязвимость оставляет злоумышленнику две лазейки:




  1. Если пользователь отойдет от компьютера, у злоумышленника будет достаточно времени, чтобы скомпрометировать его секретный ключ.

  2. Завладев паролем пользователя, злоумышленник легко может подсмотреть его секретный ключ наперед.







Решить вопрос элементарно просто. Секретный ключ должен менятся каждый раз после обновления страницы, как это происходит, например, в Facebook.



Ошибка №2. Новый токен после перевыпуска использует тот же секретный ключ.







На момент публикации статьи этот недостаток был устранен.



Ситуация, описанная выше, усугубляется тем, что при повторном выпуске токена, Вконтакте не предложит вам новый секретный ключ. По сути, к вашей странице привязывается 1 секретный ключ и сменить его вы уже не сможете.



Чем это опасно?



Если вы узнали, что ваш секретный ключ скомпрометирован (например, при первом выпуске токена, как описано в первом пункте), двойная аутентификация Вконтакте больше вам не нужна. Смело отключайте второй фактор и подберите пароль посильней. Перевыпустить токен с новым секретом не представляется возможным.



Если Вы потеряли телефон, на котором был установлен токен, можете сделать то же самое. Тот, к кому в руки попал ваш смартфон, сможет спокойно использовать его для входа в ваш аккаунт. Осталось узнать только пароль. При этом вся суть двухфакторной аутентификации теряется. Понятно, что если пользователь заметит дискредитацию своего аккаунта, он может связаться с суппортом, но на это будет потрачено драгоценное время, которого у него может не быть.



Ошибка № 3. Отключение второго фактора без запроса одноразового пароля.







Здесь все понятно из названия. При отключении второго фактора, достаточно ввода пароля, OTP не запрашивается.









Чем это опасно?



Если для отключения двойной аутентификации Вконтакте достаточно только ввода пароля, теряется сама суть двухфакторной аутентификации. А суть двухфакторной аутентификации заключается в том, что недостатки одного фактора перекрываются преимуществами другого. В vk.com это фактор знания (пароль) и фактор владения (телефон). Это было придумано для того, чтобы компрометации одного из факторов не было достаточно для получения доступа к аккаунту. Если у злоумышленника есть ваш пароль, для взлома аккаунта ему не будет хватать одноразового пароля, и наоборот, если он завладел вашим телефоном, то ему нужно будет дополнительно узнать пароль.



Здесь же получается, что достаточно узнать пароль пользователя, чтобы попросту отключить второй фактор аутентификации. По сути, это превращает двухфакторную аутентификацию Вконтакте в однофакторную.



Вконтакте предлагает своим пользователям очень удобную функцию “Снять подтверждение с текущего браузера”. Я уверен, что функция пользуется популярностью и пользователи отключают подтверждение, как минимум, дома, и на работе. Более того, у большинства пользователей пароли сохранены в браузерах, где их можно легко просмотреть и скопировать.



Представим такую ситуацию, ваш коллега решил над вами подшутить. Пока вас не было на рабочем месте, он зашел к вам на компьютер, посмотрел в браузере сохраненные пароли, вошел в VK и отключил 2FA. Теперь он сможет заходить в ваш аккаунт до тех пор, пока вы не заметите перемен, что может произойти совсем не скоро. Вы и раньше не вводили одноразовый пароль на тех устройствах, которыми чаще всего пользуетесь, значит для вас ничего не поменяется. А шутник-коллега получит полный доступ к вашему аккаунту, и никто не знает к чему это может привести.



Если бы не был исправлен баг с перевыпуском токена, когда при повторном выпуске токена секретный ключ не менялся, ситуация могла бы стать еще интересней! Ваш коллега, уже зная пароль, мог бы отключить 2FA, после чего опять подключить двухфакторную аутентификацию, увидел бы при этом секретный ключ, выпустил бы себе токен, идентичный вашему, и мог бы читать ваши сообщения до тех пор, пока жив ваш аккаунт.



Выводы



При подключении двухэтапной аутентификации к аккаунту Вконтакте, появляется памятка, которая гласит “Даже если злоумышленник узнает Ваш логин, пароль и использованный код подтверждения, он не сможет попасть на Вашу страницу со своего компьютера."







К сожалению, выяснилось, что это не совсем правда. При определенных обстоятельствах посторонний сможет узнать чужой токен Вконтакте или даже полностью отключить второй фактор, зная ваш пароль. Жду ваших мнений.


Original source: habrahabr.ru (comments, light).

https://habrahabr.ru/post/315862/

Комментарии (0)КомментироватьВ цитатник или сообщество
Leovik10

МОЯ СТРАНИЦА В КОНТАКТЕ.

Вторник, 02 Ноября 2016 г. 03:11 (ссылка)









images (227x222, 46Kb)





Обновить фотографию


Изменить миниатюруРедактироватПодарк








ГвоздикаМашинка "С Днем Рождения"



Читать далее...
Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество
Romeo_Paradise

Romeo Paradise | VK

Вторник, 16 Августа 2016 г. 21:30 (ссылка)
vk.com/romeoparadise


Romeo Paradise "ВКонтакте"



_MG_1376с (700x675, 73Kb)
Метки:   Комментарии (0)КомментироватьВ цитатник или сообщество

Следующие 30  »

<vk.com - Самое интересное в блогах

Страницы: [1] 2 3 ..
.. 10

LiveInternet.Ru Ссылки: на главную|почта|знакомства|одноклассники|фото|открытки|тесты|чат
О проекте: помощь|контакты|разместить рекламу|версия для pda