Безопасность сайта

В связи с недавними неприятностями (непонятно где подцепил трояна, который угнал куки с браузеров и злоумишленник получил доступ к почту ну и через почту ко всем паролям) хотел бы предложить администрации и комюнити обсудить вопросы безопасности:
1. ввести подтверждение через СМС для вывода/перевода средств
2. вести механизм для авторизации через СМС
3. вести в эксплуатацию (когдато уже обсуждался этот вопрос) восстановление доступа к акаунту через СМС, также в дополнение как запасной вариант предлагаю востнавливать через фото, напр. при регистрации вы отправили свое фото с документов (имею виду нейтральное фото), в случаи необходимости подтверждения сделать дополнительное фото которое запросит администрацыя (напр. сделать фото держа в руках компютерную мышку, ключи... ну в общем чтото в этом роде), это нужно в случаи если тел. утерян. Вариант что чел. сделал пластическую операцию или чтото сильно повлияло на внешность пока не расматриваю.
4. возможность самостоятельно блокировать/разблокировать акаунт через СМС

Теперь о том как меня хакнули:
27-28 сентября сего года, примерно в 3 часа ночи начали отключатся скайп, квип, причем оба почти сразу.
На компютере били установленны Avast free, Agnitum outpost firewall.
Проверил в чем дело, пароли не подходят, антвирус и фаерволл молчат, интернет работает. На некоторые сайти вроде sql.ru, где пароль не имеет ценности он всетаки работал.
Сразу заподозрил неладное, в процессах обнаружил svc..exe (примерно так називался) процесс, запущенний из под моих документов, вот ссылка на вир:
посилання
можете проверить свою защиту на данном вирусе, только не вздумайте запускать содержимое архива, только протестируйте свой антивирус пропустит или нет, будете знать не поймаете ли такую заразу.

таким образом я потерял почти все пароли (пароли к самым ценним вещам конечно надежно спрятаны, а вот такие повсегдневные как веблансер, почта и пр. почти навиду, запомнены в браузере). полагаю использовалась бреш в безопасности сервиса mail.ru, вероятней всего - недостаточная проверка кукисов (вот нубы!!!). Посмотрев на свой акаунт на веблансере он оказался он-лайн! Немедленно било отправленно письмо в супорт (а что я еще мог сделать?). Утром смотрю акаунт не заблокирован и заведен проект на 500 у.е., какойто там дизайн (есть пострадавшие, но вроде уладил данный вопрос) еще раз повторно отправил письмо в супорт, тогда сразу заблокировали. Только вчера восстановил доступ.

Итак по порядку:
1. он разработчик троянов
2. он хорошо владеет русским языком (завел проект на веблансере, послал мне пару смс-ок мне на мобилку из моего скайпа)
3. он явно хорошо знаком с работой веблансера, потому что завел от моего имени проект: посилання
привожу текст:
Цитата:

Качественный дизайн сайта
Дизайн сайтов
Работодатель:
Фотография / Юзерпик
ОффлайнМацюк Николай (MMM_Corp)
(1.5)
В сервисе: 5 лет 4 месяца | Отзывы: 8
Бюджет: до 500 USD (Электронные платежные системы)
Приём заявок: 28.09.2011 — 05.10.2011
Статистика: Заявки: 15 | Просмотры: 116 (47 пользователей)
Статус: Блокирован
Сайт компании занимающейся реселенгом программного продукта гарант и консультант +. Обьединение 2 стилей сайтов в 1.

Связь в icq или skype



ТЗ.doc (22.5 Кб) -

приложение: посилання

4. тоесть вор явно понимает как работает веблансер и вполне вероятно под видом работодателя распостраняет вирус, будьте осторожны, вероятней всего он атакует лансеров с рейтингом для получения работ, вымогательства денег и пр.

вот такие братци дела, угнали пароли, дискредитировали меня как фрилансера, потрепали нервы, предлагаю всерйоз обсудить данный вопрос, администрацию прошу принять меры повышения безопасности сервиса

Планируем приступить к поддержке смс сразу же после выхода ближайшего апдейта. В планах:

• Восстановление доступа к учетной записи с помощью смс.
  
• Разовые смс-пароли для таких операций, как завершение платежей и вывод средств.
  
• В бета-режиме попытаемся контролировать авторизации и при доступе от нового провайдера (от которого пользователь еще входил в сервис) отправлять смс-код для подтверждения.
  

Тут нужно не безопасность сервиса улучшать, а лучше следить за своим компом, как это не прискорбно.
По поводу восстановления пароля через СМС - согласен, остальное ИМХО не принесет пользы.

Weblancer, добавьте невозможность перевода денег внутри сервиса без кода из телефона, изменения/добавления номера кошелька, изменения номера телефона.
Разграничьте контактный телефон и телефон для связи с администрацией (может быть один номер, а может быть и другой, я могу купить специально номер для сервисов и нигде его не светить)

Цитата ("Wildcat"):

добавьте невозможность перевода денег внутри сервиса без когда из телефона, изменения/добавления номера кошелька, изменения номера телефона.

СБС и платежи вообще коренным образом будут изменены. Но это уже в следующих обновлениях.

Цитата ("Wildcat"):

Разграничьте контактный телефон и телефон для связи с администрацией (может быть один номер, а может быть и другой, я могу купить специально номер для сервисов и нигде его не светить)

Есть в списке задач.

6. еще очень важный пункт, сделать возможность просмотра логов IP с которых заходили

MMM_Corp, тоже запланировано.

Цитата ("MMM_Corp"):

6. еще очень важный пункт, сделать возможность просмотра логов IP с которых заходили

Буквально сегодня обсуждали этот вопрос. Пока нас волнует объем этих логов. Несложно предположить, что расти они будут стремительно.
В связи с этим планируем сделать ротацию логов, а пользователям показывать логи за определенный период.

Вопрос: Какой период будет достаточным?

Weblancer, неделя, зачем больше?

Цитата ("Wildcat"):

добавьте невозможность ... изменения/добавления номера кошелька, изменения номера телефона.

:o не жестковато?

Провайдеры обычно сохраняют логи несколько месяцев, недели явно мало, месяца тоже мало, месяц - отпуск, вернулся - нет данных, на мой взгляд 3 месяца будет самым оптимальным вариантом

относительно обемов, посчитать несложно как мне кажется:
используя тип UNSIGNED INT для хранения самого айпи (4 байт), id пользователя (4 байт), TIMESTAMP (4 байт), итого примерно 4+4+4=12 байт на 1 авторизацию
если предположить что за 1 сутку пользователь авторизуется 10 раз, пользователей пусть будет 10к, временный зазор пусть будет 90 суток (3 месяца), получим
12*10*10000*90=1082400000 байт=1032 Мб=1Гб + 1 Гб (на запас, служебние данные, индексы и пр.), примерно, вроде не так уже и много, кроме того чтото подобное у вас должно уже бить, видь есть же система отслеживания дубликатов.

Цитата ("dam"):

Цитата ("Wildcat"):

добавьте невозможность ... изменения/добавления номера кошелька, изменения номера телефона.

:o не жестковато?

выскажусь я)
совсем нет, тел. поменять 1 раз в сколько там лет
кошель менять по сто раз на дню разве нужно?)

Цитата ("MMM_Corp"):

тел. поменять 1 раз в сколько там лет

На какой пример ссылаетесь?

Цитата ("MMM_Corp"):

кошель менять по сто раз на дню разве нужно?)

Вы отличайте 100 раз на дню и НЕВОЗМОЖНОСТЬ.

Цитата ("Weblancer"):

Вопрос: Какой период будет достаточным?

Я думаю привязываться надо не к сроку, а к количеству авторизаций. Хранить последние 10, например. А были они месяц назад или пол года назад - не ограничивать.

Цитата ("frig"):

Цитата ("Weblancer"):

Вопрос: Какой период будет достаточным?

Я думаю привязываться надо не к сроку, а к количеству авторизаций. Хранить последние 10, например. А были они месяц назад или пол года назад - не ограничивать.

это плохая идея, потому что злоумишленник зная эту информацию может просто зайти этих 10 раз с анонимайзера, тем самим перезатирая свой реальний айпи

для уменьшения нагрузки можно определить кто хочет такую услугу - предоставлять ее по СМС-запросу, все подряд точно не станут использовать данную услугу, или только для людей с рейтингом, людям без рейтинга как бы и терять особо нечего ну и тем кто меньше 3 месяцев напр. тоже наверное данная фича никчему, гдето так

Цитата ("dam"):

Вы отличайте 100 раз на дню и НЕВОЗМОЖНОСТЬ.

не понимаю что вы имеете ввиду

Цитата ("MMM_Corp"):

просто зайти этих 10 раз с анонимайзера, тем самим перезатирая свой реальний айпи

Да какая разница? Пользователь все равно увидит, что в его учетке кто-то был. А логи понятное дело, что надо хранить более продолжительный срок. Вопрос в том сколько отображать.

Цитата ("MMM_Corp"):

Цитата ("dam"):

Вы отличайте 100 раз на дню и НЕВОЗМОЖНОСТЬ.

не понимаю что вы имеете ввиду

Давайте еще раз.
Сравнивайте:
Цитата ("Wildcat"):

невозможность ... изменения/добавления номера кошелька

Цитата ("MMM_Corp"):

кошель менять по сто раз на дню разве нужно?)

Цитата ("dam"):

Вы отличайте 100 раз на дню и НЕВОЗМОЖНОСТЬ.

Так понятно?

dam, вообще-то я писала
Цитата ("Wildcat"):

без кода из телефона

Цитата ("Wildcat"):

dam, вообще-то я писала
Цитата ("Wildcat"):

без кода из телефона

а вот оно как) не понял тогда - показалось код относится только к первому
Цитата ("Wildcat"):

добавьте невозможность перевода денег внутри сервиса без кода из телефона, изменения/добавления номера кошелька, изменения номера телефона.

А все остальное просто невозможно типа изменить)
Тут немного непонятно - надо было перечислить - без кода невозможно и двоеточие) В предложении просто оторваны несколько по смыслу фразы

MMM_Corp,

Если Вы не можете защитить то, что Вам принадлежит - то оно Вам не принадлежит.

Avast free - это конечно, сильный антивирус..
Если пользователь не может защитить свою систему, то при всём желании - Веблансер ему не поможет.

Напрягать любимый ресурс только из-за того, что Вам лень поставить нормальный антивирус - считаю некорректным.
Вы хоть представляете, какой обьем работ падает на администраторов? Не говоря уже про бекапы.

Извиняюсь, если обидел. Не хотел. Просто наболело.

Цитата ("MisterT"):

Если пользователь не может защитить свою систему, то при всём желании - Веблансер ему не поможет.

Пользователь не может защитить свою систему.
Веблансер может сделать так, что кроме пользователя никто не сможет воспользоваться его учетной записью.