Правленный Live HTTP headers v0.16

Итак, если кратко, то надо сгенерировать закрытый и открытый ключи на стороне, где будем запускать скрипты (назовем такую машину «клиент»), положить открытый ключ туда, куда будем коннектится (назовем его условно «сервер») и настроим, чтобы сессия для такого-то аккаунта Unix запускалась не от Unix пароля, а от ключа (с паролем, но ниже будет показано, как настроить, чтобы вводить его однократно за весь день, например)

1. На стороне клиента генерируем ключ типа DSA:

   mkdir -p ~/.ssh
   chmod 700 ~/.ssh
   cd ~/.ssh
   ssh-keygen -t dsa
   Enter passphrase (empty for no passphrase): …
   Enter same passphrase again: …
   chmod go-rwx ~/.ssh/*

   Я рекодмендую обязательно указать пароль. Рекомендуется указывать пароль, который не используется для аккаунта Unix. Если вы не укажите пароль (сделаете пустым), то любой, кому попадет ваш закрытый ключ-файл, сможет зайти на удаленный сервер под вашим аккаунтом без всяких проблем. Конечно, чтобы файл попал к кому либо, надо, чтобы были нарушены права доступа в Unix. Но файл может «утечь» случайно с утилитами синхронизации, бекапа или т.п.. Далее, я расскажу, как настроить, чтобы вы сами в дальнейшем не вводили часто пароль для закрытого ключа.

2. Копируем ключ на сервер:

   scp -p id_dsa.pub remoteuser@remotehost:
   Password: ********

3. На уделенном сервере делаем:

   ssh -l remoteuser remotehost
   Password: ********
   mkdir -p ~/.ssh # Создать директорию, если ее нет
   chmod 700 ~/.ssh
   cat id_dsa.pub >> ~/.ssh/authorized_keys  # Добавление к файлу, если он уже есть
   chmod 600 ~/.ssh/authorized_keys
   mv id_dsa.pub ~/.ssh # Не обязательно, но можно сохранить открытый ключ на всякий случай
   logout

   Теперь, у вас есть закрытый и открытый ключ на вашей клиентской машине, защищенный (или нет) паролем, и открытый ключ на стороне сервера. Серверу достаточно вашего открытого ключа, чтобы вас идентифицировать (условно говоря, сервер каждый раз будет генерировать некий уникальный текст и давать его вашей клиентской машине при открытии сессии, а ваша машина должна будет его подписать с помощью закрытого ключа, передать обратно цифровую подпись серверу, а тот сверит ее для выданного вам же текста. Поскольку подписать может только тот, кто имеет закрытый ключ + пароль к нему, а проверить подпись может тот, что имеет ваш открытый ключ, то идентификация в этом случае гарантирует серверу, что вы – эти именно вы, и Unix пароль в таком случае вообще не нужен и нигде в сессии не передается).

4. Следующий шаг – настройка ssh-agent. Он может нам понадобится, если мы не хотим постоянно вводить пароль для закрытого ключа. Если же вы на шаге 1 указали пустой пароль, то можете пропустить 4 -6 пункты – вам не потребуется демон ssh-agent для кеширования пароля – его попросту нет – он не будет запрашиваться утилитами, использующими протокол ssh, и все эти утилиты могут работать из скриптов прямо на этом этапе.
   Демон ssh-agent висит в памяти и за операциями подписи и криптования к нему обращаются программы ssh & scp (и другие). Этот демон хранит в своей памяти ваш пароль для закрытого ключа определенное время, заданное вами. Это очень удобно, если вы повседневно используете openssh, например, даже для git pull & git push.

   crontab -e

   Вставляем в редакторе в crontab файл:

   @reboot ssh-agent -s | grep -v echo > $HOME/.ssh-agent

   Эти команды говорят крону, что во время ребута системы запустить ssh-agent, а его вывод – переменные среды окружения с настройками записать в файл $HOME/.ssh-agent. Этот файл необходим нам для того, чтобы программы ssh, scp знали, куда коннектится (в них сохраняются пути до Unix сокетов коммуникации с ssh-agent).
   Чтобы нам не ждать перезагрузки, запускаем демон сразу же:

   nohup ssh-agent -s > ~/.ssh-agent

5. Теперь, в ваши скрипты, которые используют ssh & scp, надо добавить такую строку:

   . ~/.ssh-agent

   Также, рекомендую добавить следующие строки в ~/.bashrc (для bash shell-а):

   . $HOME/.ssh-agent
   alias keyon="ssh-add -t 10h"
   alias keyoff='ssh-add -D'
   alias keylist='ssh-add -l'

   Тем самым, при заходе на клиентскую машину ssh сессией, у вас загрузятся настройки для работы с ssh-agent, а также определятся алиасы команд для повседневной работы. Например, выполнив в bash команду «keyon», от вас ssh-add команда потребует ввести пароль для ключа. После ввода он будет еще работать 10 часов. В это время вы можете запускать команды ssh, scp и любые другие, что используют ssh для коннекта на сервер (rsync, git), и все эти команды будут работать без запроса пароля.

6. Второй вариант настройки ssh-agent (если его выбираете, можете пропустить пункты 4 и 5):
   В файле ~/.bash_profile прописываем:

   SSHAGENT=/usr/bin/ssh-agent
   SSHAGENTARGS="-s"
   if [ -z "$SSH_AUTH_SOCK" -a -x "$SSHAGENT" ]; then
   eval `$SSHAGENT $SSHAGENTARGS`
   trap "kill $SSH_AGENT_PID" 0
   ssh-add
   fi

   Этими командами вы говорим при логине, если если нет таких-то переменных, запустить ssh-agent, выполнить команды вывода ssh-agent в текущем шеле (eval), а по завершении shell-а пристрелить процесс ssh-agent-а (trap). Здесь также при логине у вас единожды запросится пароль для ключа. Затем он будет в памяти ssh-agent

Подробнее и всесторонне об ssh-agent можете прочитать в статье Mark A. Hershberger

Также рекомендуется к чтению:

1. 20 советов по безопасному использованию сервера OpenSSH
2. OpenSSH Public Key Authentication

Маленький экскурс – Firefox позволяет делать копирование в буфер, но разрешает это выполнять либо в chrome приложениях (то есть установленным расширениям, или Add-ons, другими словами), либо подписанным цифровой подписью приложениям в jar архивах – но при этом, у вас в броузере должен быть установлен корневой сертификат того разработчика, кому вы доверили это делать. Поэтому, обычному сайтовому программеру, как может показаться, ничего не остается, как сгенерировать свой сертификат, попросить посетителя его скачать, а свои JavaScript скрипты упаковать в Jar архив и его подписать. При этом, конечно, при любом изменении кода надо заново будет проделывать: упаковка в Jar, подпись Jar архива (ведь код изменился, а значит и подпись надо менять)… Именно, по началу, я так и думал, и даже делал (ох и муторно это!). Но есть способ попроще и лучше, но он не такой правильный с точки зрения безопасности. Но он также, как и в случае сертификата, требует определенных действий со стороны пользователя – также, однократных (сделал и забыл). То есть, как никрути, а просто сделать сайт, который бы читал/писал в буфер Clipboard своего посетителя, не получиться – все равно потребуется участие посетителя сайта (оно и правильно – нефиг делать без спросу опасные вещи!).

Итак, все что нужно сделать пользователю сайта – однократно, и не только для вашего сайта, а в общем для всех сайтов – это разрешить броузеру «спрашивать» посетителя о том, можно ли исполнять расширенные действия такому то сайту или нет (по умолчанию – ничего не спрашивается и не исполняется). Если посетитель отвечает, что можно – броузер запоминает домен, для которого это разрешили, и затем, действует в соответствии с этим разрешением всегда. Если другой сайт захочет, например, поработать с вашим буфером обмена – броузер снова спросит вас и предупредит, но однократно для этого домена и так далее.

Итак, делаем в броузере: about:config в адресной строке, соглашаемся с предупреждением, если таковое есть и там ищем параметр signed.applets.codebase_principal_support, ставим его в true. Все! Теперь осталось написать JavaScript код, например, копирование текстового значения title ссылки в буфера обмена, например:

// Общая функция копирования - копирует текст переменной maintext в clipboard, рабоает для IE и Firefox
function copy_clip(maintext)
{
 maintext = String(maintext)
 if (window.clipboardData)
   window.clipboardData.setData("Text", maintext);
 else if (window.netscape)
  {
   try
    {
     netscape.security.PrivilegeManager.enablePrivilege('UniversalXPConnect');
     var gClipboardHelper = Components.classes["@mozilla.org/widget/clipboardhelper;1"].
     getService(Components.interfaces.nsIClipboardHelper);
     gClipboardHelper.copyString(maintext);
    }
   catch(err)
    {
     alert ("Clipboard copying error: " + err); return false
    }
  }
 return true;
}

Затем, уже используем дополнительные функции для конкретных типов структуры DOM документа HTML:

function copyObjText(obj)
{
 copy_clip(document.all ? obj.innerText : obj.textContent)
 return false
}

function copyTitleInLink(obj)
{
 copy_clip(obj.title)
 return false
}

А теперь, если нам надо скопировать в буфер значение поля title у ссылки типа <a title="что то" href="http://..."></a>, то делаем так:<a title="что то" onclick="return copyTitleInLink(this)" href="http://..."> Функция copyObjText может копировать текстовое поле тага textarea, например. Также, можно написать другой код для копирования любой информации из вашей страницы – очень удобно для автоматизации работы с ajax приложениями.

Вот, собственно и все!

Итак, ставлю LastPass – бесплатноерасширение для Firefox, которое имеет много похвал от других пользователей. Многие даже его называют гораздо лучшим менеджером паролей, чем Roboform. Установка проходит на ура, регистрирую аккаунт на сервере LastPass (вообще, мне не нравится, чтобы мои пасскарты хранились на чьем либо сервере, пусть и криптованные, как обещают разработчики LastPass). Далее, чтобы работать, мне надо конвертнуть свои пасскарты из Roboform. Их у меня за годы накопилось порядка 3300 штук… Итак, конвертирую по инструкции. Конвертация этих пасскарт с закачкой на аккаунт занимает … может быть часа два или дажее более. Точно не замерял, но ждать надо прилично.

После конвертации появился второй неприятный момент. Разработчик обещал, что все данные хранятся также на локальном компьютере, и с сервера подгружаются только новые пасскарты, которые мы добавили в свой аккаунт с другого компьютера, например. У меня такого не наблюдалось – каждый раз после запуска Firefox, нажимая на кнопку LastPass-а, и выбирая «Сайты» (где должны быть папки пасскарт), я получал фразу «Список загружается» и все… После 5-ти минут список появлялся. Но хочу сразу сказать, что на следующий день у меня список открывался почти мгновенно. Не знаю, что произошло, но спустя сутки все работало отлично. Так что этот неприятный момент будем считать издержками первого запуска.

Третий неприятный момент, который до сих пор меня сдерживает от использования LastPass, это то, как прошла конвертация пасскарт с авторизацией типа Basic (это когда вы заходите на сайт через стандартные «старые» средства броузера – у вас появляется окошко броузера с запросом имени и пароля). Этот вариант не работает после конвертации. Пасскарты есть, пароли и имена – все есть. А вот когда выскакивает окошко для запроса пароля – поля там пустые. То есть, LastPass не распознает существующую пасскарту как Basic Auth тип. Решение проблемы – заранее открыть пасскарту в LastPass, скопировать имя и пароль, а затем зайти и указать их в этом окне. После этого, LastPass создает новую вторую пасскарту, которая уже будет работать (хотя по содержанию будет идентична неработающей). Ладно, если пасскарт не много, но мне ведь это придется делать, хоть и один раз, с каждым сайтом и доменом, которые я когда либо открою.

Четвертый момент, что мне не понравился – это то, что я не могу заполнять формы на основании пасскарт с других доменов. Это я часто использовал в Roboform при заполнении типичных форм. Есть, конечно, профили, но это не совсем то, что надо. Бывают ситуации, что проще и легче запомнить заполненную форму один раз и использовать эту пасскарту для других сайтов и доменов, где формы точь в точь такие же.

В пятых, я заметил, что некоторые пасскарты со множеством полей конвертнулись в пасскарты с простым типом, а имена и содержания полей теперь стали не как отдельные логические единицы-поля, а превратились в монолитный текст в пасскарте. То есть теперь я такими пасскартами воспользоваться не смогу, но информация не потеряна.

Если говорить о положительных моментах, то LastPass, как бесплатная альтернатива Робоформу – очень хорошая. Ставить LastPass имеет смысл, когда вы начинаете все с нуля и не пользовались до этого Робоформом, или, пользовались, но не имеете большого списка пасскарт. Если же ваш список Робоформ-пасскарт очень большой, то будьте готовы к проблемам, связанным после конвертации – многое придется доводить руками и тратить на это время. Более глубоко LastPass я не изучал, не конвертировал свои заметки и персон-карты. Возможно, мне бы и там что-то не понравилось

И еще пара моментов – мне не нравиться, что хранилище пасскарт находится на сервере разработчика. Где спрятаны пасскарты на кмопьютере – я пока не знаю. Что будет, если их проект закроется или будет сбой в базе? А также, очень странно происходит авторизация – по умолчанию, каждый раз, запуская компьютер и заходя в броузере на сайт, LastPass уже не спрашивает мастер-пароль (можно, конечно, настроить, чтобы спрашивал) – мне лично в голову приходит мысль о небезопасности LastPass от всяких вирусов и троянов против кражи паролей – ведь достаточно им украсть это «нечто» (кукис-сессию, одноразовый пароль или сам пароль), что позоляет LastPass заходить в ваш аккаунт без запроса мастер-пароля – и ваши пароли окажутся в руках злоумышленников. Все это не относится к Roboform.

P.S. Недавно пришлось запустить Firefox & LastPass в условиях отсутствия интернета вообще – надо было узнать пароль, хранящийся в пасскартах LastPass. Не очень надеялся, что получится… Но вот запустил Firefox, пошел в редактор, чтобы посмотреть – LastPass локально, без интернета, спросил меня мастер-пароль, я указал, а он, после, выдал мне все пасскарты и все получилось! Так что, LastPass нормально работает и в оффлайн режиме!

Итак, вызываем запуск (кнопка «Start» -> «Run», или другой вариант – кнопка «Windows» на клавиатуре + R), там набираем msconfig и запускаем. Выдается такое окошко:

Суть этой утилиты – настройка запускаемых сервисов Windows, файлов автозапуска. Также там есть разного рода «инструменты» для Windows и т.п.. Вообщем, немешало бы опытным пользователям запомнить про такую командочку. Полезна, когда надо отключить какой либо сервис, либо что-то выключить из автозапуска, или даже если просто надо сделать проверку на вирусы и трояны в «ручном режиме» – если они есть, вы с большой долей вероятности увидите их во вкладках «Services» или «Startup». Вообщем, все что связано с автозапуском – все здесь в одном месте.

Примеры приведены для английской Windows, для тех, у кого русская – могут догадаться что где, сопоставив вкладки с примера выше.

P.S. Уже после написания статьи я опробовал сам эту команду и нашел у нее большой минус. Если вы меняете и что нибудь там отключаете – у вас автоматически выставляется «Selective Starup» в первой вкладке «General», и при перезагрузке вы увидите предупреждение, что работаете не в «Normal Startup». Другими словами, утилита отключает сервисы и программы автозапуска лишь временно, и как только вы загрузитесь в «Normal Startup», все изменения пропадут. Получается, чтобы насовсем что либо отключить из автозапуска, надо пользоваться прямым редактированием «регистри» – regedit. Что не есть хорошо…

После долгого перерыва продолжу пополнять свой блог всякими полезными статейками Кстати, всех с наступившим Новым Годом!

Про AutoRun.INF

Итак, по теме У более чем 90% стоит такая замечательная, и в то же время проблемная операционка – Windows. Проблемная, в плане вирусов. И проблемная, в плане податливости к ним. А податливая она, через такие файлы, как autorun.inf. Для тех, кто не в курсе – краткое пояснение ниже.

Когда вы вставляете CD или флешку в свой комп, Windows смотрит, есть ли на них файлик autorun.inf. Если он есть, она запускает его или то, что в нем прописано (команды в нем, что и как запустить). Это было сделано для «удобства» пользователей – типа купили вы сидюк, например, вставили – а там все, что было задумано разработчиком для вашего удобства и запустилось – может установка плеера для просмотра фильма, или сразу инсталяция купленной программы, или … вируса в придачу. Вот про последнее, в Microsoft, видимо мало кто думал. И создал Microsoft отличную систему активации вирусов… Теперь вы приходите в гости к кому либо с флешкой, вставляете ее, чтобы фотки свои показать, а там комп – заражен вирусом. Вирус, конечно, не дремлет, и создает сразу файлик autorun.inf и пишет еще туда свой код запуска (почти всегда вирус ставит на этот файл бит «невидимости», то есть чтобы это увидеть, надо включать поддержку просмотра «Hidden» файлов в проводнике или в Far, например). Теперь, с большой долей вероятности, воткнув такую флешку уже у себя дома, вы инфицируете свой компьютер через автозапуск нашего героя-файла! Конечно, антивирус, если он у вас есть, с большей долей вероятности вам поможет, но может и не помочь, если вирус новый или малоизвестный. Вот такая элементарщина получается… И зачем Microsoft придумал эту херь – autorun.inf?!

Отключение его

А теперь – как отключить в вашей Windows возможность запускаться всем файлам autorun.inf. Лучше сделайте это, и вы убережете себя от бОльшей массы способов заражения вашего компьютера! Есть несколько путей. Есть стандартный – способами Windows, а есть метод топора. Оба способа я опишу ниже. Прощу не судить строго на английские слова в меню – у меня стоит английская версия Windows, и нет под рукой русской, чтобы правильно все перевести. Поэтому перевод дал условный, в реальности слова могут немного отличаться, но смысл должен быть понятен.

Стандартный

Перед тем как выполнить пункты ниже, надо поставить на Windows XP  Update for Windows XP (KB967715) (для Vista – другой Update) – без него, у вас может не сработать то, о чем я напишу ниже. Это опять же баг Microsoft, коих у них много – в Windows есть возможность отключения автозапуска, но она не работает должным образом, то есть вы ее отключаете, а она не отключается . Поэтому, сначала ставим Update, если его нет (проверить, есть или нет: «Пуск» -> «Контрольная Панель» -> «Добавление/Удаление программ» и там включаем галочку «Показывать Windows Updates» -> найти номер KB967715. Если нет – значит не установлено). Также, надо еще учесть, что если у вас Windows XP Home – то описанный этот метод не сработает. Это будет работать только на Windows XP Pro. Для Виста немного другие инструкции – там по умолчанию спрашивается у пользователя, стоит ли запускать autorun.inf. Вообщем, вот такая галиматья получается… Подробнее – здесь на сайте Microsoft на английском. Ну и напоследок – рекомендую сделать в дополнение к этому методу метод «топора» для надежности…

Итак, нажимаем кнопку «Start» («Пуск»), там «Run» («Запустить»). В строке запуска набираем: gpedit.msc и нажимаем Enter. Запускается «Group Policy»:

Там выбираем: «Computer Configuration» («Конфигурация компьютера») -> «Administrative Templates» («Шаблоны администратора») -> «System» («Система»). В правом окошке ищем «Turn Off Autoplay» («Отключить автовоспроизведение»), кликаем по ней, затем выбираем:

«Enabled» («Включено») -> Turn off AutoPlay on: «All Drives» («Для всех дисков»). То есть, мы отключаем автозапуск и авто-воспроизведение для всех дисков, в том числе для флешек. Теперь у вас не будет выскакивать окошко с предложением проиграть или показать фотки/видео и не будет запускаться файл autorun.inf. Поверьте, вы не будете по этому скучать

Метод топора

Запускаем regedit.exe через кнопку «Пуск», как делали в предыдущем  примере, там выбираем ветку [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf] и там создаем ключ ‘@’ («Default») с типом REG_SZ («Строка») и значением «@SYS:DoesNotExist». Но лучше так не париться, а скачать файл для регистри с моего блога, переименовать его, например, в 1.reg, и просто его запустить из проводника – там вас спросит Windows, хотите ли вы добавить в регистри ветку, вы говорите «Да», и все. Этим методом мы заставляем Windows считать все файлы autorun.inf несуществующими. То есть вы даже не сможете просмотреть его содержимое, если он будет. Ну и ладно! Этот метод можно назвать методом «кастрации автозапуска» – отрезаем и все, Windows безвредна в отличие от установленной по умолчанию

Метод Microsoft и патч

Уже после того, как написана была эта статья, я узнал об официальном методе от Microsoft отключения AutoRun для USB накопителей. Microsoft выпустила «необязательный» апдейт – KB971029 (необязательный – это значит, что при автоматических обновлениях он не устанавливается, его надо либо устанавливать через Windows Update специально из списка «не обязательных», что можно сделать только в лицензионной ОС, либо скачав его прямо с сайта и поставив). Вот ссылка на статью из «базы знаний» – http://support.microsoft.com/kb/971029. Там внизу есть ссылки на скачивание update для разных ОС. У кого Windows XP, может воспользоваться прямой ссылкой: английский вариант или русский. Для Windows Vista и Windows 7 предлагаю зайти в базу знаний этого апдейт самостоятельно и найти линк под свою ОС

Вот такими сложными путями приходится отключать возможность автозапуска вирусов в Windows. Остается только сказать Microsoft спасибо!

Статья здесь

Итак, прежде чем вы начнете серфить в интернет, вам бы стоило сразу поставить это замечательное расширение. Он работает как под Firefox, так и под Internet Explorer. Его основная задача – хранить все ваши пароли, заполненные формы ко всем сайтам в интернете под одним мастер-паролем. Вам необходимо только придумать и помнить один единственный пароль (лучше самый сложный ), который будет все ваши пароли к сайтам защищать на вашем жестким диске (пароли криптуются и никто кроме вас их не узнает, если только не узнает мастер пароль). Потом можно эффективно начинать работать с интернет.

Вот его основные возможности:

1. Легко сохраняются логины, пароли ко всем сайтам, в одном месте. Roboform сам, автоматически, всегда предложит нужный пароль на основе URL адреса (называется это «пасскарты»). Заходить на сайт можно одним кликом - выбираете из него закладку – он сам зайдет на сайт, заполнит пароль и отправит его.
2. В нем есть отличный генератор паролей. Это очень нужная вещь! Помните, что всегда, где бы вы не регистрировались – на форуме, в блоге, интернет-банкинге, на платном сайте, в социальной сети и где либо вообще – всегда генерируйте новый пароль для логина! Никогда не используйте один и тот же пароль для разных аккаунтов на разных сайтах!
3. Часто приходится где либо заполнять форму, даже без пароля – например, вопрос в службу поддержки. И тут Roboform пригодится – заполнили форму, сделали «Сохранить» форму, и в любой момент вы сможете вспомнить, где и какие данные и какой вопрос вы отправляли.
4. Для вебмастеров он будет полезен своими «Персон»-картами – можно задать шаблоны, какие поля и где как заполнять (например, если рядом с полем есть слова icq или uin – вписываем номер аськи и т.д..), и тогда регистрация трейда CJ/TGP, или регистрация в affiliate program будет занимать меньше минуты. При этом рекомендую пользоваться сохранением форм, т.е. как правило алгоритм такой: заполнили форму через «Персон» карту (90% полей заполнилось автоматом) -> затем сгенерировали новый пароль -> сохранили форму -> отправили -> забыли на время. Когда аккаунт будет апрувлен, например, из сохраненной вами формы вы легко получите ваш пароль. Затем вы его указываете при входе в аккаунт и сохраняете пасскарту для входа на сайт.
5. Есть еще другой тип данных – заметки. В отличие от обычных, они, как и все другое в Roboform, криптуются. Не зная мастер-пароля, прочитать все эти данные будет нельзя. Там можно хранить пин коды карточек, свои банковские реквизиты и все то, чтобы вы хотели спрятать от чужих глаз.
6. У Roboform отличный поиск по «пасскартам», «персон» картам, заметкам, закладкам (они тоже есть, как приятное дополнение)
7. Есть виртуальная клавиатура для ввода мастер пароля (помогает в борьбе с кейлогерами клавиатуры, правда я уже высказывал суппорту предположение, что хакерам ничего не мешает перехватывать координаты кликов мышки и по ним вычислять пароль виртуальной кливиатуры – и такие уже есть )
8. И очень маленькая, но важная деталь – с ним вы не попадетесь на фишинг сайт! То есть вам не подсунут сайт-фальшивку для того, чтобы получить ваше имя и пароль. Это все потому, что пасскарты он предлагает на основе сохраненных URL адресов и доменного имени сайта – а компьютер не обмануть, в отличие от человека – он просто холодно и трезво сравнивает буквы в адресе сайта, а не смотрит на обложку сайта (фишинг адреса всегда отличаются от оригинальных, могут одной буквой, схожим написанием, и всегда имеют копию дизайна)

Вообщем, кто бы вы ни были, но если вы ходите по интернет, поставьте себе Roboform! Но есть одна маленькая ложка дегтя – он платный. Есть и бесплатный вариант, но он очень урезан. Не пожалейте 599 рублей, и купите Pro версию. Цена мизерная для такого высококачественного и нужного программного продукта! Это статья не на правах рекламы, а просто потому что это очень нужная программа!

И еще один маленький нюанс. Мной был замечен очень неприятный баг, но только под версией 6.9.95 – 6.9.97. Сейчас разработчики уже второй месяц исправляют его, и надеюсь, скоро исправят (как мне ответил недавно суппорт, исправление этого бага перенесено в версию 7.0 – даже в выпущенной недавно версии 6.9.98 этот баг есть по прежнему). Вкратце – часть сайтов под JavaScript могут подвешивать Firefox 3.0 & 3.5 из-за Roboform. Поэтому поставьте версию 6.9.94 или ниже! Как появится версия 7.0, тогда проблема должна быть решена (о выходе новой версии можно узнать здесь)

Если же вы сторонник бесплатных продуктов, не хотите себя ограничивать урезанной бесплатной версией Roboform, работаете только на Firefox, то рекомендую попробовать следующие близкие аналоги Roboform:

1. Sxipper
2. LastPass Password Manager (на форумах читал, что его больше хвалят, чем Sxipper)
3. Autofill Forms

Из этих трех расширений я ниодно не ставил, поэтому о деталях рассказать не смогу. Но если вы поставите и определите для себя, что лучше, что хуже, буду признателен за ваши комменты здесь.

Броузер Firefox будет еще более безопасным при серфинге в интернет, если у вас будет стоять расширение NoScript. Установить его можно здесь.

Природа «дырок» в программах такова, что их открывают только тогда, когда кто-то честный найдет уязвимость в программе и напишет о ней. А пока не напишет – дырка есть, но она не известна публично. И от нее не сделали лекарство…

Темные силы

Но есть темные силы, которые рыщют эти дырки и потом юзают их для своих грязных делишек. Эти силы так и наровят впендюрить в ваш компьютер свою заразу, чтобы подчинить ваш компьютер, или что нибудь похитить у вас (например, пароли). Ну и конечно же, эти темные силы не сообщают о дырках на интернет форумах. Самая большая опасность, как правило, от JavaScript (далее JS) – языка сценариев интернет страниц. Сейчас JS очень распространяется, так как он облегчает работу с сайтом (например, вы наверное слышали про Web 2.0, или другими словами про ajax приложения?). То есть без него, без JS, сейчас никуда, но и надо как то предохраняться от заразы.

Вы еще не пробовали NoScript?! Тогда мы идем к вам!

NoScript – самое комплексное решение. Он, по умолчанию, отключает JS для всех сайтов, а вы по мере работы в интернет, легко, одним кликом мышки, добавляете в доверенную зону все сайты, которым хотите доверять. Причем, можете добавить временно (пока не закроете Firefox), а можете и постоянно. Можно сначала подумать, что это нужная процедура. Но на самом деле, список доверительных сайтов формируется быстро, и, поработав несколько дней, вы будете все реже вспоминать о NoScript. Но он будет всегда предохранять ваш компьютер.

Кроме всего прочего, разработчики всегда его оперативно обновляют и закрывают дырки и уязвимости оперативнее, чем Firefox.

Как это работает?

NoScript появляется в Firefox в виде желтой полоски внизу окна броузера. Там сообщается, что на сайте есть скрипты. Также в полоске есть кнопка. Кликнув ее, вы можете выбрать: «временно разрешить все на этой странице», «постоянно разрешить …» и т.п.. Если вы разрешаете «… все на этой странице …», то вы разрешаете исполнять все скрипты, даже не только с этого домена сайта, но и с других, на которые ссылается эта страница.

Удачной работы!