?

Log in

No account? Create an account
о паролях - Поклонник деепричастий [entries|archive|friends|userinfo]
Anatoly Vorobey

[ website | Website ]
[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

Links
[Links:| English-language weblog ]

о паролях [авг. 11, 2007|07:51 pm]
Anatoly Vorobey
[Tags|]

Возможно, я что-то не так понял или не то прочитал, но из этой записи и комментов, мне кажется, вытекает следующее:

1) у некоторых людей наблюдаются заходы в их журнал с их паролем от имени сотрудников SUP (с IP-адресов компании SUP). В одном случае это произошло после обращения в сообщество ljplus с просьбой починить счетчик (юзер vedmouse), в другом - без каких-либо обращений в SUP (юзер ksena).

2) утверждается, что пароли для входа сотрудники SUP взяли из базы ljplus.ru, которая им доступна. Вместе с тем, на странице регистрации ljplus.ru написано о пароле ЖЖ: "Мы гарантируем, что никогда и ни при каких условиях не будем разглашать ваш пароль и не воспользуемся им. Мы даже храним его в таком зашифрованном виде, что сами его расшифровать не можем."

Мне кажется, что логичным шагом со стороны SUP было бы объяснить пользователям ЖЖ:

  • верно ли то, что у сотрудников SUP есть доступ к паролям множества юзеров ЖЖ через базу ljplus, и если да, почему страница регистрации ljplus говорит о недоступности паролей сотрудникам сервиса;
  • верно ли то, что сотрудники SUP несанкционированным образом заходили в аккаунты юзеров ЖЖ;
  • если да, то как часто это случалось, что сделано, чтобы больше этого не случилось, и какие конкретно сотрудники SUP были уволены за нарушение privacy юзеров ЖЖ.
СсылкаОтветить

Comments:
Страница 1 из 3
<<[1] [2] [3] >>
[User Picture]From: vercors
2007-08-11 05:05 pm
я до сих пор не доверяю стороним сайтам посредникам,
правильно делал .
(Ответить) (Thread)
[User Picture]From: screamager [deadjournal]
2007-08-11 05:06 pm
Бугога.

Извините, Анатолий. Не удержался ;)
(Ответить) (Thread)
[User Picture]From: tacente
2007-08-11 05:07 pm
"С их IP-адресов" - двусмысленно; имеется в виду - с адресов пострадавших юзеров или (что логичнее) сотрудников SUP'а?
(Ответить) (Thread)
[User Picture]From: avva
2007-08-11 05:08 pm
сотрудников SUPа. Сейчас исправлю, чтобы устранить двусмысленность.
(Ответить) (Parent) (Thread)
[User Picture]From: evergestis
2007-08-11 05:08 pm
Да.
Если в течение недели ничего не расскажут -- отпишусь нахрен и от СУПа, и от LJPlus.
Ибо нефиг.
(Ответить) (Thread)
[User Picture]From: seann
2007-08-11 06:10 pm
Можно проверить то, отписали ли вас от супа. Но удаление пароля из базы лжеплюса проверить нельзя. Верить им на слово? Ну не смешно ни секунды.
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: _pk_sly
2007-08-11 05:12 pm
интересно, как это было определено.

на сколько я понимаю, единственный достоверный способ - посмотреть логи web-сервера.

всё остальное - от лукавого
(Ответить) (Thread)
[User Picture]From: znaeshli
2007-08-11 05:13 pm
Думаю, ответы Супа были бы однообразны :
"Да такое было, но это был уникальный случай и больше такого не повторится".
(Ответить) (Thread)
[User Picture]From: labas
2007-08-11 05:25 pm
частица "бы" лишняя
(Ответить) (Parent) (Thread) (Развернуть)
From: a_shen
2007-08-11 05:27 pm

казалось бы,

такое действие со стороны SUP следует ожидать в двух случаях:

1) если они сами с уважением относятся к своим пользователям и к своему собственному слову;

или

2) если они понимают, в чем состояло бы ожидаемое в случае 1 поведение и стараются его имитировать.

Но вроде бы выступления d.....bа при славном начале их работы противоречат обоим предположениям
(Ответить) (Thread)
[User Picture]From: avva
2007-08-11 06:51 pm

Re: казалось бы,

1) В SUP работает несколько людей, которых я весьма уважаю, и много других людей, о которых у меня нет оснований думать плохое.
2) В целом при отсутствии других свидетельств я склонен доверять их словам и считать, что они делают именно то, о чем говорят.
3) Начало работы SUP и связанные с этим скандалы я до сих пор считал примером скорее катастрофического пиар-провала, чем какими-то особыми злостными намерениями SUP.

До сих пор я никак не был связан с компанией SUP и никак не комментировал действия этой компании.

Но несанкционированный заход в чужие журналы - обвинение очень серьезное, почти самое серьезное, какое может быть в ЖЖ.

Поэтому я очень надеюсь получить ответы от SUPа на перечисленные выше вопросы.
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: znaeshli
2007-08-11 05:38 pm
Поддамся легкой параное
Ну хорошо.
СУП заходил в чей-то ЖЖ несанкционированно.
Для меня не совсем очевидно : зачем?
Неужели что-бы что-то починить? Если да, то только ли для этого?
Автор записи в коммунити суп_ру утверждает что ничего исправлено не было...
Неужели СУП действительно будет свободно ходить по нашим журналам?
(Ответить) (Thread)
[User Picture]From: lykac
2007-08-12 11:19 am
Я, как человек не любящий скандалы, созданные чужими руками, не склонен впадать в отчаянье из-за того, что сотрудники яндекса знают, какое порно я искал через их поисковик.
(Ответить) (Parent) (Thread)
From: signamax
2007-08-11 05:40 pm
а когда же по этому вопросу выступит начальник транспортного цеха
извините
офицер службы блогов
(Ответить) (Thread)
[User Picture]From: larisaka
2007-08-11 05:41 pm
Еще где-то проскальзывала мысль о том, что многие дают одинаковый пароль к ЛЖ и ЛЖ-плюс. Исходя из такой логики: логин одинаковый - и пароль одинаковый. В такой ситуации формально пользуясь только ЛЖ-плюсовым паролем можно ходить в ЛЖ.
(Ответить) (Thread)
[User Picture]From: avva
2007-08-11 05:51 pm
Да, я это специально не упоминал, но, конечно, очевидно, что многие используют один и тот же пароль в ЖЖ и ЛЖ-плюс. Люди вообще очень часто используют один пароль для всего.
(Ответить) (Parent) (Thread)
From: 9000
2007-08-11 05:59 pm
Помимо всего: лишний повод сменит пароль.
(Ответить) (Thread)
[User Picture]From: avva
2007-08-11 06:02 pm
Я ни разу не давал свой пароль ljplus.ru или любому другому сервису, и всегда всем советовал так же поступать.
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: santagloria
2007-08-11 05:59 pm
про уволены -- смешно.
(Ответить) (Thread)
[User Picture]From: avva
2007-08-11 06:00 pm
Ну - не очень: несанкционированный доступ к чужим журналам несоменно должен вести к увольнению сотрудника, так поступившего.
(Ответить) (Parent) (Thread) (Развернуть)
[User Picture]From: dmih
2007-08-11 06:09 pm
Я не знаю, насколько удачно в ЖЖ сделана авторизация, но чисто технически ljplus мог хранить хеши паролей. Расшифровке они условно не поддаются (в случае хотя бы умеренно-сложных паролей и удачного хеша, но в принципе да, можно заявить "не можем расшифровать"), но если в ЖЖ авторизация использует ущербную процедуру сверки напрямую этого же хеша, то пользоваться ими для целей авторизации ЖЖ всё же можно.
(Ответить) (Thread)
From: (Anonymous)
2007-08-11 06:23 pm
;-) Мы написали одновременно (см. следующий комментарий ;-)

TOPMO3
(Ответить) (Parent) (Thread) (Развернуть)
From: (Anonymous)
2007-08-11 06:21 pm
Я сейчас играюсь с гейтами Mailing list --> ЖЖ (с помощью модифицированного скрипта mail2lj.pl - http://mail2lj.nichego.net/). Там есть режим аутентикации не по самому паролю, а по MD5-хэшу. Из браузера по хэшу зайти нельзя, но из клиентов-то можно (во всяком случае, сделать специального клиента с такой функциональностью - не проблема - что подтверждает скрипт mail2lj.pl ;-). Если в базе СУПа как раз хранятся эти хэши ("храним его в таком зашифрованном виде, что сами его расшифровать не можем"), то всё складывается очень гладко...

TOPMO3
(Ответить) (Thread)
From: _turkmenistan
2007-08-11 06:26 pm
сие деяние , в сравнении с обявлением арктики российской и заочного ареста березовского басманным судом, не заслуживает ровным счетом никакого внимания; так мир у них устроен. "И мне плевать, что по этому поводу говорят какие-то там зарубежные деятели..."
(Ответить) (Thread)
Страница 1 из 3
<<[1] [2] [3] >>