![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
avvaВозможно, я что-то не так понял или не то прочитал, но из этой записи и комментов, мне кажется, вытекает следующее:
1) у некоторых людей наблюдаются заходы в их журнал с их паролем от имени сотрудников SUP (с IP-адресов компании SUP). В одном случае это произошло после обращения в сообщество ljplus с просьбой починить счетчик (юзер vedmouse), в другом - без каких-либо обращений в SUP (юзер ksena).
2) утверждается, что пароли для входа сотрудники SUP взяли из базы ljplus.ru, которая им доступна. Вместе с тем, на странице регистрации ljplus.ru написано о пароле ЖЖ: "Мы гарантируем, что никогда и ни при каких условиях не будем разглашать ваш пароль и не воспользуемся им. Мы даже храним его в таком зашифрованном виде, что сами его расшифровать не можем."
Мне кажется, что логичным шагом со стороны SUP было бы объяснить пользователям ЖЖ:
- верно ли то, что у сотрудников SUP есть доступ к паролям множества юзеров ЖЖ через базу ljplus, и если да, почему страница регистрации ljplus говорит о недоступности паролей сотрудникам сервиса;
- верно ли то, что сотрудники SUP несанкционированным образом заходили в аккаунты юзеров ЖЖ;
- если да, то как часто это случалось, что сделано, чтобы больше этого не случилось, и какие конкретно сотрудники SUP были уволены за нарушение privacy юзеров ЖЖ.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2007-08-11 05:25 pm (UTC)no subject
Date: 2007-08-11 05:29 pm (UTC)Да.Уже.
no subject
Date: 2007-08-11 05:31 pm (UTC)no subject
Date: 2007-08-11 06:15 pm (UTC)То есть такое ощущение, что это какой-то бесконечный эксперимент на тему "Сколько управленческих, технических и имиджевых ошибок может сделать одна интернет-компания в течение года?".
И ведь люди-то все хорошие. Наверное, просто рок над ними висит. Я бы на их месте переименовался во "Второе и Компот" и попробовал еще раз. :)
no subject
Date: 2007-08-11 06:38 pm (UTC)no subject
Date: 2007-08-11 06:40 pm (UTC)no subject
Date: 2007-08-11 06:42 pm (UTC)no subject
Date: 2007-08-11 11:01 pm (UTC)no subject
Date: 2007-08-11 07:12 pm (UTC)no subject
Date: 2007-08-11 07:40 pm (UTC)если хрaнится хэш - тo нет, нaдo знaть сaм пaрoль
no subject
Date: 2007-08-12 12:12 am (UTC)сервет дает некое X, и в ответ ждет f(x+f(password)) где в данном случа f = md5
то есть хранение md5 от пароля равнозначно хранению самого пароля
no subject
Date: 2007-08-12 01:54 am (UTC)no subject
Date: 2007-08-12 06:08 am (UTC)no subject
Date: 2007-08-12 06:20 pm (UTC)У кого-ниубдь есть идея, чем и о чём они думали? MD5 – секюрно, а два MD5 – ещё секюрнее?
no subject
Date: 2007-08-12 06:27 pm (UTC)md5(pass) - потому, что на сервере пароль хранится не в открытом виде, а в виде md5 хэша.
md5(chal + ... - чтобы не передавать даже md5 хэш через несекурную сеть. Т.е. сервер знает chal, знает md5(pass) и может проверить правильность результата.
понятное дело, что для логина совершенно необязательно знать сам пароль, достаточно его md5-хэша.
думается сам пароль знать надо для смены этого самого пароля.
---
альтернативным решением проблемы секретности является перевод всех форм логина на https, что ничуть не лучше схемы с двумя md5.
no subject
Date: 2007-08-12 06:47 pm (UTC)no subject
Date: 2007-08-12 08:23 pm (UTC)no subject
Date: 2007-08-12 08:36 pm (UTC)no subject
Date: 2007-08-13 08:27 am (UTC)no subject
Date: 2007-08-13 03:19 pm (UTC)no subject
Date: 2007-08-13 03:30 pm (UTC)(no subject)
From:(no subject)
From:no subject
Date: 2007-08-11 08:19 pm (UTC)no subject
Date: 2007-08-12 06:11 pm (UTC)no subject
Date: 2007-08-13 08:48 am (UTC)если говорить не о конкретно lj, где как выясняется аутентификация происходит непосредственно по хэшу, а "вообще", то хэш для того обычно и нужен, чтобы использовать его самостоятельно, без введённого пользователем пароля, было невозможно (=очень сложно)
зачем хранятся пароли в /etc/shadow, если их нельзя просто ввести и аутентифицироваться?
no subject
Date: 2007-08-12 06:29 pm (UTC)