о паролях

Aug. 11th, 2007 07:51 pm
avva: (Default)
[personal profile] avva

Возможно, я что-то не так понял или не то прочитал, но из этой записи и комментов, мне кажется, вытекает следующее:

1) у некоторых людей наблюдаются заходы в их журнал с их паролем от имени сотрудников SUP (с IP-адресов компании SUP). В одном случае это произошло после обращения в сообщество ljplus с просьбой починить счетчик (юзер vedmouse), в другом - без каких-либо обращений в SUP (юзер ksena).

2) утверждается, что пароли для входа сотрудники SUP взяли из базы ljplus.ru, которая им доступна. Вместе с тем, на странице регистрации ljplus.ru написано о пароле ЖЖ: "Мы гарантируем, что никогда и ни при каких условиях не будем разглашать ваш пароль и не воспользуемся им. Мы даже храним его в таком зашифрованном виде, что сами его расшифровать не можем."

Мне кажется, что логичным шагом со стороны SUP было бы объяснить пользователям ЖЖ:

  • верно ли то, что у сотрудников SUP есть доступ к паролям множества юзеров ЖЖ через базу ljplus, и если да, почему страница регистрации ljplus говорит о недоступности паролей сотрудникам сервиса;
  • верно ли то, что сотрудники SUP несанкционированным образом заходили в аккаунты юзеров ЖЖ;
  • если да, то как часто это случалось, что сделано, чтобы больше этого не случилось, и какие конкретно сотрудники SUP были уволены за нарушение privacy юзеров ЖЖ.
Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2007-08-11 06:41 pm (UTC)
From: [identity profile] avva.livejournal.com
ЖЖ хранит пароль на сервере. Конкретно - в поле password таблицы users глобальной базы данных :)

Вход в ЖЖ, насколько мне помнится, бывает по трем механизмам: 1) посылка пароля через SSL-соединение (https://www.livejournal.com/login.bml); 2) challenge-response с использованием хеша пароля+challenge, через Javascript - в этом случае юзер вводит пароль, но он не посылается серверу; 3) посылка пароля серверу - это в случае если 2) не работает, например, если у юзера отключена поддержка javascript.

Возможно, что-то в этом изменилось в последнее время, не знаю.

Date: 2007-08-11 06:44 pm (UTC)
From: [identity profile] dmih.livejournal.com
Спасибо за информацию. ;)

Я, собственно, не противник хранить пароли на сервере. Это чаще оказывается перпендикулярно проблемам безопасности, чем нет.

Date: 2007-08-11 06:49 pm (UTC)
From: [identity profile] http://users.livejournal.com/_turkmenistan/
гы, забавненько; никогда не встречал "хранение password в таблице user"

Date: 2007-08-11 06:55 pm (UTC)
From: [identity profile] dmih.livejournal.com
Если вы про вообще, то замечу, что в реально действующих системах это довольно часто встречается.

Date: 2007-08-11 07:07 pm (UTC)
From: [identity profile] http://users.livejournal.com/_turkmenistan/
замечу и я, что как раз таки в "больших" реальных системах (вулстритовский корпорэйт и проч, проч) никогда.

Date: 2007-08-11 07:20 pm (UTC)
From: [identity profile] dmih.livejournal.com
Я не сказал бы про "никогда", т.к. функциональные эквиваленты plain-text паролей встречаются и там. Конечно, значительно реже. Если уж говорить про финансовые системы, то, конечно, не встречается, но это отдельный класс задач, и тут уже вопрос не в "больших", а в "серьезных". Совсем другое слово.
Мы то скорее про информационный сервис - такой класс услуг никакого отношения к "никогда" даже применительно к plain-тексту не имеет...

Date: 2007-08-11 07:32 pm (UTC)
From: [identity profile] http://users.livejournal.com/_turkmenistan/
выше я писал только про собственый експириенс, вобщем, Вы , без сомнения, правы

Date: 2007-08-12 02:15 am (UTC)
From: [identity profile] selfmade.livejournal.com
Но стоит отойти на одну улицу, скажем на Pine St, так сразу пароли хранятся в таблице.

Date: 2007-08-11 07:22 pm (UTC)
From: [identity profile] gornal.livejournal.com
Да Вы гуру.

Date: 2007-08-11 07:29 pm (UTC)
From: [identity profile] http://users.livejournal.com/_turkmenistan/
ага, причем приходилось заниматься именно етими вопросами

Date: 2007-08-11 07:33 pm (UTC)
From: [identity profile] gornal.livejournal.com
Ну я и говорю.

Date: 2007-08-13 09:53 am (UTC)
From: [identity profile] sergiej.livejournal.com
Я видел много больших реальных систем где пароли (не важно в каком виде) хранятся в юзерсах, нормальная практика, тем более что никакого особого смысла хранить пароли отдельно нет (один юзер - один пароль, логично). Ну разве что в секьюрити такой бардак что разные пионэры имеют свободный доступ к базе.

Date: 2007-08-11 07:19 pm (UTC)
From: [identity profile] kot-ivanovich.livejournal.com
Если в задачу сервера входит автоматическая авторизация пользователей на других серверах, с которыми у него нет trust relationship, то деваться особенно некуда... Так что я встречал...

Date: 2007-08-11 07:27 pm (UTC)
From: [identity profile] http://users.livejournal.com/_turkmenistan/
не етт понятно; аuthentication унд аuthorization и даже Single Sign-on SPI можно имплементить и на флэт файлах, но, лично я никогда не видел таково, все ж обычно на LDAPе и никак не в ДБ.

Date: 2007-08-11 07:50 pm (UTC)
From: [identity profile] anatolyl.livejournal.com
кaкoй LDAP в интернете ?

Date: 2007-08-11 07:54 pm (UTC)
From: [identity profile] http://users.livejournal.com/_turkmenistan/
разговор идет о хранении пассвордов на сервере, нет? правда, я нынче в похмелиях и могу чет не понимать.

Date: 2007-08-11 07:57 pm (UTC)
From: [identity profile] kot-ivanovich.livejournal.com
Похоже, что разница нашего опыта (видел/не видел поля password в таблице users), связана с тем, что Вы работали над софтом для больших компаний, а я – для маленьких/средних. Вы много видели LDAP серверов в конторах на 70 человек? Я – ни одного...
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

avva: (Default)
avva
Website

February 2026

S M T W T F S
1 2 3 4 5 67
8 9 10111213 14
15 16 17 18192021
2223 2425262728

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Feb. 24th, 2026 08:50 pm
Powered by Dreamwidth Studios