о паролях

[avva]

Возможно, я что-то не так понял или не то прочитал, но из этой записи и комментов, мне кажется, вытекает следующее:

1) у некоторых людей наблюдаются заходы в их журнал с их паролем от имени сотрудников SUP (с IP-адресов компании SUP). В одном случае это произошло после обращения в сообщество ljplus с просьбой починить счетчик (юзер vedmouse), в другом - без каких-либо обращений в SUP (юзер ksena).

2) утверждается, что пароли для входа сотрудники SUP взяли из базы ljplus.ru, которая им доступна. Вместе с тем, на странице регистрации ljplus.ru написано о пароле ЖЖ: "Мы гарантируем, что никогда и ни при каких условиях не будем разглашать ваш пароль и не воспользуемся им. Мы даже храним его в таком зашифрованном виде, что сами его расшифровать не можем."

Мне кажется, что логичным шагом со стороны SUP было бы объяснить пользователям ЖЖ:

• верно ли то, что у сотрудников SUP есть доступ к паролям множества юзеров ЖЖ через базу ljplus, и если да, почему страница регистрации ljplus говорит о недоступности паролей сотрудникам сервиса;
• верно ли то, что сотрудники SUP несанкционированным образом заходили в аккаунты юзеров ЖЖ;
• если да, то как часто это случалось, что сделано, чтобы больше этого не случилось, и какие конкретно сотрудники SUP были уволены за нарушение privacy юзеров ЖЖ.

Comments

[http://users.livejournal.com/_turkmenistan/]

замечу и я, что как раз таки в "больших" реальных системах (вулстритовский корпорэйт и проч, проч) никогда.

[dmih.livejournal.com]

Я не сказал бы про "никогда", т.к. функциональные эквиваленты plain-text паролей встречаются и там. Конечно, значительно реже. Если уж говорить про финансовые системы, то, конечно, не встречается, но это отдельный класс задач, и тут уже вопрос не в "больших", а в "серьезных". Совсем другое слово.
Мы то скорее про информационный сервис - такой класс услуг никакого отношения к "никогда" даже применительно к plain-тексту не имеет...

[http://users.livejournal.com/_turkmenistan/]

выше я писал только про собственый експириенс, вобщем, Вы , без сомнения, правы

[selfmade.livejournal.com]

Но стоит отойти на одну улицу, скажем на Pine St, так сразу пароли хранятся в таблице.

[gornal.livejournal.com]

Да Вы гуру.

[http://users.livejournal.com/_turkmenistan/]

ага, причем приходилось заниматься именно етими вопросами

[gornal.livejournal.com]

Ну я и говорю.

[sergiej.livejournal.com]

Я видел много больших реальных систем где пароли (не важно в каком виде) хранятся в юзерсах, нормальная практика, тем более что никакого особого смысла хранить пароли отдельно нет (один юзер - один пароль, логично). Ну разве что в секьюрити такой бардак что разные пионэры имеют свободный доступ к базе.