Возможно, я что-то не так понял или не то прочитал, но из этой записи и комментов, мне кажется, вытекает следующее:
1) у некоторых людей наблюдаются заходы в их журнал с их паролем от имени сотрудников SUP (с IP-адресов компании SUP). В одном случае это произошло после обращения в сообщество ljplus с просьбой починить счетчик (юзер vedmouse), в другом - без каких-либо обращений в SUP (юзер ksena).
2) утверждается, что пароли для входа сотрудники SUP взяли из базы ljplus.ru, которая им доступна. Вместе с тем, на странице регистрации ljplus.ru написано о пароле ЖЖ: "Мы гарантируем, что никогда и ни при каких условиях не будем разглашать ваш пароль и не воспользуемся им. Мы даже храним его в таком зашифрованном виде, что сами его расшифровать не можем."
Мне кажется, что логичным шагом со стороны SUP было бы объяснить пользователям ЖЖ:
- верно ли то, что у сотрудников SUP есть доступ к паролям множества юзеров ЖЖ через базу ljplus, и если да, почему страница регистрации ljplus говорит о недоступности паролей сотрудникам сервиса;
- верно ли то, что сотрудники SUP несанкционированным образом заходили в аккаунты юзеров ЖЖ;
- если да, то как часто это случалось, что сделано, чтобы больше этого не случилось, и какие конкретно сотрудники SUP были уволены за нарушение privacy юзеров ЖЖ.
no subject
Date: 2007-08-12 06:27 pm (UTC)md5(pass) - потому, что на сервере пароль хранится не в открытом виде, а в виде md5 хэша.
md5(chal + ... - чтобы не передавать даже md5 хэш через несекурную сеть. Т.е. сервер знает chal, знает md5(pass) и может проверить правильность результата.
понятное дело, что для логина совершенно необязательно знать сам пароль, достаточно его md5-хэша.
думается сам пароль знать надо для смены этого самого пароля.
---
альтернативным решением проблемы секретности является перевод всех форм логина на https, что ничуть не лучше схемы с двумя md5.
no subject
Date: 2007-08-12 06:47 pm (UTC)no subject
Date: 2007-08-12 08:23 pm (UTC)no subject
Date: 2007-08-12 08:36 pm (UTC)no subject
Date: 2007-08-13 08:27 am (UTC)no subject
Date: 2007-08-13 03:19 pm (UTC)no subject
Date: 2007-08-13 03:30 pm (UTC)no subject
Date: 2007-08-13 03:54 pm (UTC)no subject
Date: 2007-08-13 04:28 pm (UTC)