о паролях

[avva]

Возможно, я что-то не так понял или не то прочитал, но из этой записи и комментов, мне кажется, вытекает следующее:

1) у некоторых людей наблюдаются заходы в их журнал с их паролем от имени сотрудников SUP (с IP-адресов компании SUP). В одном случае это произошло после обращения в сообщество ljplus с просьбой починить счетчик (юзер vedmouse), в другом - без каких-либо обращений в SUP (юзер ksena).

2) утверждается, что пароли для входа сотрудники SUP взяли из базы ljplus.ru, которая им доступна. Вместе с тем, на странице регистрации ljplus.ru написано о пароле ЖЖ: "Мы гарантируем, что никогда и ни при каких условиях не будем разглашать ваш пароль и не воспользуемся им. Мы даже храним его в таком зашифрованном виде, что сами его расшифровать не можем."

Мне кажется, что логичным шагом со стороны SUP было бы объяснить пользователям ЖЖ:

• верно ли то, что у сотрудников SUP есть доступ к паролям множества юзеров ЖЖ через базу ljplus, и если да, почему страница регистрации ljplus говорит о недоступности паролей сотрудникам сервиса;
• верно ли то, что сотрудники SUP несанкционированным образом заходили в аккаунты юзеров ЖЖ;
• если да, то как часто это случалось, что сделано, чтобы больше этого не случилось, и какие конкретно сотрудники SUP были уволены за нарушение privacy юзеров ЖЖ.

Comments

[vercors.livejournal.com]

я до сих пор не доверяю стороним сайтам посредникам,
правильно делал .

[screamager.deadjournal.com (from livejournal.com)]

Бугога.

Извините, Анатолий. Не удержался ;)

[tacente.livejournal.com]

"С их IP-адресов" - двусмысленно; имеется в виду - с адресов пострадавших юзеров или (что логичнее) сотрудников SUP'а?

[kotbegemot.livejournal.com]

Да.
Если в течение недели ничего не расскажут -- отпишусь нахрен и от СУПа, и от LJPlus.
Ибо нефиг.

[avva.livejournal.com]

сотрудников SUPа. Сейчас исправлю, чтобы устранить двусмысленность.

[-pk-sly.livejournal.com]

интересно, как это было определено.

на сколько я понимаю, единственный достоверный способ - посмотреть логи web-сервера.

всё остальное - от лукавого

[znaeshli.livejournal.com]

Думаю, ответы Супа были бы однообразны :
"Да такое было, но это был уникальный случай и больше такого не повторится".

[-pk-sly.livejournal.com]

прошу прощения
http://www.livejournal.com/manage/logins.bml

[labas.livejournal.com]

частица "бы" лишняя

казалось бы,

[a-shen.livejournal.com]

такое действие со стороны SUP следует ожидать в двух случаях:

1) если они сами с уважением относятся к своим пользователям и к своему собственному слову;

или

2) если они понимают, в чем состояло бы ожидаемое в случае 1 поведение и стараются его имитировать.

Но вроде бы выступления d.....bа при славном начале их работы противоречат обоим предположениям

[znaeshli.livejournal.com]

"Мы также хотели бы отметить, что эта ситуация экстраординарна. В компан..."
Да.Уже.

[avva.livejournal.com]

Приведенные там в комментаериях объяснения отвечают на второй пункт, но оставляют неотвеченными или не до конца проясненными первый и третий. Хотелось бы получить четкие и внятные ответы на все три пункта.

[znaeshli.livejournal.com]

Поддамся легкой параное
Ну хорошо.
СУП заходил в чей-то ЖЖ несанкционированно.
Для меня не совсем очевидно : зачем?
Неужели что-бы что-то починить? Если да, то только ли для этого?
Автор записи (http://community.livejournal.com/sup_ru/227213.html) в коммунити суп_ру (http://community.livejournal.com/sup_ru/) утверждает что ничего исправлено не было...
Неужели СУП действительно будет свободно ходить по нашим журналам?

[e_mir]

Спасибо, очень любопытно.

Кстати, я так понимаю, что есть еще возможность для логина через СУП - если заходил на их сервис Мобильный ЖЖ. Там они спрашивают пароль и логинятся "за тебя"

[signamax.livejournal.com]

а когда же по этому вопросу выступит начальник транспортного цеха
извините
офицер службы блогов

[larisaka.livejournal.com]

Еще где-то проскальзывала мысль о том, что многие дают одинаковый пароль к ЛЖ и ЛЖ-плюс. Исходя из такой логики: логин одинаковый - и пароль одинаковый. В такой ситуации формально пользуясь только ЛЖ-плюсовым паролем можно ходить в ЛЖ.

[avva.livejournal.com]

Да, я это специально не упоминал, но, конечно, очевидно, что многие используют один и тот же пароль в ЖЖ и ЛЖ-плюс. Люди вообще очень часто используют один пароль для всего.

[nine_k]

Помимо всего: лишний повод сменит пароль.

[santagloria.livejournal.com]

про уволены -- смешно.

[avva.livejournal.com]

Ну - не очень: несанкционированный доступ к чужим журналам несоменно должен вести к увольнению сотрудника, так поступившего.

[avva.livejournal.com]

Я ни разу не давал свой пароль ljplus.ru или любому другому сервису, и всегда всем советовал так же поступать.

[santagloria.livejournal.com]

тут две проблемы
"несанкционированный" -- это раз
то есть если человек воспользовался служебными возможностями в личных целях, взломав базу данных и тд -- это нарушение
а если -- нет?
если это вполне обычная практика
что тогда?

"должен вести к увольнению" -- прямо вытекает из а предыдущего утверждения

[dmih.livejournal.com]

Я не знаю, насколько удачно в ЖЖ сделана авторизация, но чисто технически ljplus мог хранить хеши паролей. Расшифровке они условно не поддаются (в случае хотя бы умеренно-сложных паролей и удачного хеша, но в принципе да, можно заявить "не можем расшифровать"), но если в ЖЖ авторизация использует ущербную процедуру сверки напрямую этого же хеша, то пользоваться ими для целей авторизации ЖЖ всё же можно.

[seann.livejournal.com]

Можно проверить то, отписали ли вас от супа. Но удаление пароля из базы лжеплюса проверить нельзя. Верить им на слово? Ну не смешно ни секунды.

[labas.livejournal.com]

Я вам завидую: у меня желание получать ответы окончательно пропало после расследования dimrub. Если не раньше.

То есть такое ощущение, что это какой-то бесконечный эксперимент на тему "Сколько управленческих, технических и имиджевых ошибок может сделать одна интернет-компания в течение года?".

И ведь люди-то все хорошие. Наверное, просто рок над ними висит. Я бы на их месте переименовался во "Второе и Компот" и попробовал еще раз. :)