avva | несложно повторить

Дорогие работники компании SUP!

Некоторые из вас, я знаю, читают мой журнал. Позвольте мне повторить запись, которую я запостил в субботу, когда у вас был выходной, и на этот раз прямо попросить вас ответить на те вопросы, которые в ней задаются (они перечислены в конце записи).

Несанкционированный заход в чужие журналы - очень серьезное дело; я уверен, вы в этом со мной согласитесь. Помогите мне понять, что происходит. Заранее большое спасибо.

Возможно, я что-то не так понял или не то прочитал, но из этой записи и комментов, мне кажется, вытекает следующее:
у некоторых людей наблюдаются заходы в их журнал с их паролем от имени сотрудников SUP (с IP-адресов компании SUP). В одном случае это произошло после обращения в сообщество ljplus с просьбой починить счетчик (юзер vedmouse), в другом - без каких-либо обращений в SUP (юзер ksena).
утверждается, что пароли для входа сотрудники SUP взяли из базы ljplus.ru, которая им доступна. Вместе с тем, на странице регистрации ljplus.ru написано о пароле ЖЖ: "Мы гарантируем, что никогда и ни при каких условиях не будем разглашать ваш пароль и не воспользуемся им. Мы даже храним его в таком зашифрованном виде, что сами его расшифровать не можем."
Мне кажется, что логичным шагом со стороны SUP было бы объяснить пользователям ЖЖ:
верно ли то, что у сотрудников SUP есть доступ к паролям множества юзеров ЖЖ через базу ljplus, и если да, почему страница регистрации ljplus говорит о недоступности паролей сотрудникам сервиса;
верно ли то, что сотрудники SUP несанкционированным образом заходили в аккаунты юзеров ЖЖ;
если да, то как часто это случалось, что сделано, чтобы больше этого не случилось, и какие конкретно сотрудники SUP были уволены за нарушение privacy юзеров ЖЖ.

Flat | Top-Level Comments Only

From:

http://users.livejournal.com/malfet_/

Его владелец не давал работникам СУПа разрешения на использование его пароля
Разрешите мне удариться в юридическую казуистику: В момент нажатия на кнопочку "вступить в дружные ряды" между пользователем и LJplusом вообще не заключается никакого договора, так как обязательной для автоматического заключения договора галочки "Я принимаю условия пользовательского соглашения" или фразы "Нажимая на кнопку <Вступить в дружные ряды> вы принимаете условия пользовательского соглашения" нет! Поэтому владельцы LJplus имеют законное право использовать предоставленную им информацию, так как они считают нужным.
Даже если отойти на один шаг от строгой буквы закона - LJplus не обещает конфеденциальность вашего пароля в LJplus. Поэтому, если он вдруг совпадает с вашим паролем в ЖЖ - они спокойно могут использовать его для авторизации в Ваш журнал.

Мы гарантируем, что никогда и ни при каких условиях не будем разглашать ваш пароль и не воспользуемся им.
Да - эта строчка ужасно противоречива. Когда я ее прочитал у меня возник закономерный вопрос - а зачем СУПу тогда вообще знать мой пароль, если пользоваться им они никак не будут? Мне кажется логичным, что не имея ответа на этот вопрос лучше это поле в регистрационной форме не заполнять.

From: (Anonymous)

Заметьте, "я принимаю условия...", "мы гарантируем" и т.п., не распространяются на будущее, так как это всего лишь настоящее время. То есть если вы приняли условия сейчас, то через минуту вы можете отказаться от них. Почти все соглашения построены на лжи. В одних кто-то чего-то запрещает (человек не может этого делать!), в других кто-то что-то гарантирует (человек не может гарантировать ничего!), в третьих что-то разрешает (не может разрешать ничего!). Даже само слово "соглашение" - это всего лишь акт согласия - был и нет его, сегодня я согласенЮ, а завтра уже нет.

From:

http://users.livejournal.com/malfet_/

Я тут говорил про юридический, а не про обычный русский язык. Единожды приняв условия пользовательского соглашения, от них отказаться можно, только в порядке, описанном в этих условиях, если конечно они не противоречат законодательству стран(ы), на территории которой находиться стороны.

From: (Anonymous)

Понятно. Но реально есть только один русский язык. Я просто хотел показать, что те обязательства, которые пытаются наложить на человека какие-то там соглашения, это не более чем обман, даже если там применяется не только настоящее время, но и будущее. Соглашение, которое не содержит лжи - оно мягкое, и содержит правила, никаких запретов, клятв и обещаний там нет. Например, "мы заинтересованы в нераспространении ваших паролей и личных данных, но мы просто люди и не даём никаких гарантий". - Это мягко и честно. Или например, вот правило, "если вы делаете так-то, то мы собираемся делать так-то". - Это тоже мягко, это не означает никаких конкретных действий с вашей стороны (так как вы и сами не знаете будущего, и своих действий), но устанавливает просто правило. Законы ничего не запрещают, они устанавливают правила. Потому и говорят, "какое-то действие преследуется по закону", то есть "вы можете делать это, но знайте что это преследуется по закону".

From:

danwinter.livejournal.com

онаним хуже педораса

From:

jackill.livejournal.com

В таком случае рекомендую срочно перечитать все лицензионные соглашения на софт, который у вас стоит и свой рабочий контракт.

From:

gnuzzz.livejournal.com

Мы даже храним его в таком зашифрованном виде, что сами его расшифровать не можем.
Ну как минимум очевидно, что в этой строчке - ложь

From: (Anonymous)

Да всё там ложь, только обижаться на это глупо. Понимаете, это заимствованная ложь. Прочтите любую лицензию, от Микрософт, от Apple, от Adobe - там всё ложь, просто всё.

From:

nchaly.livejournal.com

Да нет, как раз про расшифрование может быть и не ложь, но реального значения это не имеет: пароль можно и не расшифровывать.

Даже если они хранят хэш пароля, то он также может использоваться для входа в ЖЖ. Конечно, не через браузер, а с помощью какой-то матери, но все же.

From:

http://users.livejournal.com/malfet_/

Эта строчка так же обсурдна, как и обещание никогда не использовать предоставленные данные(пароль). Ведь если бы они не могли его расшифровать, то и использовать его, даже с разрешения пользователя они не смогли бы.

Скорее всего, здесь они хотели сказать, что сотрудникам СУПа при работе с журналом пользователя его пароль будет неизвестен - авторизация будет производиться на сервере, пароль в базе данных будет храниться в зашифрованном виде, а сотрудник будет получать только cookie которая пароля не содержит.