| гик-брейк |
[22 Июл, 2008|00:50] |
| [ | music |
| | Play The Game - Queen | ] |
По прочтению арстехники и с молчаливого одобрения гикчата я обновил-таки прошивку ойпода до 2.0 (прости, Стив!). Вроде Сафара стала работать круче, да и приложения порадовали (сейчас еще пульт ДУ для iTunes попробую).
Да, кстати, гикчат уже обзавелся своим ололоцитатником (осторожно, юмор и бранные слова Создателя). Двачуйте.
Ну и будьте осторожны. Сегодня на хабре скандал — один пытливый юноша засунул XSS на сайт bestpersons.ru и поимел кучу паролей (в том числе и мой). Администрация сайта повела себя ультрафеерично — прикрыла сайт на 502, пришла в комменты ругаться и угрожать, а потом сайт открылся... а уязвимость осталась на месте.
Нет слов, в общем. Пора заканчивать с практикой регистрации на всяком кафне — если хочется в оном порыться, есть BugMeNot.com. Ну а сайтосоздателям все-таки напоминаю, что хранение паролей в открытом виде — ничем не оправданное уродство. Потом не отмоетесь. Ошибки ошибками, а разум надо иметь. Да, это я вам в том числе, друзья.
UPD Пультик из ойпода чудесный.
UPD2. По интернетам прокатилась волна постов c таинственным кодом 9c951267. Он совпадает с адресом сайта взломщика бестперсон. Сам товарищ отнекивается. Пока даже не знаю, что предположить — хорошо, я вовремя удалился. |
|
|
| Comments: |
Совсем-совсем уродство?:(
Возможно, есть оправданные случаи, поделись, могу умерить пыл.
Да нет, чего уж… просто привык я как-то к сервису «напомнить пароль».
Так ведь никто его не отменяет, просто на один шаг больше становится — после клика на ссылке надо ввести новый парольчик. Или же запомнить сгенеренный.
Интересно, как должна выглядеть идеальная система обращения с паролями? Чтобы пароль в плейнтексте а) не хранился на сервере и б) даже на него не передавался. Что-то мне кажется, что это противоречивые требования.
Ничего противоречивого, так устроены все системы типа Гугля или линкедина. Пароль хранится на сервере в md5, а аутентификация происходит в SSL-сессии
Так пароль, хоть по ssl, а на сервер попадает. А вот чтобы сервер его вообще никогда не знал…
Почему? Вот только сейчас вспомнил, что ЖЖ примерно так и делает — хранит md5(pass), а при авторизации получает challenge + md5(challenge + md5(pass)).
Правда, при этом md5(pass) обладает той же силой, что и просто pass.
Да, по этой причине оно невыгодно.
Ну, тем не менее, оба требования удовлетворены. Ещё бы придумать, как уйти от простого md5(pass)…
Комментарий предствителя bestpersons.ru:
Да, на сайте была XSS уязвимость.
Но ажиотаж вокруг атаки на сайт сильно преувеличен.
Атаке была подвержена совсем небольшая часть аккаунтов и она была быстро пресечена.
Не произошло утечки ни единого пароля на сторонние ресурсы, которые пользователи указывали на bp.
Так как, даже зная пароль пользователя на bp, нельзя получить пароли от его сайтов.
Мы приносим свои извинения пользователям, которых затронул данный инцидент.
Спасибо за ответ. Меня лично затронуло, потому я так нервно и отнесся. К сожалению, для многих юзеров пароли часто совпадают (так, можно было сломать мой аккаунт в одной из сетей, имея пароль от bp).
Все-таки нельзя пароли хранить. | |
![[info]](http://l-stat.livejournal.com/img/userinfo.gif){kind=small}