Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 65
Думаю хабракат не помешал бы :)
Сервис очень хороший! Но я, честно говоря, только из безопастности, не стал бы выкладывать все свои пароли )
Сервис похож на шпионский (Spy).
Такой функционал лучше реализовывать в браузере, например Flock,
или в качестве плагина к браузеру.
Зачем промежуточная обработка на стороннем ресурсе?
Такой функционал лучше реализовывать в браузере, например Flock,
или в качестве плагина к браузеру.
Зачем промежуточная обработка на стороннем ресурсе?
Плагин к браузеру имеет те же преимущества и те же недостатки, что и обычные десктопные приложения.
Плюсы: возможна большая юзабельность, секьюрность.
Минусы: необходимо устанавливать его на каждом используемом компе, апдейт плагина в общем случае непрозрачно.
Так что каждому своё.
PS: Мы планируем сделать для ispidy оффлайн режим на основе google gears. В этом режиме пароли будут храниться только на компьютере пользователя
Плюсы: возможна большая юзабельность, секьюрность.
Минусы: необходимо устанавливать его на каждом используемом компе, апдейт плагина в общем случае непрозрачно.
Так что каждому своё.
PS: Мы планируем сделать для ispidy оффлайн режим на основе google gears. В этом режиме пароли будут храниться только на компьютере пользователя
А зачем люди делают и продолжают вести 3 аккуанта в жж, лиру и блоггере?
Идея хороша, но слабо реализуема (как уже сказано выше, "нужно сообщать свои данные (логин и пароль) стороннему сервису"). + команде не помешал бы HTML-кодер/дизайнер. Картинки (не фотки!) 50-70 килобайт на индексе сервиса, претендующего на массовость - это моветон даже в эру 100М "выделенок".
В первом случае пользовательские пароли к подключаемым сервисам сохраняются на сервере в зашифрованном виде. Во втором - пароли не запоминаются на сервере вообще.
а как узнать, правда это или нет? оочень большие сомнения )
а как узнать, правда это или нет? оочень большие сомнения )
Интересно почему еще паспорт на входе не спрашивают, или ключи от квартиры.
Есть такое слово - openid.
Есть такое слово - openid.
Вы такой интересный, а как эта система должна работать без ваших паролей?
http://en.wikipedia.org/wiki/Openid
А вы почитайте:
"A site using OpenID doesn't need your password"
http://ru.wikipedia.org/wiki/OpenID
http://www.livejournal.com/openid/about.…
http://habrahabr.ru/blog/columns/6754.ht…
http://the-notebook.org/?p=4&cp=5
И вот на десерт:
http://openid.net/
"A site using OpenID doesn't need your password"
http://ru.wikipedia.org/wiki/OpenID
http://www.livejournal.com/openid/about.…
http://habrahabr.ru/blog/columns/6754.ht…
http://the-notebook.org/?p=4&cp=5
И вот на десерт:
http://openid.net/
ВМиК рулит =)
да, перспектива оставить свои пароли от всех ресурсов не радует... не факт, что они там не хранятся
а если через месяц этот стартап рухнет, к кому попадут пароли?
а если через месяц этот стартап рухнет, к кому попадут пароли?
Задумка хорошо
но пока мало эффективности
имхо rss давно уже не хватает
нада какойто более мощную штуку
но пока мало эффективности
имхо rss давно уже не хватает
нада какойто более мощную штуку
Постороннему серверу не хочется доверять не только пароли, но и любую другую информацию, для него не предназначенную - посты в блогах, к примеру. По-моему, для кросспостинга правильным является подход, реализованный на blog.ru и beta.ya.ru, при котором один блогосервер сам ходит к другому за постами.
да кому ваши пароли нужны от блогов, что злоумышленники смогут с ними сделать, максимум охинею накрапать в блогах.
смысл в них...
смысл в них...
Знаешь, особого смысла писать вирусы тоже нет. Например те, которые ещё на дискетах разносили. Ни паролей ни номеров кредитных карточек не забирали. Но делал же их кто-то.
вдумайтесь больше. а если аккаунт пропалчен на жж. а если вдруг недайбох пароль с жж совпадает с входом в аккаунт на жужуль. а если в checkout введены данные и сохранены? а если прикручены google applications и активированы google docs, calendar и, что хуже всего google talk?
можно идти и дальше
можно идти и дальше
Я руководитель этого проекта, отвечу на вопросы о паролях.
1. Что происходит с паролями при входе под временным пользователем без регистрации нового аккаунта?
Пароли не хранятся в БД, они находятся во временной сессии.
2. Как шифруются пароли при регистрации нового пользователя?
а) Пароль пользователя ispidy шифруется в БД с использованием алгоритма md5. Для непосвященных, взлом такого хэша возможен только полным перебором всех вариантов.
б) Пароли к внешним системам шифруются в БД алгоритмом AES с ключем < незашифрованный пароль ispidy >. Их расшифровка выполняется только при входе пользователя в систему. Это означает, что злоумышленник, взломавший БД сервера в принципе не сможет расшифровать пароли пользователя от внешних систем.
3. Вопрос о доверии разработчикам ispidy.
Мы разрабатывали эту систему вчетвером более четырех месяцев, вложив в неё свои души и море усилий. Поверьте, что существует множество гораздо более простых и распространенных способов получить приватные данные.
4. О финансировании госструктурами.
Нет, нас не финансируют госструктуры :)
1. Что происходит с паролями при входе под временным пользователем без регистрации нового аккаунта?
Пароли не хранятся в БД, они находятся во временной сессии.
2. Как шифруются пароли при регистрации нового пользователя?
а) Пароль пользователя ispidy шифруется в БД с использованием алгоритма md5. Для непосвященных, взлом такого хэша возможен только полным перебором всех вариантов.
б) Пароли к внешним системам шифруются в БД алгоритмом AES с ключем < незашифрованный пароль ispidy >. Их расшифровка выполняется только при входе пользователя в систему. Это означает, что злоумышленник, взломавший БД сервера в принципе не сможет расшифровать пароли пользователя от внешних систем.
3. Вопрос о доверии разработчикам ispidy.
Мы разрабатывали эту систему вчетвером более четырех месяцев, вложив в неё свои души и море усилий. Поверьте, что существует множество гораздо более простых и распространенных способов получить приватные данные.
4. О финансировании госструктурами.
Нет, нас не финансируют госструктуры :)
По поводу md5 — salt есть? Или с помощью rainbow table всё можно расшифровать?
Вы пишите что все паролы зашифруется, а я когда зарегился у вас, вы мне по почте отправили свой парол не зашифрованный. как это понять?
Пароли шифруются в БД. Пароль от ispidy посылается на почту пользователю до зашифровки.
Если вы вчетвером работали более четырех месяцев, и этот проект так много значит для вас, я бы вам настоятельно рекомендовал скинуться на работу достойного дизайнера. Сейчас дизайн просто НИКАКОЙ. А в таком агрегаторе один из главных факторов - адекватный внешний вид и юзабилити.
Во! Крута! С хабракатом лучше смотриться :)
Прикрутите OpenID, много людей придет, половина боится пароли выкладывать.
А так - ну ОЧЕНЬ хорошая вещь :)
А так - ну ОЧЕНЬ хорошая вещь :)
К сожалению, я сейчас не вижу способов добавить поддержку OpenID.
Коммуникация с большинством внешних систем выполняется по xml протоколам, в которых не поддерживается аутенификация по openID.
Коммуникация с большинством внешних систем выполняется по xml протоколам, в которых не поддерживается аутенификация по openID.
Иконки страшные. Даже и не припомню ни одного com-стартапа с такими страшными иконками.
Я не придираюсь, для меня это на самом деле имеет значение.
Я не придираюсь, для меня это на самом деле имеет значение.
Интересно, а "различные блоги" в курсе о существовании iSpidy? Я конечно не специалист, но, на сколько я знаю, использование их API денег стоит, а хакерские методы распарсивания их страниц время от времени обламываются из-за изменения дизайна и т.п.
вот еще в тему: http://swiftpen.ru
Спасибо за iSpidy! Очень удобно =)
1. ExtJS можно было и получше сжать. В сети есть инструменты для этого.
2. «Входящая в поставку» тема конечно хорошая, но это не серьезно, когда она принимается как основное оформление... ее можно принять в CMS, но не на главной странице же сайта.
3.
Вообще спорный вопрос об необходимости для пользователя «пакетной» отправки.
2. «Входящая в поставку» тема конечно хорошая, но это не серьезно, когда она принимается как основное оформление... ее можно принять в CMS, но не на главной странице же сайта.
3.
Вообще спорный вопрос об необходимости для пользователя «пакетной» отправки.
по поводу паролей
можно хранить их через md5 добавив немного шума, тогда точно хрен кто взломает :)
а функцию восстановления тоже сделать не составить особого труда -
генерируется случайная комбинация и высылается на мыло юзера для подтверждения, после подтверждения - записывается в базу через тот же md5
даже если базу с паролями выложить в инете :)
вряд ли кто ее взломает :)
можно хранить их через md5 добавив немного шума, тогда точно хрен кто взломает :)
а функцию восстановления тоже сделать не составить особого труда -
генерируется случайная комбинация и высылается на мыло юзера для подтверждения, после подтверждения - записывается в базу через тот же md5
даже если базу с паролями выложить в инете :)
вряд ли кто ее взломает :)
пароли внешних систем можно кодировать своим алгоритмом, что бы была возможность декодирования для подключения к внешним системам...
Главное, что бы не завалили сервер и не вытащили подпрограммку декодировщика.
Тут уже стоит вопрос надежности хостера...
Главное, что бы не завалили сервер и не вытащили подпрограммку декодировщика.
Тут уже стоит вопрос надежности хостера...
Вообще-то это как бы правило - криптостойкость алгоритма должна определяться ключом, а не тем, что алгоритм "свой" и его никто не знает.
Поэтому обычно и шифруют широко-известными и публично-проверенными алгоритмами. Не всякий новый и оригинальный "свой" алгоритм без дыр. М.б. даже так, что автор алгоритма не достаточно компетентен, чтобы увидеть уязвимость. А вот вражеский криптоаналитик - запросто! :)
Поэтому обычно и шифруют широко-известными и публично-проверенными алгоритмами. Не всякий новый и оригинальный "свой" алгоритм без дыр. М.б. даже так, что автор алгоритма не достаточно компетентен, чтобы увидеть уязвимость. А вот вражеский криптоаналитик - запросто! :)
ребята молодцы - давно хотел посмотреть на шустро работающий интерфейс на extjs.
Отличная штука. Для спамеров, конечно же. :)
Чтобы пачками публиковаться везде, где только можно.
Чтобы пачками публиковаться везде, где только можно.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Онлайн агрегатор веб служб iSpidy