LiveInternet.ru: как хранятся пароли пользователей

Создавая сайт, вебмастер первым делом спешит узнать, сколько же посетителей заинтересуются его творением и, если это не домашняя страничка, всеми силами пытается продвинуть свой сайт. Для этого простого счетчика посещений уже не хватает, и он начинает пользоваться общедоступными платными и бесплатными сервисами, предоставляющими такую информацию.

imageГугл и Яндекс со своими инструментами для вебмастеров и метриками, конечно, хороши, но кто пройдёт мимо такого уютного и аккуратного счетчика посетителей, как LiveInternet.ru? Наверное у многие доверяли считать своих посетителей этому сервису, но не многие знали, как на самом деле они обращаются с нашими паролями.

Ежедневно появляются и исчезают тысячи доменов, но удалённые домены не всегда плохие… Просто их иногда забывают продлить или не хотят поддерживать дальше. Однажды я нашёл в сети хорошее доменное имя, которое вскоре будет удалено, но траффик с поисковых систем ещё есть. Один из моих проектов имел ту же специфику, и я не преминул воспользоваться таким шансом, получить пару десятков целевых посетителей.

Успешно получив права на домен я сразу создал титульную страничку и хотел разместить на ней счетчик, чтобы проверить, действительно ли на этот домен заходят. Вот тут сервис LiveInternet.ru сказал мне, что счетчик-то уже существует и я могу восстановить пароль следующими способами:
  1. по адресу, указанному в описании сайта в рейтинге LiveInternet;
  2. по любому адресу имя@вашюдомен, указанному на главной странице сайта;
  3. по любому адресу, указанному в файле live-****.txt;
  4. по адресу владельца домена: адрес из whois.
Первый пункт был не для меня, т.к. я не знал, на какой мейл был зарегистрирован счетчик. Второй и третий пункты требовали что-то сделать, а вот четвертый был для меня самым легким. Я отправил запрос на восстановление пароля через мейл, взятый из whois.

На дворе 21 век, и я ожидал получить письмо со ссылкой на восстановление или сброс пароля. Ну или хотя бы временный пароль или специальную ссылку, которые я мог использовать, чтобы сменить пароль на свой, но я получил письмо следующего содержания:

Здравствуйте!

  В сервисе LiveInternet на странице напоминания пароля
  http://www.liveinternet.ru/stat/ваш.домен/?what=reminder
  было запрошено получение пароля к статистике
  сайта ваш.домен.ру на адрес "адрес из whois"


  http://www.liveinternet.ru/stat/ваш.домен/
  пароль: тут был пароль, установленный предыдущим пользователем


  Изменить описание сайта вы можете на странице
  http://www.liveinternet.ru/stat/ваш.домен/edit.html

  HTML-код счетчика, который нужно вставить на страницах сайта,
  вы можете получить на странице
  http://www.liveinternet.ru/code?nick=ваш.домен

  IP-адрес, с которого был запрошен пароль: мой.ip

  По всем вопросам, связанным с работой счетчика и рейтинга
  LiveInternet, обращайтесь по адресу counter@corp.liveinternet.ru

 Успехов!


Успехов! — тут должна быть ироничная улыбка и причин для этого не мало!

Во-первых, письмо было отправлено на мой почтовый ящик и на ящик, указанный при регистрации счетчика (в данном случае он еще и отличался от доменного имени).
Во-вторых, мне прислали не новый, а старый пароль, указанный предыдущим владельцем!!!

Таким образом, я узнал комбинацию мейл/пароль, придуманную бывшим хозяином счетчика. Допустим большинство из нас пользуется разными паролями на новых ресурсах, но если копнуть поглубже, то, признайтесь, и у вас есть такой пароль, который вы используете на форумах, регистрация на которых вам не так важна… да и лень запускать программку генерации паролей. А счетчик… Ну пусть все счетчики будут с одним сложным паролем?

Хорошо, скажете вы, проблема не выдумана и ей можно воспользоваться при условии регистрации домена, оставленного нужным вам человеком. Но что будет, если базу паролей каким-то образом выкрадут с этого сервиса, то опасность грозит не только тем, кто теряет интерес к своим доменам, а всем тем, кто пользуется их счетчиками!

Перед тем, как написать эту статью я, конечно, поставил в известность администрацию liveinternet.ru, но они молчат в ответ и не делали никаких изменений в процедуре восстановления пароля. Я на всякий случай подождал пару дней и даже на их форуме попытался найти хоть кого-то связанного с администрацией, но, наверное, у них есть дела важнее, чем сохранность личных данных пользователей.

Similar posts

AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 111

    +10
    [irony]
    Хранение паролей открытым текстом — отличнейшая возможность для проведения различных исследований на тему «самые популярные пользовательские пароли».
    [/irony]

    Я таких очень много видел.
      +7
      Сдается мне, что как сделали они ядро системы в 2002 году, так с тех пор им лень его переделывать.
        0
        при том, как помню, делали они его далеко не с нуля, а на основе модуля vB Journal для форумного движка vBulletin
          0
          вы путаете дневники лиру и счетчики, на базе rax.ru
            0
            да, путаю…
            но у них всё нынче на одном домене, поэтому вообще не понять, что там где и как
        +2
        А как вы вообще определили, что пароль именно старый, а не новый и рандомный?
          +1
          Вероятно, это было какое-то слово или конкретный номер телефона, в общем то, что непохоже на машинный бред.
            +2
            Вполне может быть, что их генератор случайных паролей собирает пароли из словарных слов (или слогов), или использует числа такой-же длины, что и номера телефонов в РФ.
            Вот если бы ТС проверил это установив свой пароль для счётчика и затем снова запросив восстановление таким-же способом, тогда это было бы намного более авторитетно, без этого это просто догадки.
              +4
              Я проверил, прислало мой пароль. Он хоть и малозначимый для меня, но на всяк случай сменил.
                +6
                Выбирает случайный пароль из базы всех паролей своих пользователей :)
              0
              Я тоже однажды восстанавливал доступ к одному сайту. Пароль был осмысленным словом, ассоциировавшимся с названием компании, которая раньше занималась их сайтом.
                0
                а я потом попробовал «восстановить» пароль для своего сайта, пароль к счетчику которого я не успел забыть… прислали оригинальный пароль на вся ящики, на которые запросил ;)
                  0
                  Пароль старый. Подтверждаю это как человек, побывавший этой ситуации с обратной стороны.
                  У меня был сайт со счётчиком от ли.ру. В один прекрасный день я не стал продлевать домен, решив, что сайтом больше заниматься не буду.

                  Через несколько месяцев мне пришло письмо с восстановлением пароля, в котором был мой старый пароль. Тогда я лишь мысленно отправил лучики ненависти в адрес ли.ру, которые хранят его в открытом виде.

                  И лишь позже я заметил, что по старому домену уже есть новый сайт со счётчиком. Тогда и посмотрел на гениальное творение — эту форму восстановления пароля.

                  PS: И кстати да: пароль был хоть и не словарный, но короткий и который я использовал на многих и многих малозначимых сайтах.
                  +1
                  Хватит насиловать труп. Этот сервис уже давно не актуальный
                    +8
                    Очень даже актуальный.
                      +1
                      А что он может предложить оригинального?
                        0
                        А «переходы без ссылки» вас не впечатляют? лиру показывает сайты, с которых переходили на ваш, даже если не кликали ни по каким ссылкам.
                          +3
                          Не очень

                            0
                            Хм. Код пропал. Щас добавлю.
                              0
                              image
                            +2
                            Это единственный из популярных сервисов статистики, у которого риалтайм обновление.
                              0
                              Я согласен. Яндекс.Метрика пару дней назад вообще полдня статистику не обновляла (только на одном из моих сайтов).
                              К тому же, навигация в LI гораздо удобнее остальных.
                                0
                                рейтинг мэйла тоже реалтайм обновляет
                            0
                            Ошибаетесь. Его приходится использовать т.к. многие рекламные сети (или отдельные партнеры) требуют доступ к статистике именно этого сервиса, а про гугл аналитикс слышать не хотят.
                              0
                              Вы не умеете вести переговоры? У меня тоже один серьезный партнер пытался требовать как-то. Я сказал честно, что ссылка, которую устанавливает счетчик стоит у меня (по данным биржи) 200$/мес. Плюс компенсация оттока PR, платными ссылками. Счетчик не заплатит. Хочешь заплатить за него ты? Разговор сразу перешел в конструктивное русло и закончился на том, что я делаю для него парольную страницу с экспортом данных из аналитикса.
                                +3
                                rel=«nofollow»
                                  0
                                  читайте правила счетчиков — их код менять нельзя.
                                    +7
                                    Да насрать мне на их правила. Везде, где мне надо, я код меняю так, как мне надо.
                                      +1
                                      Спорить об этом не буду. Но я говорил про то, что не плохо бы уметь гнуть свою политику.
                                        0
                                        Красавчик, респектую!
                                      +1
                                      Всё проще — счетчик li.ru сейчас полностью генерируется на javascript. Там нет ссылок (только что проверил). Давненько я его не ставил. =) Но необходимости уметь вести переговоры это не отменяет ;)
                                • UFO just landed and posted this here
                                  0
                                  Не думал, что в 21 век кто-то еще умудряется хранить пароли в открытом виде… кошмар
                                    –5
                                    А мне нравится подобная политика лиру, намного удобней получить свой пароль, нежели генерить новый.
                                    Параноики кричат о безопасности итп, но согласитесь, нет ничего более удобного, чем напоминание пароля, именно напоминание, а не генерация нового.
                                    А что касается «если стырят базу лиру», я бы таким людям пожал бы руку. Счётчик лиру писан на си, в нём используется несколько разных типов хранения информации и все они разработаны Максом (Максим Зотов — автор counter.mail.ru, потом rax.ru, ныне liveinternet.ru) для конкретного проекта. А это вам не sql-inj в адресной строке ковырять )

                                    В общем за всё существование счётчиков лиру, а именно этот счётчик самый популярный в России, я не слышал ни об одной утечке инфы. И вряд ли услышу. Успехов и процветания сервису.
                                      0
                                      Учитывая то, что у многих один пароль на кучу сервисов, и они даже не подозревают, что он к кому-то может попасть через месяц, через год хотя бы путем восстановления его кем-то — удобство слишком ущербное.
                                        –1
                                        А я и не говорил про многих, я сказал что «мне» нравится подобная политика. Мне нравится, что даже в супер современных авто с супер современными системами безопасности, все эти esp и прочие можно отключить.
                                        Вы сталкнулись с нестандартной и удобной формой восстановления пароля, и тут же уверены, что это не верно, т.к. не безопасно. Как тот хакер с солонкой.
                                          +1
                                          Хммм… Эта форма была стандартной в древние времена. В настоящее время ее «неверность» уже мало кем оспаривается.
                                            –2
                                            В настоящее время эта форма успешно оспаривается сервисом лиру.
                                            Вы верно заметили, что существует возможность доступа к чужим паролем путём перекупки или покупки доменов. Тогда ждём следующую статью, о возможности брутить?
                                            0
                                            В описании любого сервера слова «пароли» и «хранить» не должны стоять в одном предложении. И точка.

                                            Не надо их хранить. И восстанавливать их не надо. Хранить можно хеши, можно сертификаты с открытыми ключами, но пароли? Он серверу не нужен.

                                            Не нужны вообще солонки. Каждый приходит с личным пакетиком соли, у хакера нет повода для возмущений.
                                              +2
                                              Называйте их как хотите. Пароли, позывные, слепки, хеши, сертификаты. Для авторизации вы должны представиться системе и сказать некое кодовое слово, подтверждающее, что вы это вы. Можно устраивать бюрократию, если вы забыли своё кодовое слово — идите к заместителю начальника генштаба по авторизации, пишите заявление о утере кодового слова, он вышлет вам его по почте. А можете не выходя из дома просто получить своё годовое слово на почту.

                                              Повторю, лично меня подобная политика лиру более чем устраивает. Я прекрасно понимаю, что это не безопасно и прекрасно понимаю, что к сервису счётчиков лиру больше подходит термин «кодовое слово», а не «пароль». Но это лучше, чем иллюзия безопасности. Ещё раз повторю, пароли лиру никогда не выкладывались в сеть. Подобранные хеши к таким сервисам, как qiwi и прочим — много раз.
                                                0
                                                То есть вы не знаете как работает авторизация по алгоритмам с открытыми ключами?
                                                  0
                                                  При чём тут авторизация по алгоритмам с открытыми ключами? И тем более при чём тут мои знания? ))
                                                  А вы в курсе, что клубника, это орех, а не ягода?
                                                    +1
                                                    Вам перечислили несколько методов авторизации. Вы свели их все к парольному. Я предположил, что вы не понимаете как работают остальные и честно об этом спросил. А теперь объясните какое отношение клубника имеет к теме.
                                                      0
                                                      Вот и я говорю, что клубника имеет точно такое же отношение к теме, что и ваше предположение о моих знаниях.
                                                      Или вы серьезно предлагаете лиру перейти на авторизацию с публичными ключами?
                                                        0
                                                        Конечно такое предлагать наивно — они еще https не освоили. :)
                                                          0
                                                          Такое наивно предлагать сервису статистики сайтов. Всё равно что ставить бронированную дверь с авторизацией через магнитные карты себе в туалете на даче.
                                                            0
                                                            Если от туалета на даче у вас тот же ключ, что и от квартиры, то не призывайте его вешать на гвоздик рядом с туалетом.
                                                          0
                                                          Вы здесь утверждали: "Ваш пароль идёт в открытом виде по сети в любом случае, если нет https`а.". Так вот не в любом случае. Наоборот в открытом виде пароль шлется только при base-авторизации, а все остальные пароль в открытом виде не передают. То есть имеет место ваше ложное утверждение в защиту неосмотрительной политики безопасности li.ru и соответствующий ответ на него. Теперь попробуйте найти «точно такое же» обоснование для вашей клубники в этом диалоге.
                                                            0
                                                            > Так вот не в любом случае. Наоборот в открытом виде пароль шлется только при base-авторизации, а все остальные пароль в открытом виде не передают.

                                                            что есть «base-авторизация» в вашем понимании? Авторизация через любой post/get запрос, т.е. через любую форму без https, это base-авторизация?
                                                              0
                                                              Base и Digest авторизация это протоколы авторизации, встроенные в HTTP. Когда вы говорите об авторизации через HTML-формы вы на самом деле говорите о более высокоуровневой авторизации, которая основана на не предназначенном для этого протоколе. Но даже в этом случае есть средства авторизации без передачи открытого пароля. Например на основе этой библиотеки. Хотя конечно проще и, зачастую, дешевле просто включить https, кстати внедренный на массе ресурсов, уважающих себя и права своих клиентов.
                                                                –1
                                                                Ответил вам ниже по поводу basic авторизации в http и частоте её использовании.
                                                                jssha очень круто. Вы когда-нибудь использовали её на публичном ресурсе? Получила тысячи писем в день от недовольных пользователей, которые не могут «сохранить пароль» в браузере для авторизации? Видимо нет, но ничего, тут на хабре можно повыёбываться и теоретическими данными.
                                                                  0
                                                                  а вообще я даже рад, вы открыли для себя новые способы авторизации в вебе. Возможно, часть даже протестируете.
                                                    0
                                                    > идите к заместителю начальника генштаба по авторизации, пишите заявление о утере кодового слова, он вышлет вам его по почте

                                                    Хрен там. Не должен он высылать старое кодовое слово.

                                                    Автор топика правильно высказывает претензию:

                                                    > я ожидал получить письмо со ссылкой на восстановление или сброс пароля [...] временный пароль

                                                    И если продолжать вашу аналогию, то в генштабе тоже не дураки сидят :) арифметические пароли известны с войны 1812 года, наверное. А то и раньше.

                                                    Ну да ладно. Для развлечения: боянистая задачка, глупая, но в тему:

                                                    Шпион засел в кустах и оценивает ситуацию на КПП. Подходит офицер, часовой ему:
                                                    — Пароль: 26. Отзыв?
                                                    Офицер:
                                                    — 13.
                                                    Часовой:
                                                    — Проходи.

                                                    Подходит второй.
                                                    — Пароль: 22 Отзыв?
                                                    — 11.
                                                    — Проходи.

                                                    Ну, шпион решил, что всё просёк, бежит к часовому.
                                                    Часовой:
                                                    — Пароль: 100.
                                                    Шпион:
                                                    — 50.

                                                    В общем, расстреляли шпиона. Какой отзыв должен был быть правильным?


                                                    Задачка допускает более одного решения.
                                                      0
                                                      ну не томите… скажите правильное решение…
                                                        0
                                                        Да их навскидку можно придумать полдесятка, и все правильные.
                                                        +1
                                                        3.
                                                          +1
                                                          Ответ может быть практически любым, потому что задача построена плохо. Отсеяно только тупо деление на 2. Варианты на вскидку:
                                                          1. Деление на 2 до того момента, пока ответ не станет нечетным.
                                                          2. Деление на 2 один раз, но ответ нужно сделать нечетным.
                                                          3. Деление на 2 до того момента, пока ответ не будет меньше 20 и будет нечетным.
                                                          4. Деление на 2 до того момента, пока ответ не будет меньше 20 + если первый получился дробным, нужно округлять (или делать модуль).
                                                          5. Интернет подсказал, что можно еще и буквы в словах «22», «26» и «100» посчитать.
                                                          6. Вероятно, это может быть длинной чего-то или шириной или высотой или скоростью, при которых получается великое что-то.
                                                            0
                                                            Угу. Я предупреждал %) Вот еще:

                                                            7. Деление пароля нацело на его же первую цифру.
                                                            8. Из числа десятков вычитается единица, число единиц делится на 2
                                                            9. Пароль — любое четное, отзыв — любое нечетное

                                                            и так далее, вплоть до манипуляций со временем, номером части и выслугой лет опрашиваемого.
                                                            0
                                                            Часовой загадывает два произвольных числа а1 и а2 от 1 до 100 и называет первое число (а1).

                                                            Офицер загадывает другое произвольное число б1 и называет его.

                                                            Если а2 = б1, то часовой пропускает.

                                                            Это решение верно с вероятностью 0.0099%

                                                            :)
                                                              0
                                                              зависит от того, до скольки умеют считать часовой и офицер.
                                                              0
                                                              47, как вариант.
                                                              Деление на 2 и ближайшее простое число.
                                                            0
                                                            Какая разница для сервера между plain text и md5 hash?
                                                            0
                                                            Кнопка отключить ESP, если кнопка вообще есть, просто немного распускает систему, позволяя водителю некоторые вольности, полностью ее нельзя отключить практически ни в одном современном автомобиле.
                                                              0
                                                              У меня друг перевернул каена, когда отключил esp и решил позаходить в повороты на ручнике. Вероятно, стабилизация всё же не сработала. Но это не суть ) esp была лишь примером. Пользуйтесь аналитиком и живите счастливо.
                                                          +4
                                                          <irony>… и базу данных и операционную систему Макс написал сам. Под собственный процессор...</irony>
                                                          Наивно полагать, что закрытость исходинков является надежной защитой. О чем в частности свидетельствуют многочисленные дистанционные эксплоиты для той же Windows.

                                                          Спасибо, что пролили свет на причину негибкости их сервисов.
                                                            –1
                                                            Наивно полагать, что есть совершенные, безопасные системы. Но есть ряд способов их обезопасить. И закрытые исходные коды + нестандартный подход определённо плюс к безопасности, тем более в руках опытного разработчика. Многочисленные remote сплоиты для Windows? Круто… А бесконечные дыры в phpbb? других порталах и форумах?

                                                            Можно долго чесать языком о том, как всё это не безопасно и уязвимо, но опять же, за всю историю лиру пароли не были слиты ни разу. Хоть и хранятся в открытом виде. Пароли от qiwi кошельков сливались раза 2, хоть там и хеши. Лиру может позволить себе хранить пароли в открытом виде, а вы нет. Это вас бесит?
                                                              0
                                                              Не нервничайте так. Да, идеальной защиты не существует. Но пренебрегать простым и надежным методом только потому, что считаешь сделал надежным в другом месте именно что наивно. Многоступенчатые защиты придуманы не зря, и умышленно убирать серьезную ступень защиты это как минимум не разумно. В чем преимущество открытых паролей? Ни в чем. А недостатков полно. Начиная с потенциальной кражи и заканчивая потенциальным доступом к личным данным со стороны самих владельцев li.ru и их партнеров.
                                                                0
                                                                > Начиная с потенциальной кражи и заканчивая потенциальным доступом к личным данным со стороны самих владельцев li.ru и их партнеров.

                                                                Я скорее поверю в то, что на стороне вашего провайдера сидит хитрый сисадмин и снифает траф.
                                                                Есть стандартный способ защиты в подобной ситуации, то, что описываете вы. Ссылки с хешами на почту, хранение не самого пароля, а, опять же, хеша, слепка итп. Если упрощённый с точки зрения пользователя способ — хранить всё в открытом виде и высылать доступ на почту владельца сразу.
                                                                Что выбрать — решает владелец/разработчик проекта.
                                                                Аналогичные притензии в своё время разработчики направляли в адрес фейсбука, мол как это так, у них авторизация без капчи, это же ботов можно делать. Намного проще обвинить кого-либо в хреновой безопасности, чем упростить пользователю жизнь без ущерба в системе защиты.
                                                                  0
                                                                  > Я скорее поверю в то, что на стороне вашего провайдера сидит хитрый сисадмин и снифает траф.

                                                                  И от владельца сайта зависит включение https… ах, да, его тут тоже нет. <irony>Но это не li.ru конечно виноват, что пароль в открытом виде идет по сети.</irony>

                                                                  > Что выбрать — решает владелец/разработчик проекта.

                                                                  Спасибо, Кэп. Но мы обсуждаем не права вебмастеров, а права пользователей. Например право на конфиденциальность данных.

                                                                  > Намного проще обвинить кого-либо в хреновой безопасности, чем упростить пользователю жизнь без ущерба в системе защиты.

                                                                  Защиты чего? Если защиты данных пользователя, то их дважды необоснованно подвергают опасности: первый когда принимают по сети без шифрования в открытом виде, второй, когда хранят в открытом виде.
                                                                    –1
                                                                    > И от владельца сайта зависит включение https… ах, да, его тут тоже нет. Но это не li.ru конечно виноват, что пароль в открытом виде идет по сети.

                                                                    Ваш пароль идёт в открытом виде по сети в любом случае, если нет https`а. И не важно, хешируется пароль на сервере или нет. Авторизуясь на вконтакте, вы так же отправляете его в голом виде. Только в случае с лиру, вы в курсе, что это может быть не безопасным и заранее ставите левые пароли. А в случае с контактом, у вас ложное чувство безопасности.

                                                                    > Например право на конфиденциальность данных.

                                                                    Пользователь глуп. Он выкладывает все данные о себе в соц.сетях, демонстрирует свои машины на автомобильных порталах и форумах, свои навыки в работе на hh.ru итд итп, а потом жалуется, что его пароль от лиру хранится не безопасно. Отключите себе интернет и радуйтесь, что ваши данные конфиденциальны.
                                                                      –1
                                                                      Видимо вы из тех людей, которые теряют адекватность, когда раздражаются. Таким людям обязательно следует успокоиться перед тем, как писать. Из за этого ваш комментарий получился совершенно неразумным. Вы оправдываете отсутствие https li.ru на том основании, что vkontakte (кстати меня вконтакте нет и не будет) им тоже не пользуется, но разве это убирает саму угрозу? Нет, угроза осталась и она серьезная. А google делает авторизацию через https. Как мне к этому относиться после того, как вы успокоили всех, что политика li.ru самая правильная? А теперь про глупого пользователя — одно дело, когда он сам выкладывает информацию о себе, а другое — когда его подставляют сервисы, которые вроде бы должны создаваться умными людьми. Чувствуете разницу?
                                                                        –1
                                                                        Гугл один из единственных сервисов, который в полной мере поддерживает https и это здорово.
                                                                        Я не оправдывал отсутствие https лиру, я обратил внимание на то, что даже такие массовые сервисы как контакт, пренебрегают этим. Видимо вы их тех людей, которые теряют возможность мыслить, когда раздражаются. Такие люди часто хватают из диалога фразы по одной, не пытаясь собрать мысль воедино.
                                                                        Чем вас подставил лиру? )))
                                                                          0
                                                                          > Гугл один из единственных сервисов, который в полной мере поддерживает https и это здорово.

                                                                          <irony> Но li.ru конечно лучше, он же накрутки ловит. </irony>

                                                                          > Я не оправдывал отсутствие https лиру, я обратил внимание на то, что даже такие массовые сервисы как контакт, пренебрегают этим.

                                                                          А выглядит, как оправдание. Особенно после того, как ваш аргумент про перехват паролей сыграл против li.ru

                                                                          > Видимо вы их тех людей, которые теряют возможность мыслить, когда раздражаются.

                                                                          Пруф? ))) Хотя бы покажите, что я написал раздраженно.

                                                                          > Чем вас подставил лиру?

                                                                          Ничем. Я им не пользуюсь. Мне хватает Google Analytics и метрики Яндекса. Но из-за выяснившихся особенностей политики безопасности я впредь буду рекомендовать другим от него воздерживаться.
                                                                            0
                                                                            > Но li.ru конечно лучше, он же накрутки ловит.
                                                                            Google всё равно круче лиру, пофиг что лиру это сервис статистики с возможностью анализировать накрутку, зато в google я могу авторизоваться по https
                                                                            Вы сами то понимаете, что уходите от темы?

                                                                            > Пруф? ))) Хотя бы покажите, что я написал раздраженно.

                                                                            Всё. А что раздражённо написал я? Т.е. вы понимаете, что у нас разное представление ситуации и каждый из нас считает, что оппонент раздражён и что нас в этом не переубедить и что это очень хреновый аргумент?

                                                                            > Ничем. Я им не пользуюсь. Мне хватает Google Analytics и метрики Яндекса. Но из-за выяснившихся особенностей политики безопасности я впредь буду рекомендовать другим от него воздерживаться.

                                                                            Вперёд и удачи.

                                                                              –1
                                                                              > Google всё равно круче лиру, пофиг что лиру это сервис статистики с возможностью анализировать накрутку, зато в google я могу авторизоваться по https

                                                                              Google analytics это вообще-то сервис статистики. И что он не выдает пароли пользователей сниферам тоже хороший плюс. Но если для вас важнее смотреть на статистику не всегда адекватных срабатываний фильтра накруток, выбирайте li.ru или bigmir. Лично мне этот фетиш не нужен — я давно убедился в его бесполезности. Кстати, а что вы имеете против https, если уж он вас так волнует?

                                                                              > А что раздражённо написал я?

                                                                              Например вы потеряли рациональность рассуждений, когда безосновательно приписали мне приверженность сервисам vkontakte и терпимость к их огрехам, хотя для таких суждений у вас не было ни малейшего основания. Потом вы посоветовали отключить интернет, хотя я не просил у вас совета. Эти высказывания основаны не на контексте дискуссии, а на вашем эмоциональном состоянии. Что же это, если не раздражение?

                                                                              > Вперёд и удачи.

                                                                              Еще скажите, что это «благословение» не признак раздраженности. Может я просил о нем где-то? Покажите такую цитату.

                                                                              > Т.е. вы понимаете, что у нас разное представление ситуации и каждый из нас считает, что оппонент раздражён и что нас в этом не переубедить и что это очень хреновый аргумент?

                                                                              Однако я привожу цитаты вашего агрессивного эмоционального поведения, а вы на мои не указали. И обобщать тут нет смысла. Мне и правда ничего от вас и от li.ru не нужно.
                                                                                0
                                                                                > Например вы потеряли рациональность рассуждений, когда безосновательно приписали мне приверженность сервисам vkontakte и терпимость к их огрехам, хотя для таких суждений у вас не было ни малейшего основания. Потом вы посоветовали отключить интернет, хотя я не просил у вас совета. Эти высказывания основаны не на контексте дискуссии, а на вашем эмоциональном состоянии. Что же это, если не раздражение?

                                                                                Мой абзац начинался с «пользователь глуп». Не «вы глуп», не «masterbo» глуп, а пользователь. И обращение последующее было к нему. Вы же, как я уже предположил, выхватили только те предложения, что интересны вам и начали их оспаривать, слепо.

                                                                                Как и https, за который лично я двумя руками за, у меня и быстрый поиск на https, и галка на всех службах google стоит «всегда использовать https» и ftp все лет 5 назад променял на sftp и svn+ssh. И не раз тут писал, что https это здорово. Вы же предпочли думать, что я не люблю https и ставлю его ниже, чем возможность анализировать накрутку другого сервиса статистики )))

                                                                                  0
                                                                                  > Мой абзац начинался с «пользователь глуп». Не «вы глуп», не «masterbo» глуп, а пользователь.

                                                                                  Речь шла о другом вашем абзаце. Где утверждая, что пароль в любом случае, кроме https идет по сети в открытом виде. (Я вам пытался намекнуть на Digest авторизацию по RFC 2617, где это не так. Но вы пытаетесь меня убедить, что если вы лично не готовы его использовать, то этого и нет в природе) И в раздражении написали "Авторизуясь на вконтакте, вы так же отправляете его в голом виде. Только в случае с лиру, вы в курсе, что это может быть не безопасным и заранее ставите левые пароли. А в случае с контактом, у вас ложное чувство безопасности.". Эта фраза полна ложных утверждений — я не пользуюсь vkontakte, не считаю их способ авторизации безопасным и не делаю в этом разницы с li.ru. И о хранении li.ru паролей в открытом виде я узнал из этой заметки, так что не мог бы заранее выбирать совершенно левый пароль для него (если бы я им пользовался). Таким образом я сделал вывод, что ваши утверждения взяты с потолка именно под влиянием эмоций. Чего вы добиваетесь это опровергая? Чтобы я решил, что причина этого бреда в психическом, химическом или органическом расстройстве вашего мозга?

                                                                                  > Вы же предпочли думать, что я не люблю https и ставлю его ниже, чем возможность анализировать накрутку другого сервиса статистики )))

                                                                                  Из вашего поведения я решил, что зная о желательности использования https, хотя бы для авторизации, вы отстаиваете право li.ru на отсутствие такой защиты, мотивируя это большой редкостью среди интернет-проектов, использующих авторизацию. Если вы хотели сказать что-то другое — уточните.
                                                                                    0
                                                                                    Не буду цитировать ваш бред по поводу rfc2617. Покажите мне хоть один публичный сервис, что использует данный способ авторизации на проекте.
                                                                                    Давайте не будем путать веб с «веб, который я хотел бы видеть». А то приверженцы IE6 сейчас запаникуют.
                                                                                    Опять же, мой абзац начинался с «пользователь глуп» и все дальнейшие обращения на «ты» были адресованы пользователю, который глуп. А не вам. Хотя, если вы их приняли как к себе, это ваша проблема. Далее вы можете долго доказывать, что мой мозг не в порядке, в связи с вашими выводами, связанными с вашей личной интерпретацией моих слов.

                                                                                    Про https — я использую его по любому поводу, если сервис позволяет это делать. https не просто позволяет анонимно сёрфить, но и вайлидейтит сервис, если сертификат подписан, т.е. я на 100% уверен, что сайт, которым я пользуюсь, действительно официальное, реальное юр. лицо, которое заботится о безопасности своих пользователей. Если лиру сделает https, я буду чуть счастливей. Но даже без https это отличный сервис.

                                                                                    А то что вы не знали до данного поста, что лиру не хеширует пароли, то вы, простите, школота. Лиру один из самых старых сервисов рунета, по крайней мере rax.ru был одним из первых счётчиков и если вы претендуете на звание веб девелопера или хотя бы аналитика, стыдно не знать о устройстве подобных сервисов, ибо их логина — это азы. И тот факт, что вы якобы изучали их способность анализировать накрутку, подтверждает, что вы использовали сервис.

                                                                                      0
                                                                                      > Покажите мне хоть один публичный сервис, что использует данный способ авторизации на проекте.

                                                                                      Вы утверждали, что пароль идет только в открытом виде и только https спасает от перехвата. Я показал, что это заблуждение. Это факты. А остальное — софистика. Как и ваше утверждение, что использование https google это исключение из правила. Остальной бред в первом абзаце комментировать не буду — потребуется повторять то, что вы просто не поняли из моих слов ранее.

                                                                                      > Если лиру сделает https, я буду чуть счастливей. Но даже без https это отличный сервис.

                                                                                      … но не безопасный с точки зрения некоторых атак, как вы сами заявили выше.

                                                                                      > А то что вы не знали до данного поста, что лиру не хеширует пароли, то вы, простите, школота. Лиру один из самых старых сервисов рунета, по крайней мере rax.ru был одним из первых счётчиков и если вы претендуете на звание веб девелопера или хотя бы аналитика, стыдно не знать о устройстве подобных сервисов, ибо их логина — это азы.

                                                                                      Может причина этого ошибочного суждения в том, что вы не готовы рассматривать отличные от вашей мотивации? Я ведь писал выше, что не являюсь сторонником открытой статистики. В те времена, когда я только начинал, пользовался бесплатным SpyLog и его хватало для любителей помериться посещаемостью. Сам же анализировал трафик по логам сервера с весьма специфической аналитикой. Пользоваться Google Analytics я начал с самого момента ее открытия, а недавно еще и добавил Яндекс Метрику. Оба эти сервиса авторизуются по https. На одном из текущих ресурсов потребовалось поставить счетчик с открытой статистикой. Им оказался Big)mir. Который тоже не хранит пароли в открытом виде и авторизует через https. Для меня такое положение вещей естественно, а политика li.ru — нет.

                                                                                      > И тот факт, что вы якобы изучали их способность анализировать накрутку, подтверждает, что вы использовали сервис.

                                                                                      У вас логическая ошибка. Для того, чтобы контролировать накрутку открытой статистики, вообще не обязательно там регистрироваться. Даже более того — регистрироваться, занимаясь «не очень желательной» активностью просто глупо. Еще одна логическая ошибка в том, что любой пользователь li.ru якобы знает, что пароли хранятся в открытом виде. Хотя это очевидно лишь тем, кто забывал свой пароль. У меня такой ситуации не было, стало быть не было шанса это узнать непосредственно.
                                                                            +2
                                                                            Google
                                                                            Yandex
                                                                            Facebook
                                                                            Amazon
                                                                            Hotmail
                                                                            PayPal
                                                                            Ebay
                                                                            Twitter
                                                                            Wikepedia
                                                                            Тупые, неотесанные сервисы, использующие https. А лирушечка идеал прогресса.
                                                                            Даже у направленного на домохозяек сервиса mail.ru есть безопасная форма ввода пароля.
                                                                +1
                                                                Зато Макс сам написал вебсервер )
                                                                0
                                                                рассуждения уровня школьника
                                                                  0
                                                                  Обоснуйте
                                                                    0
                                                                    >>намного удобней получить свой пароль, нежели генерить новый.

                                                                    что, в данном случае, вкупе со всеми остальными политиками Li, приводит вот к таким последствиям, что позволяет реально получить доступ к куче аккаунтов этого же человека. Зато

                                                                    >>намного удобней
                                                                      –1
                                                                      У меня много доменов, часть из них уже мне не принадлежит и свободны к продаже, на всех были счётчики лиру. Получите доступ к моей куче действующих аккаунтов и я приму ваше обоснование. Иначе вы просто пустоплёт. Лишь бы языком почесать.
                                                                        0
                                                                        в том-тои дело, что получал. Только немного другим способом, но подобным. У меня тоже десятки доменов, а если считать всех моих клиентов, то доменов сотни тысяч. И знаю точно многих клиентов, у которых пароли совпадают в биллинге, на серверах и на туче сервисов. В т.ч. email
                                                                          –1
                                                                          вы получали доступы к моим аккаунтам лиру? Я верно вас понял?
                                                                            0
                                                                            да не к вашим. Я про других людей писал. Речь не конкретно про Li, речь про способ хранения и восстановление паролей
                                                                              0
                                                                              > что, в данном случае, вкупе со всеми остальными политиками Li, приводит вот к таким последствиям, что позволяет реально получить доступ к куче аккаунтов этого же человека

                                                                              Вперёд, докажите свою точку зрения, «получите доступ к куче» моих аккаунтов
                                                                  +1
                                                                  Макс, ты?
                                                                  0
                                                                  Кстати, во многом русские рекламщики требуют доступа именно к этой статистики, т.к. лиру умеет вычислять накрутку. Что не делают другие счётчики.
                                                                    –1
                                                                    Кроме li.ru этим балуется Bigmir. Но назвать качественными их результаты вычисления накрутки, я бы не стал (после некоторых экспериментов). Кстати у Google Analytics с накруткой еще проще — они ведь считают трассы живых пользователей с историей посещения сайтов. Только не пишут громогласно, что у них есть фильтр накруток, чтобы не обострять параноиков тем, что всех считают задолго до захода на конкретный сайт.
                                                                      0
                                                                      Каких экспериментов?
                                                                      Мной была написана система накрутки любых счётчиков, без подделки http запросов, прокси, троянов и прочего. Система чистила рефак реальных пользователей и реально «гуляла» с ними по сайту. Пока ничего не подозревающий пользователь, например, читал новости на привычном ему проекту, он незаметно гулял по сайтам, которые оплачивали накрутку. Лишь лиру смогли обнаружить накрутку и показать её в статистике.
                                                                        –1
                                                                        Ваш метод ≠ единственный метод.
                                                                          0
                                                                          Каких экспериментов?
                                                                            0
                                                                            Моих экспериментов с накрутками счетчиков. (я думал, что понятно написал в первый раз)
                                                                              0
                                                                              Расскажите о них подробней, мне интересно, как вы накрутили счётчики, чтобы усомниться в качестве выявления этой накрутки сервисом лиру. Или это секретная информация, и все участники дискуссии должны принять её как факт? )
                                                                                0
                                                                                Я не собираюсь никого убеждать. Считайте это не фактом, а мнением, если вам так хочется.
                                                                                  +1
                                                                                  Вы заявляете, что качество определения накрутки у счётчиков лиру низкое. Но не можете это обосновать. У вас нет ни фактов, ни доказательств. Я не просил вас доказывать мне что-то, я попросил рассказать о ваших экспериментах подробней, т.к. мне интересно.
                                                                                    0
                                                                                    Вы своим поведением в этой дискуссии дали понять, что имеете к li.ru какое-то отношение. С моей стороны было бы наивным рассказывать вам о своей находке. «Вам интересно» меня не мотивирует. Хотите считать, что я сказал неправду — считайте. Кроме того, мой отказ поделиться алгоритмом накрутки полностью впишется в вашу концепцию закрытости информации в качестве защиты. В конце концов вы можете расценить мои слова просто как повод начать очередные эксперименты с накруткой, что будет наиболее конструктивным из всего нашего диалога.
                                                                                      0
                                                                                      Есть способ проверить ваши утверждения, не вникая в алгоритм, накрутите nptu.ru.
                                                                                        0
                                                                                        Не буду я ничего для вас накручивать. Мне это не нужно. Для меня это бесполезная трата времени и ресурсов. А еще мне не нужно вам ничего доказывать. Можете мне не верить и спать спокойно, считая, что li.ru нельзя накрутить. Смешит, что для вас не очевидно — раз счетчик кого-то вообще учитывает по формальным параметрам, то он учтет и несуществующего пользователя, если эти параметры соблюсти. :) Когда-то мне было интересно и нечего делать я нашел такую комбинацию. Но вам я ничего не должен: интересно — ищите сами. Считаете, что это невозможно — это ваше право.
                                                                                          –1
                                                                                          > Когда-то мне было интересно и нечего делать я нашел такую комбинацию

                                                                                          Примерное время сможете вспомнить? Месяц, год?
                                                                                          Когда я имел доступ к любому ящику mail.ru по желанию, знал секретное слово каждого аккаунта на почте яндекса. Когда был молодой, бородатый и крутой. И всё это «когда-то»
                                                                                            –1
                                                                                            Около 7 месяцев назад — во второй половине января.
                                                                                              0
                                                                                              года 2-3 назад у них уже была отработанная защита.
                                                                                              Итого, либо вы сумели накрутить 2-3 хоста и решили, что «крякнули лиру», либо вообще ничего не делали, но почесать языком на хабре это круто.

                                                                                              В общем, вы можете утверждать что угодно, но если нет доказательств или желания предоставить их — аргументы не в счёт.
                                                                                                0
                                                                                                Вы снова приписываете мне то, чего нет. Я не решал, что «крякнул лиру». Мне на него вообще наплевать. Но я проводил эксперименты с накруткой разных счетчиков, среди которых был и li.ru. Результаты я использовал только для защиты от накруток собственных разработок, так что успокойтесь — лавры взломщика «вашей прелести» мне не нужны. Я вообще считаю, что защита счетчика от накруток это лишний фетиш. Как, впрочем, и публичность статистики.
                                                                                                  0
                                                                                                  я посмотрю вы много что «вообще считаете». Вы провели эксперименты, как сами намекаете мелкие, и сделали вывод, что лиру это делает плохо и, главное, ему это не надо. Жаль, что вы не владелец лиру, уж вы то сделали бы всё правильно.
                                                                                                    0
                                                                                                    Также я сделал вывод, что Bigmir это делает плохо. И Spylog. И что без авторизации конкретного посетителя вообще нельзя достаточно надежно выявлять накрутки. Если вас смущает эта абстракция, можете еще поспорить с законом всемирного тяготения.
                                                                  • UFO just landed and posted this here
                                                                      +2
                                                                      Угу. Каждые 30 минут надо. Везде.
                                                                      0
                                                                      Попал в такую же ситуацию, но как бывший владелец домена.

                                                                      27 мая 2011 отправил на counter@corp.liveinternet.ru следующее письмо:
                                                                      Добрый день.

                                                                      Сейчас обнаружил интересную «особенность» сервиса статистики. Если у
                                                                      домена поменялся владелец, но статистика зарегистрирована на email
                                                                      предыдущего владельца, новый может узнать его пароль и почту через
                                                                      восстановление пароля.

                                                                      Конечно, идея отсылать пароль не только старому администратору
                                                                      статистики, но и владельцу домена разумна. Но почему не генерируется
                                                                      новый пароль? Не говоря уже о том, что пароль у вас и вовсе хранится в
                                                                      открытом виде. Фактически, вы раскрываете пароль старого
                                                                      администратора третьему лицу, а это очень и очень плохо.

                                                                      Данная ситуация будет как-нибудь исправляться?


                                                                      Ответа не получил, а ситуация, как видите, не исправлена и по сей день.

                                                                      Only users with full accounts can post comments. Log in, please.