Сервис хранения паролей и раздачи их всем желающим

    Недавно нашел интересный сервис — он позволял оставлять на нем свои пароли от разных сайтов и, при желании, постить при желании на все эти сайты сразу из одного интерфейса.

    Я сам таким не пользуюсь и плохо понимаю зачем такие сайты нужны, но мне стало интересно, насколько же защищены пароли пользователей на этих сайтах?

    Полазив по сервису, нашёл парочку дырок с XSS-уязвимостью. Но на каком сайте их не бывает? Даже на хабре вон не все еще закрыли (хотя хабр и не хранит чужие пароли, ему простительно).

    Еще больше я был удивлен, когда узнал, что сменить пароль пользователя и любую его информацию на этом сервисе можно обладая всего лишь его кукой. Такой простой вещи, как ограничение сессий по IP там нет, не говоря уже о требовании ввести пароль при смене критичных данных. А это уже совсем непростительно, даже на хабре такого неуважения к безопасности нет.

    Но это не самое смешное. Случайно я обнаружил, что если сменить свой емейл в профиле, то система радостно отправляет на новый емейл незашифрованный пароль пользователя. Это уже ни в какие ворота. Мало того, что даже хранить незашифрованный пароль пользователя нельзя, но отсылать его по почте в открытом виде кому попало…

    Все это мне стало настолько интересно, что я решил узнать, что же может добиться хакер на этом сайте?

    Написав небольшой скриптик и применив немного психологии (чтобы заставить людей зайти на мой профиль, на котором был этот скрипт), я получил в открытом виде пароли около 400 пользователей сервиса. Учитывая, что 80 и больше процентов людей используют один и тот же пароль на нескольких сайтах (а иногда и на почте), а список сайтов, на которых зарегистрирован пользователь, можно найти прямо в его профиле (это основная «фишка» того сервиса, о котором идет речь), то получается просто рай для злоумышленников.

    Написав совсем немного кода на JS можно получить доступ к паролю человека, постить от его имени в другие его блоги (если он настроил эту «фичу» на сервисе), при удаче (или неосторожности пользователя) получить доступ к его аккаунтам на других сайтах.

    Что же это за замечательный сервис?
    Это bestpersons.ru, программисты которого с гордостью писали о найденных XSS на самом Jaiku! UPD: уже не гордятся :(

    Удачи тем, кто использует сервисы, «объединяющие сайты».

    з.ы. а еще они предоставляют OpenID ;)

    продолжение истории

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 266

      +2
      Очень и ояень печально.
      А так хочется нормальный сервис такого рода!..
        +2
        Не сочтите за рекламу. Я к данному сервису никакого отношения не имею.

        http://passpack.com

        P.S. Тем, кто будет пробовать этот сервис, советую почитать вначале раздел

        http://passpack.com/info/security/

        Это позволит составить общее представление о сохранности данных.
        +1
        Кстати, сейчас почему-то bestpersons.ru лежит. 502-я.
          +3
          Чинят, видать. Посмотрим, чего начинят.
            +5
            Вы со своим аватаром как санитар леса (читать интернета) :)
              +3
              Наверное, неправильно поняли. Я и имею ввиду, что товарищ romanser как санитар леса находит больные места, а аватар как раз в тему :)
            0
            Стыдно стало)
            • UFO just landed and posted this here
                0
                Не, хабраэффект навено :))
              0
              У меня "502 Bad Gateway". Да и не жалею.
                +3
                Надеюсь они после этого закроются
                  +2
                  Закрыться не закроются, но доверять им мало кто будет.
                    +1
                    А чем они Вам насолили?
                    (Я так понял, не только этими дырками.)
                      +1
                      Это вопрос чести :Р
                        0
                        Сделать харакири? :) Броситься с высоты на серверный корпус? :)
                          –5
                          Хабракири. "Давайте сделаем хабракири ресурсу <...>" =)
                          Ничего личного к компании.

                          По сабжу:
                          > но отсылать его по почте в открытом виде кому попало...
                          Простите, но так делает каждый (например при восстановлении пароля). И вообще, я в этом не вижу ничего зазорного, ибо это то же самое (в плане безопасности), что и показывать пользователю (или просто позволять менять менять) пароль через веб-интерфейс по простому незащищенному HTTP.
                            0
                            Ключевое слово "кому попало".
                              0
                              Да, конечно - мой косяк, я сам потом увидел. Ниже поправка:
                              0
                              Уточнение, я конечно же про "в открытом виде", а не про "кому попало", естесственно надо проверять кому, что и куда слать.

                              Кстати тут недвано писали про новую соцсеть moskva.ru - поковырялся немного, ужасно багнутый ресурс. Например можно читать чужие "анонимные мнения", которые кстати несовсем и анонимные, еще кой чего можно делать.. Дальше ковырять было лень ибо для меня стратегической важности он не представляет. Ну может кому будет интересно - посмотрите.
                                –3
                                Это пеееар..? )
                                  0
                                  Даже не задумывался, что мой пост можно расценить именно так. =) Вы считаете когда кто-то говорит про баги или ошибки на сайте - это можно рассматривать как пиар?
                                +5
                                Обычно генерируют или новый пароль (который и отправляют), или отправляют на старый e-mail ссылку, перейдя по которой можно будет ввести новый пароль.
                                Да и вообще хранить пароли пользователей в открытом виде - дурной тон.
                                  –1
                                  Согласен, но это уже детали реализации.
                                  Кстати про "в открытом виде" - я сам в шоке, но так до сих пор делает mail.ru.
                                    +1
                                    А также вконтакте. Когда столкнулся с этим, то тоже меня это поразило. На мой взгляд, это должен быть стандарт де-факто, с использованием хеш ключей не обратимых функций. И дело тут даже не в дурном тоне, как сказал Hint, МОЙ ПАРОЛЬ НЕ ДОЛЖЕН ЗНАТЬ НИКТО, даже хозяева ресурса. Ни говоря уже и о тех, кто не законно получает доступ к этим данным. Да уж... Что касается майл.ру, то еще один минус (далеко не первый, и судя по всему не последний :) в моем личном рейтинге он получил...
                                  0
                                  > Простите, но так делает каждый

                                  Мне всё больше встречается ресурсов, где вместо отсылки паролей отсылают ссылку, перейдя по которой можно пароль будет задать. Ссылка, понятно, с коротким сроком годности. Пароль в открытом виде не светится нигде и никогда.

                                  > пароль через веб-интерфейс по простому незащищенному HTTP.

                                  Разумеется, вся работа с паролями должна вестись по HTTPS, как на уважающих себя ресурсах обычно и бывает.
                                    0
                                    Я с вами согласен, так должно быть, но хотелось бы услышать хотябы несколько примеров известных ресурсов, которые используют хоть какую-то защиту в штатном режиме. Ну например при простой смене пароля пользователем.
                                      0
                                      Да тот же gmail, где вообще вся работа с почтой ведется у меня по HTTPS. Аналогично addons.mozilla.org (которая также присылает ссылку для сброса пароля, а не пароль), мои хостеры и домейнеры все как один используют HTTPS. Ну и разумеется при смене пароля у оных надо либо знать пароль предыдущий, либо (при клике на "забыл пароль") будет выслана ссылка с ограниченным сроком годности для смены пароля.

                                      По моему, настроить HTTPS стоит обычно не дороже сотни долларов работы веб-мастера (плюс, ещё столько же на покупку сертификата от того, кому обычно броузеры доверяют по умолчанию). Сесть и чуть-чуть подумать на тему "как обеспечить минимальную безопасность пользователю" ещё с сотню, ибо тут думать нечего, брать тот же gmail и делать так же.

                                      И если это не сделано, значит данный сайт ценит своих пользователей весьма невысоко.
                                        0
                                        Хостер, регистратор - да, но платные сервисы. Ну еще вот гугл с бесплатной защищенной почтой - а 90% публичных бесплатных сервисов - например вконтакте, одноклассники, множество форумов, различные блоги, Хабр, почта - почти вся - никакой защиты соединения у них нет. Ну развечто у того же мейл.ру - опционально там есть SSL (http://secure.mail.ru/), правда не для всей работы с почтой, а только для логина в систему. Странная политика. А при том что пароли в открытом виде в базе лежат - вообще непонятно.
                                          0
                                          сертификат для SSL сейчас и за 10$ в год можно купить :)
                            –4
                            Точную цифру не помню, но, кажется на Хабре читал что в Бэстперсонс вложено под сотню тысяч долларов США.
                            Утверждать не могу, но, кажется что-то в этих пределах.
                              +6
                              Пошел себя удалять оттуда, а то недавно уже от гмейла пароль увели
                                +1
                                Из своего ЖЖ тоже запись лишнюю удалите, вы были одним из тех, кого скрипт затронул :]
                                  0
                                  Так, а кого еще затронуло?
                                    0
                                    Неважно, я пароли эти использовать не собираюсь.
                                    Но лучше всем у кого там был "общий" пароль их сменить - я ведь не один такой умный, а своровать их можно было незаметно (если не делать этого массово)
                                    +2
                                    Вот блин и правда=(
                                    До этого пришло письмо
                                    Пользователь http://denisov.bestpersons.ru/ отправил вам личное сообщение.

                                    Зашел к пользователю и все, оппался?
                                      +1
                                      А-ха-ха, аналогично пропалился.
                                      *Судорожно вспоминает где еще юзал этот пароль*
                                      С другой стороны, мы знаем кто понесет наказание, если что :)
                                        +1
                                        Я намекаю не на romanser, а на бестперсонс.
                                        0
                                        В посте описан процесс примерно)
                                          0
                                          Такое может случиться на любом сайте. Поэтому не стоит доверять кому попало.
                                            0
                                            И мне такое приходило... :(
                                            0
                                            Вот кстати, а меня затронуло?
                                            Видел сегодня на бестперсонс, что некий "deniskin" написал мне, но его сообщение, судя по всему, было удалено.
                                            Ну и я зашёл на его страницу, возможно выполнив вредоносный код.
                                              0
                                              *denisov
                                              0
                                              Если заходили на страничку - значит затронуло.
                                                0
                                                А Вы пароль не меняли?
                                                меня затронуло, теперь не могу подключиться
                                                  0
                                                  Тоже самое было, сменил пароль, залогинился по новому паролю и удалил акк
                                                    0
                                                    >сменил пароль
                                                    через "напомнить пароль"
                                                      0
                                                      Спасибо, Тоже удалил
                                                  0
                                                  я заходил на страницу denisov неавторизованным )))
                                                  проверьте, плиз, затронуло ли меня (http://nicothin.bestpersons.ru/)
                                                    0
                                                    п.с. аккаунт свой удалил, так что, можно не проверять...
                                                      0
                                                      Это вы думаете, что удалили.. А ведь база у них собирается и собирается... :)
                                                        0
                                                        ну, я не предлагаю ментов сжигать, толку о том, где я зареган мало.
                                                        а пассы доступа к админкам блогов сменить не сложно.
                                            0
                                            На страницу вашу заходил, благо пароль у меня на bp.ru автосгенереный был.)) Пароли от других сервисов не вбивал) Из bp себя естественно удалю)
                                              +12
                                              Очень, кстати, хочется комментариев представителей ресурса, которые на хабре, насколько я помню, неоднократно отписывались.
                                                0
                                                если я не ошибаюсь то сообщения приходили от пользователя denisoc
                                                с текстом
                                                привет, зарегистрировался на этом сайте гляжу и ты тут
                                                или что то типа такого
                                                  0
                                                  Благо не пользовался. 502 - покраснели, чинят )

                                                  "программисты которого с гордостью писали о найденных XSS на самом Jaiku!"
                                                  если так - то это вдвойне печально. Как там? "В чужом глазу соринку замечаем..."
                                                    0
                                                    Приятно, что не перепились ещё хакеры на Руси :). Неприятно, что бестперсонс, с виду такой полезный и симпатичный и неплохо сделанный так подставил своих пользователей.

                                                    Мой автосгенеренный пасс видимо у вас :)

                                                    А что ж делать простым добрым молодцам? Плагин Noscript юзать к ФФ?
                                                      +2
                                                      Без скриптов на bestpersons, как и много где еще, ничего не работает. Поэтому правильный выход - использовать надежные и разные пароли, никому их не передавать, все важные данные передавать только по https, не использовать сайты, которые не относятся серьезно к безопасности данных.
                                                        0
                                                        Мда, так сразу и не определишь, кто как относится к безопасности данных. Какие новости не глянь, все профукивают информацию.

                                                        Скоро текстовые браузеры опять войдут в моду :)
                                                          0
                                                          Реклама (не)далекого будущего: HTTPS. Я за бесопасный интернет. (по аналогии с презервативами) :)
                                                        +7
                                                        сразу вспомнилось: http://habrahabr.ru/blog/social_networks/45674.html#comments
                                                          +6
                                                          О да, особенно:
                                                          "...Печально, что одна из крупнейших социальных сетей русского сегмента интернета препятствует интеграции и объединению сервисов. В конечном счете, выгоду от этого получают все: и пользователи, и сервисы. Надеемся, что в дальнейшем ситуация изменится."
                                                          +1
                                                          Данный случай еще раз подтверждает тот факт, что нельзя складировать пароли в одном месте в интернете.
                                                            0
                                                            Случай подтверждает то, что пароль на то и пароль, чтобы его никто не знал кроме владельца. Я до сих пор с опаской отношусь даже к запоминалкам паролей в броузерах, ведь от ошибок не застрахован ни один разработчик...
                                                              0
                                                              Отличненько: сервис заработал, удалился))
                                                                0
                                                                а где уверенность, что при удалении там действительно удаляется из базы, а не ставится флажок в базе del=1 ?
                                                                  0
                                                                  Есть только обратная увереность :)
                                                                –57
                                                                уязвимость была, и была исправлена.

                                                                Пользовательские данные не пострадали. ЗЛОУМЫШЛЕННИК получил доступ к небольшой части паролей, использующихся для доступа к сайту Bestpersons.ru.

                                                                Пароли пользователей для доступа к другим сервисам хранятся отдельно, в виде препятствующем несанкционированный доступ к ним.
                                                                Для пользователей, подвергшихся атаке сгенерированы новые пароли.

                                                                Юристы компании рассматривают данный инцидент.
                                                                • UFO just landed and posted this here
                                                                    +1
                                                                    Голословные утверждения. ;) Ребята конечно облажались по крупному но за кем такого не водилось..
                                                                      +1
                                                                      сколько на моей памяти проектов, которые так облажались. ниодин не юзаю, даже несмотря на то что лажа была исправлена. тот же ljplus, например.
                                                                        0
                                                                        Ну это личное мнение. Я юзаю проекты которые так лажались. Потому что лажались так практически все проекты. А о огромном количестве дыр мы просто не знаем.. =) Благодаря этике.
                                                                      • UFO just landed and posted this here
                                                                          0
                                                                          Да не особо. %) Я про слова "Можете забыть про этот проект".
                                                                        +4
                                                                        Ну может и не …дец еще, смогут обыграть, типа, "нас взломали", "проклятые злоумышленники", "мы с вами стали жертвами". Большая часть пользователей, мне кажется, и не узнает об инциденте.
                                                                        • UFO just landed and posted this here
                                                                            –2
                                                                            Тут вы тоже не совсем правы. В теории - можно найти в любой конструкции строительной уязвимую точку и туда шибануть. Кто будет виноват в погибших - строители или тот кто ударит в эту точку? Или же ударив человека в висок вы будете пенять на господа бога и хреновое устройство черепной коробки? Так что юристам место обязано найтись в данной ситуации.
                                                                              0
                                                                              Что касается юристов - как я понял, автор этого поста обнаружил и доказал наличие данной уязвимости не со злым умыслом.
                                                                              Аналогия с черепной коробкой мне понравилась. :) Но если продолжать дальше, то в данном случае уместно говорить о том, что в некоторых местах эта коробка от природы была тонка. ;)
                                                                                0
                                                                                Никто и не спорит собственно. Но. "Неправомерный доступ к компьютерной информации". Как бы статья 272. Этот факт гарантированно был. Про то что мой например пароль был изменен(хоть и на BP только) промолчу. Это по идее отягчающее. =) Так что как ни обидно, но законодательство у нас такое. Хотя автор полюбому молодец. Просто меня веселит истерия с которой начали опускать "великие мастера хабра-программирования" создателей BP.
                                                                                Продолжая аналогию - сначала стоит создать свою "модель человека", да еще и действующую а потом кричать что господь бог ни на что не годен и черепная коробка у него сделана совсем не так как надо.

                                                                                О. А карму мне уже начали понижать... =)))
                                                                                  0
                                                                                  ваш пароль был изменён не "злоумышленником"))

                                                                                  читай выше:
                                                                                  >> Для пользователей, подвергшихся атаке сгенерированы новые пароли.
                                                                                    –2
                                                                                    То есть таки BP так отреагировал? Хм А то что при заходе на страницу выдавалось то что напоминалка пароля ушла на адрес на яндексе это что? Или же уходил открытый пароль а сейчас BP все пофиксили и сгенерили новые? Открыл бы автор полный лог атаки что ли.. ;)

                                                                                    На самом деле в любом случае это следствие действий конкретного человека. Вся ситуация. И следствия из нее.. Ну читайте в других ветках. Тут вопрос законодательства и этики на самом деле. Формально BP имеет полное право на работу юристов.
                                                                                    0
                                                                                    Я полагаю, что если автор этим занялся, то о том, как себя обезопасить от нападок, он тоже подумал. ;)
                                                                                    Законодательство законодательством, но мы люди и наша сила в способности разрешать конфликты с использованием здравого смысла и логики. ;)
                                                                                    А вот морально-этическую сторону вопроса обсуждать бессмысленно, тут есть как минимум несколько аргументированных мнений.
                                                                                      –4
                                                                                      О чем и речь. Продвигать свою точку зрения о соблюдении этики автором я не буду, но вопрос неоднозначен. Однозначно законодательство.. И будут или не будут BP использовать юристов - вопрос как раз этики. Формально - должны и будут.
                                                                                  0
                                                                                  Если Вы долбонете по зданию - точно погибнут люди. В данном случе "ни одно животное не пострадало" (с). Поэтому сравнение не корректно.
                                                                                    +1
                                                                                    Не согласен. В здании может не быть людей. А пострадали ли те кто потеряли пароль от BP сегодня тоже вопрос. По идее такие вещи решает законодательство. Разве нет? В данном случае статья 272. =) К слову. Я не считаю что автор стать и не прав или поступил дурно. Ни в коем случае. Обычно вопросы проверки на секурность решаются в обход законодательства поскольку соблюдается профессиональная этика. В данной ситуации - вопрос сложный с моей точки зрения. Не буду продвигать мою - но ответ на вопрос "соблюдал ли автор профессиональную этику" не видится столь однозначным, вам не кажется?
                                                                                    0
                                                                                    тут висок не очень удачный пример. скорее можно сравнить с альпинистом без снаряжения. всё-таки речь идёт о примитивных основах безопасности.
                                                                                      0
                                                                                      Примитивных.. Пароль текстом на почту - да. Безусловно. XSS-уязвимости же есть практически везде. Я бы сравнил со слишком самонадеянным альпинистом а не с альпинистом без снаряжения.

                                                                                      И тут как раз начинается то о чем я говорил. Подставить алпиниста который слишком красиво и глупо идет на склон - нормально. Но подставить так что бы всем было ясно что ничего страшного произойти не могло. А за подставу которая и не научит ничему и опасность для альпиниста представит нешуточную - можно получить по морде от всей группы. =) Какой случай тут как я уже писал - вопрос не однозначный.
                                                                                    +2
                                                                                    Сейчас, увы, всё решают деньги, а не совесть.
                                                                                    По совести, конечно, хорошо бы извиниться, но, можешь потерять деньги, хотя, наш народ отходчивый, может быть и простили, а так, не думаю что простят.
                                                                                    –3
                                                                                    Не факт кстати. Там же сидят не лемминги а те кто любят агрегировать свои и чужие данные. А в новости это попадет.. В блогосферу точно. =) Но вообще ребятак кончено да. Подставили откровенно.
                                                                                      0
                                                                                      Ну давайте все же без злорадства. ;)
                                                                                        –1
                                                                                        Ни дай боже. Злорадства тут и без меня хватает. ;)
                                                                                  +11
                                                                                  Мне кажется, не юристы должны себе сейчас одно место рвать, а программисты. Ну или менеджер проекта, в конце концов.
                                                                                    +21
                                                                                    Как Вы жестко-то, "юристы рассматривают данный инцидент", прямо как "большие". ;)
                                                                                    Если бы не этот "злоумышленник", не факт, что Вы бы достаточно быстро узнали об этой уязвимости.
                                                                                      +3
                                                                                      Верно, и, нормальный злоумышленник хорошенько бы трахнул всех пользователей бэстперсона, а наш - молодец, без лишней скромности.
                                                                                        +1
                                                                                        Кто Вам сказал, что он этого не сделал?
                                                                                        Если он сделал только то, что написал, то да.
                                                                                        А ещё могли быть и другие, которые ничего никому не сказали.
                                                                                        0
                                                                                        Кстати, надо на сервис подать в суд, за моральный ущерб и пусть тогда юристы, как большие рассмотрят все жалобы о потере паролей ;)
                                                                                          0
                                                                                          Да ну, зачем это все. Мне кажется, гораздо эффективнее решать мирно подобные проблемы, если речь, разумеется, не идет о действительно нанесенном ущербе.
                                                                                            0
                                                                                            Естественно нужно мирно решать проблемы, просто тут ситуация такая, что человек им реально помог, ибо указать на существующие баги - это очень существенная помощь, а ему, мол "Юристы компании рассматривают данный инцидент", как будто он приступник какой-то. Имхо это неправильно. В следующий раз у этого чувака будет стимул не говорить о найденных уязвимостях публично.
                                                                                              0
                                                                                              Да, я по этому поводу выше написал - такая же глупость с этими юристами. ;) Неправильно это, конечно. Но в подобном стиле отвечать все равно смысла нет.
                                                                                        0
                                                                                        Пароль все также хранится не хешированный?
                                                                                          0
                                                                                          Какой инцидент?
                                                                                            +19
                                                                                            Стоит уточнить. Уязвимости. Если нашли только одну - ищите еще. Я использовал самую простую.
                                                                                              +2
                                                                                              Ваш ник соответствует Вашему посту, вернее "сказочному посту". Стыдно за себя что я был там.
                                                                                                –9
                                                                                                О, боже, какой пафос. ;)
                                                                                                Сервис стал принципиально хуже, что ли, от этой уязвимости? Её наличие - это очень плохо, конечно. Но сам сайт хорош, мне нравится.
                                                                                                  +2
                                                                                                  Самому не смешно ? "Сервис стал принципиально хуже, что ли, от этой уязвимости?" =)) Мне, лично, очень смешно.
                                                                                                  Сервис стал <никаким> после этого. После этого пользоваться этим сервисом - это все равно что покупать сейфы из картона :D
                                                                                                    –2
                                                                                                    Честно говоря, я не считаю, что единственное назначение этого сервиса, делающее его уникальным - это хранение паролей от других ресурсов. У меня, к примеру, там ничего подобного нет.
                                                                                                    Я согласен, что это гадость, но раздувать подобную уязвимость до вселенского масштаба - как-то по-детски.
                                                                                                      0
                                                                                                      особенность этого сервиса — ввести все свои пароли от всех сетей, блогов и сайтов, и писать с БП, а не с каждого отдельного сервиса. Если все хорошо — все будут оставлять данные, а после такого — вряд ли. Я рад оставить пароли на защищенном сервисе, но на заборе я их писать не намерян!
                                                                                                        +2
                                                                                                        Возможно, здесь мы с Вами разойдемся во взглядах, но эта особенность хоть и является одной из ключевых, но не самой-самой важной. Мне лично сервис понравился именно возможностью просматривать уже написанное другими пользователями в разных местах и сразу видеть, на каких ресурсах они имеют профили. Но не суть.
                                                                                                        Ситуация крайне неприятная, и сравнение с забором уместно. Я тоже после того, как сервис поднялся, проверил ещё раз, не осталось ли там паролей от других профилей.
                                                                                                        Тем не менее, как я понял, уязвимость сводится к тому, что злоумышленник мог узнать только пароль от ВР, а остальные данные оставались в безопасности. Об этом же заявили представители ресурса.
                                                                                                        Мне просто непонятно экзальтированное отношение отдельных людей к проблеме и её трактовке. Кроме того, откровенное злорадство неприятно.

                                                                                                        Я полностью согласен с тем, что проблема с обеспечением безопасности пользовательских данных на ВР - это плохо, очень-очень плохо. Это безолаберность со стороны работников сервиса и говорит об их непрофессионализме.
                                                                                                        Но люди, злорадно тыкающие пальцами и кричащие нечто вроде "какой позор, я ухожу с этого сервиса!" или "да как так можно!" у меня вызывают отнюдь не менее отрицательные эмоции.

                                                                                                        Хабралюди, давайте все же быть доброжелательнее, спокойнее и снисходительнее, в конце концов. Будет лучше всем. :)
                                                                                                        Все мы не без грехов, и далеко не каждый способ создать, поднять и развить сервиса типа ВР.
                                                                                                    –1
                                                                                                    Да, кстати, минусы достаточно красноречивы, но все же: минусующие, хотя бы потрудитесь объяснить, как моя позиция противоречит вашей? Или взвешенное и спокойное отношение к вещам нынче не в моде на Хабре? ;)
                                                                                                  +7
                                                                                                  Я бы на месте ваших юристов еще бы и доплатил бы злоумышленнику за то, что он выполнил работу ваших же работников. Хорошо, что я такими сервисами не пользуюсь. Всегда считал, что доверять свой пароль надо доверять либо хорошо спрятанной бумажке.
                                                                                                  • UFO just landed and posted this here
                                                                                                      +4
                                                                                                      ЗЛОУМЫШЛЕННИК
                                                                                                      Злой умысел доказан?
                                                                                                        0
                                                                                                        Спасибо, вы первые, кто скомпрометировали мой пароль. Зол ужасно. Всем расскажу.
                                                                                                          0
                                                                                                          А вы уверены, что вас это коснулось? Вы заходили на БП последние пару дней?
                                                                                                          Мне кажется, большинство людей, прочитавших этот пост и имеющих аккаунт в БП сразу посчитали, что их пароли увели. Это совсем не так.
                                                                                                            0
                                                                                                            Уверен. Мне пришло такое письмо от этого юзера.
                                                                                                          0
                                                                                                          Классный такой ник - skazo4nik
                                                                                                          :D
                                                                                                            +1
                                                                                                            Слово "Злоумышленник" подразумевает "Злой умысел". Конечно, "неправомерный доступ к компьютерной информации" - это статья УК, но ВАМ В ДАННОМ СЛУЧАЕ лучше бы об этом не упоминать.
                                                                                                            • UFO just landed and posted this here
                                                                                                              0
                                                                                                              Чтож за.. =) Пока будем надеятся на вашу честность. А пароли я пошел менять.. Черт. Ему 5 или 6 лет. Я же всех сервисов даже не вспомню.
                                                                                                                +5
                                                                                                                Вот как чувствовал и не регился на этом сервисе, а вообще это говорит о том что простите программеры лохи.
                                                                                                                  +5
                                                                                                                  А я как чувтствовал и не знал об этом сервисе :) Видимо меня хранит кто-то свыше, не давая узнать о таких мегасервисах :)
                                                                                                                  +11
                                                                                                                  Упс. Пост про Jaiku куда-то пропал)
                                                                                                                  • UFO just landed and posted this here
                                                                                                                  • UFO just landed and posted this here
                                                                                                                    +2
                                                                                                                    Вот для этого и придуман OAuth, чтобы не хранить пароли, а авторизоваться непосредственно на требуемом сервисе и добавить сайт, подобный BestPersons в список доверительных, разрешив доступ только в определённые места.

                                                                                                                    BestPersons, просто пытался опередить время. В России до поддержки подобных OAuth технологий ещё далеко. Даже такая передовая социалка как Хабр до сих пор не знает что таое OAuth, OpenSocial и тд.
                                                                                                                      0
                                                                                                                      Вы путаете. Не OAuth, а OpenID
                                                                                                                        +2
                                                                                                                        Не, это вы путаете. Посмотрите в Википедии или на Хабре
                                                                                                                          +1
                                                                                                                          OAuth для авторизации программ. Для авторизации людей - OpenID.
                                                                                                                          Хотя если вы имели в виду хранение паролей сторонних сервисов на бестперсонс - вы правы. Я вначале про другие пароли подумал.
                                                                                                                      +3
                                                                                                                      Хороший проект для оттачивания своей уголовной истории :)
                                                                                                                        +13
                                                                                                                        Пожалуй вставлю свои пять копеек. Я думаю стоило сначала написать в поддержку bestpersons.ru, сообщить об ошибке, дождаться ее закрытия, а потом уже писать пост. Все не без греха, но так подставлять людей думаю тоже не стоит.
                                                                                                                          +3
                                                                                                                          А вот под этим подпишусь. Это называется "профессиональная этика".
                                                                                                                            +7
                                                                                                                            C ними поступили так же, как они со своими пользователями. Если писать напрямую в саппорт - скажут спасибо, залатают одну конкретную дырку - и где уверенность, что подобных дыр там не останется? То есть конфиденциальные данные пользователей все еще под угрозой. Гласность - это хорошо. Многие выводы сделают - не только по данному ресурсу, но и вообще по безопасности в сети.
                                                                                                                              +3
                                                                                                                              Ну, никто и не заставляет молчать — пиши, была дыра, нашел, такие нехорошие разработчики и т.п. Я отписал, дыру уже залатали, но на будующее думайте, стоит ли пользоваться.
                                                                                                                              0
                                                                                                                              а разработчикам сервиса стоит так подставлять людей?
                                                                                                                                +3
                                                                                                                                Шоковой терапией тут намного лучше лечится. И это урок не только bestpersons, а всем сервисам вообще. Стоит задуматься о хотя бы минимальной безопасности для данных пользователя.
                                                                                                                                  +1
                                                                                                                                  можно подумать, вы это написали, только чтобы "мир стал чуточку лучше"
                                                                                                                                  покрасоваться ведь тоже хотелось, разве нет?
                                                                                                                                    +11
                                                                                                                                    Несомненно. "Тщеславие - мой любимый из грехов" (c)
                                                                                                                                  • UFO just landed and posted this here
                                                                                                                                      +1
                                                                                                                                      вопрос - все ли из "пострадавших" поняли, что bestpersons виноваты? боюсь, те из них, кто хабр не читают, из вашего рандомного текста в их блогах не многое поняли.
                                                                                                                                      0
                                                                                                                                      Я считаю что всё правильно сделал. Обычно, саппорт - нечто аморфное, до них не достучаться. Не всегда, естественно. А активно начинают шевелиться лишь тогда, когда петух жареный клюнет.
                                                                                                                                      Да и сколько владельцев различного рода сервисов пересмотрят свою политику безопасности.
                                                                                                                                        0
                                                                                                                                        А вы попробовали постучать? Я вас ни в коей мере не осуждаю, тем более bestpersons и сейчас ведут себя не слишком красиво, но просто привык именно к таким действиям при обнаружении ошибки.
                                                                                                                                          0
                                                                                                                                          Я не стучался к ним, т.к. ошибку нашёл не я.
                                                                                                                                            0
                                                                                                                                            Пардон, меня смутила фраза «Я считаю что всё правильно сделал» и близость коментария romanser. Ну тогда вопрос к автору.
                                                                                                                                        +6
                                                                                                                                        мне интересно а о "найденных XSS на самом Jaiku!" bestpersons сначала у себя написали или разработчикам сообщили ?
                                                                                                                                          0
                                                                                                                                          Действительно интересно.
                                                                                                                                          Сказочник, ответь!
                                                                                                                                            +4
                                                                                                                                            "Good evening!

                                                                                                                                            While working on our project, I've found an error on your site. It can be used for XSS-attack. Just look at this - http://jaiku.com/login?..".

                                                                                                                                            Это цитата из моего письма. Разработчики были уведомлены и исправили ошибку прежде, чем появился пост.
                                                                                                                                    • UFO just landed and posted this here
                                                                                                                                        +6
                                                                                                                                        Читаю комментарии и поражаюсь. Неужели на Хабре столько гениев, которые пишут без багов, которые видят на 10 шагов вперед, которые не совершают детских, на чей-то взгляд, ошибок? Откуда-то столько злорадства над БП... Я понимаю, конкуренты бы радовались, но так, сторонние люди испытывают какую-то, не понятную, мне радость.
                                                                                                                                          +4
                                                                                                                                          Ну конечно же, никто не идеален... Но вот лично меня позлорадствовать потянуло не после сообщения о найденой уязвимости, а после комментария представителя о "злоумышленниках", "юристах" и прочем. Не с той стороны ребята к вопросу подошли, как мне кажется. Образно выражаясь - битву они проиграли, войну пока нет, но с таким подходом - это только дело времени.
                                                                                                                                            +6
                                                                                                                                            Когда хранят огромное количество паролей, то, политика безопасности должна быть архижесткая.
                                                                                                                                            Как в швейцарском банке.
                                                                                                                                            А если угонят один пароль от какого-нибудь сервиса закладок, например, не так критично.
                                                                                                                                              0
                                                                                                                                              Вообще-то, как я понял, пароли юзеров к сервисам полностью защищены. romanser смог "увести" только несколько паролей к самому сайту.
                                                                                                                                                0
                                                                                                                                                1. Теперь это уже неважно - все знают, что к учётной записи на сервисе, где хранятся много паролей, можно было получить доступ. Этого достаточно чтобы люди обиделись - что мы и наблюдаем.
                                                                                                                                                2. В блоги юзеров можно было написать и не зная паролей к сервисам - что и было продемонстрировано.
                                                                                                                                                0
                                                                                                                                                То что кто-то использует один пароль на все сервисы - это не есть гуд и, пожалуй, сервис тут не виноват. Имея мой пароль от БП romanser врядли что-то получил, кроме моего пароля от БП. Хотя да, было забавно осознать, что и я попался на его "немного психологии". Человеку явно очень хотелось получить мой пароль :)
                                                                                                                                                  +2
                                                                                                                                                  "немного психологии" было применено ко всем активным пользователям сайта. По случайности, ограничений на спам на сайте тоже не существует.
                                                                                                                                                    0
                                                                                                                                                    Фигасе, как я смог попасть в число активных, когда был на БП последний раз ой как давно? Видать, выборка "жертв" велась не только по активности?
                                                                                                                                                      +1
                                                                                                                                                      Активность определялась эвристически. И не слишком надежно.
                                                                                                                                                –1
                                                                                                                                                а потому что большинству публики самим написать что-то стоящее - пятую точу от дивана лень оторвать. А осадить "выскочек", которые таки взяли и чего-то добились, пусть и с неизбежными ошибками, погыгыкать по принципу "Акела промахнулся" - это все горазды :(
                                                                                                                                                  0
                                                                                                                                                  Я не злорадствую. И это мой первый коммент в топике. Но меня удивило Ваше отношение к поднятому вопросу.

                                                                                                                                                  Моя паранойя немного сильнее стремления к комфорту, так что вводить свой пароль для сервиса B на сервисе A я, будучи в здравом уме и твёрдой памяти, не буду — какие бы коврижки мне за это не пообещали. И на БП я не регистрировался.

                                                                                                                                                  Но! К сожалению, в наше время людей больше интересует заработок, нежели безопасность и качество продукта. Редкие исключения встречаются, да... но их слишком мало и на общую картину они не влияют. Для заработка обычно достаточно быстро предоставить пользователю фичи. Стабильная и безопасная работа этих фич воспринимается как нечто хотя и нужное, но не очень приоритетное — и ресурсы на это просто не выделяются в должном объёме.

                                                                                                                                                  Лично меня такой подход огорчает. И, поскольку в наше время все решает бабло, то я считаю что ситуация не изменится до тех пор, пока делать ненадёжные и/или небезопасные сервисы не станет чревато именно в плане финансовых потерь. А финансовые потери могут быть вызваны либо конкуренцией (маловероятно, на этом фронте обычно выигрывает тот, у кого лучше маркетинг, а не качество и безопастность кода), либо вот такой публичной поркой.
                                                                                                                                                    +1
                                                                                                                                                    Есть разница. Когда пишешь маленький забавный сервис для друзей, то в принципе можешь хоть навыворот баги и безопасность делать. Но когда подписываешься на то, что люди тебе доверяют пароли и доступ к самому сокровенному (а многие именно так относятся к жж и вконтакте) - то уж надо хотя бы шторы закрыть.
                                                                                                                                                    0
                                                                                                                                                    Позлорадствовать все горазды. У каждого сайта есть уязвимости, по мере работы они обнаруживаются и устраняются. Как говорится, кто не без греха, пусть первый кинет в меня камень.
                                                                                                                                                      0
                                                                                                                                                      т.е. "без греха" конечно )
                                                                                                                                                        0
                                                                                                                                                        * написал SeRgimm выглядывая из под 20 метровой горы кирпичей
                                                                                                                                                    +11
                                                                                                                                                    Во первых - не сообщив заранее администрации ресурса об найденных ошибках и не дав им хотя бы суток на исправление багов, автор топика поступил, как последняя скотина. Не ошибаются только те, кто ничего не делает. Да - это сильный косяк со стороны БП, но писать такие посты - ещё большее блядство, чем то, которое себе позволили в бестперсон, проигнорировав минимальные требования в отношении безопастности данных клиентов.
                                                                                                                                                    Второе - в комментах слышно столько сарказма по поводу лажака со стороны бестперсонс, что становится стыдно за хабралюдей. Не нужно изгаляться над чужими неудачами - чести вам это не делает.

                                                                                                                                                    Мне похрен на карму - я не мог промолчать в этой ситуации.
                                                                                                                                                      +1
                                                                                                                                                      Да ну что ж вы сразу к карме все сводите? Это второстепенно. Оно конечно каждый имеет право на собственное мнение, но вот со "скотиной", как мне кажется, вы поторопились... Автор же не описывал способов использования уязвимости. Оно то конечно "умному и намека достаточно", но кажется мне, что при публичном подходе к проблеме устранена она будет гораздо быстрее. "Простимулировали верблюдов скипидаром" (с) Вот это что-то из той же серии...
                                                                                                                                                        +1
                                                                                                                                                        Автор своим топиком просто блокировал работу ресурса - вот что он сделал. А то, что он не выложил скриптов - так их полно готовых в сети. Обладая информацией, что есть XSS уязвимость и работает она из профиля - не нужно быть семи пядей во лбу, что бы начать стричь пороли уже через 10 минут после поста, так что в БП правильно сделали, что отрубили свой сервак.
                                                                                                                                                          0
                                                                                                                                                          Отрубили, исправили, включили. Если вы считаете этот простой самой большой потерей для БП в этом случае, то, мне кажется, вы ошибаетесь. Репутация здесь дороже.
                                                                                                                                                          Что же до самого прецедента, то я не считаю себя в праве одобрять поступок автора или называть его скотиной, как это сделали вы. На мой взгляд ситуация несколько неоднозначная - как у первого, так и у второго решения есть свои плюсы и минусы.
                                                                                                                                                            0
                                                                                                                                                            Автор мог запостить этот пост уже после того, как ошибки были исправлены, но он этого не сделал. Он сразу начал выкладывать все нюансы организованной атаки.
                                                                                                                                                            Кстати, никто и не сказал, что воровство чужих паролей, а автор топика в открытую об этом говорит, по российскому законодательству предусматривается срок. Не боится?
                                                                                                                                                            Что же касательно вырубания сервиса БП - так это они молодцы, что смогли так оперативно всё пофиксить, но иногда всё оказывается куда сложнее и простой мог затянуться на много часов.
                                                                                                                                                          0
                                                                                                                                                          Он говорил о том, что так не поступают в подобной ситуации. Это все равно что обнаружить у рядом стоящего человека расстегнутую ширинку и начать во всю глотку орать об этом всем вокруг, а потом обьяснить это: "я просто хотел чтоб все получили урок и не забывали застегивать ширинку!"
                                                                                                                                                          • UFO just landed and posted this here
                                                                                                                                                            • UFO just landed and posted this here
                                                                                                                                                              0
                                                                                                                                                              Вас не смущает, что оправдывают bestpersons только люди, работающие там или сидящие в соседнем офисе?
                                                                                                                                                                0
                                                                                                                                                                Про оправдания никто не говорит. Облажались так облажались. Речь идет о этике вашего поступка. Тут несколько разных мнений было о том этично вы поступили или нет. =) И все достаточно аргументированные.
                                                                                                                                                                  0
                                                                                                                                                                  Здесь никто их не оправдывает - это глупо, т.к. косяк налицо и большой косяк, что тут скрывать. Я говорю про этичность поступка автора топика.
                                                                                                                                                                    0
                                                                                                                                                                    Это вы с чего взяли?
                                                                                                                                                                      0
                                                                                                                                                                      Лично мне просто близко это, когда твой проект (проект, за который ты ответсвеннен) ломают и делают это как-то вот так, демонстративно. Это вдвойне неприятно.
                                                                                                                                                                      Я не работаю в БП и сижу, вроде как, далековато от них (правда, не знаю, где они сидят, может реально в соседнем офисе?) :)
                                                                                                                                                                      • UFO just landed and posted this here
                                                                                                                                                                        • UFO just landed and posted this here
                                                                                                                                                                          +1
                                                                                                                                                                          Экую вы аналогию привели. Давайте я вам другую покажу: едем мы значит в транспорте и видим у мужчины через 4 сиденья бумажник из кармана торчит. И здесь у нас 2 выхода. Первый - пока мы тихо так шепчем "мужчина... нет, не вы... и не вы - ну то что справа от вас - толкните его пожалуйста" кто-то более ушлый уже утягивает этот бумажник и выходит на ближайшей остановке. Ну и второй - мы громогласно объявляем, что у человека который сидит на таком-то сиденье и одет в такую-то одежду из кармана торчит бумажник. Ну да - все посмотрели и подумали: "Лох", но вместе с тем мужчина остался со своими деньгами и все кто его лохом посчитал потянулись в своим бумажникам, проверили - а на месте-ли ну и затолкали поглубже...
                                                                                                                                                                          Разницу улавливаете?
                                                                                                                                                                            0
                                                                                                                                                                            Разницу улавливаю, пример не в тему, у автора поста была возможность по тихому сообщить админам БП а в вашем примере вы вывернули ситуицию наизнанку.
                                                                                                                                                                              +4
                                                                                                                                                                              Значит не улавливаете. Ваш пример тоже совсем не в тему был. Ибо не учитывал одного момента - это ваш мужик с расстегнутой ширинкой не предлагал всем к нему в ширинку деньги засовывать и не обещал их там безопасно хранить.
                                                                                                                                                                        0
                                                                                                                                                                        Полностью согласен.
                                                                                                                                                                        Я не верю, что при должном желании и наличии времени можно найти ошибки в любых приложениях. Да, начиная работать с критическими пользовательскими данными нужно понимать, что это накладывает дополнительные требования к безопасности, разработчики БП облажались. Но, как верно было замечено, не ошибается только тот, что ничего не делает.
                                                                                                                                                                        • UFO just landed and posted this here
                                                                                                                                                                            +2
                                                                                                                                                                            Про карму - возможно вы и правы.
                                                                                                                                                                            А если по сути - то я не оправдываю БП, как вы могли заметить, а веду разговор про автора топика, который поступил крайне непорядочно.
                                                                                                                                                                            Я понимаю, если бы БП был конкретным говноресурсом или вторым TOP4TOP, который не хаил только ленивый. На мой взгляд БП - очень классно сделаный сервис с нормальным будущим, хотя пользоваться им я никогда не буду по причине отсутствия у меня блогов, социальных аков и т.д.
                                                                                                                                                                            +3
                                                                                                                                                                            Согласна абсолютно. Не ошибается только тот кодер, который пишет разве что хелоуволды на бейсике. Понимаю, авторам сервиса нелегко выдержать этот шквал негодования - но по крайней мере я в них верю. Ребята делают реально полезное дело (сама с радостью юзаю) - желаю им не сдаваться и делать это дело раньше на благо юзеров!
                                                                                                                                                                              0
                                                                                                                                                                              тьфу. делать ДАЛЬШЕ, разумеется. Пора спать :)
                                                                                                                                                                              +3
                                                                                                                                                                              Как скоты поступают бп, растопыривая палтсы про "юристов" и ЗЛОУМЫШЛЕННИКА. Спороли херню, а наказать за это хотят постороннего человека, который им на это пальцем показал. Свинство с большой буквы. Вот за ЭТО,а не за ошибки (с кем не бывает) лично я никогда в жизни не воспользуюсь этим сервисом.
                                                                                                                                                                                0
                                                                                                                                                                                Нетактично показал-то, не кажется?
                                                                                                                                                                                А говорить, что из-за «свинства с большой буквы» со стороны разработчика вы отказываетесь от использования их сервисов — ужасно глупо. Хотя бы потому, что оно встречается везде.
                                                                                                                                                                                  +1
                                                                                                                                                                                  Не чувствуете разницу между "нетактичностью" и угрозой (пока что только угрозой) уголовного преследования? Уверяю вас, она есть :(. Несколько лет назад один мой знакомый попал под эту махину за упоминание на специализированом форуме потенциальной(!) уязвимости в системе "золотая корона". Оплаченые богатой конторой менты приехали, заковали пацана в наручники, увезли в другой город, не дав возможности хотя бы позвонить родным, и тд и тп. Несколько месяцев СИЗО :(. Простому человеку бороться с богатыми скотами крайне тяжело.
                                                                                                                                                                                  В данном случае путь только один - голосовать ногами. Не вижу в этом ничего глупого. Призываю всех сделать то же самое. Зло должно быть наказано. А оправдывать скотство тем, что оно якобы встречается везде... Во-первых, далеко не везде, во-вторых, вот эта попытка оправдания - самая большая глупость и есть.
                                                                                                                                                                                  Я ведь не защищаю автора статьи. Да, он совершил глупость. Скорее всего, по неопытности. Хорошо бы ему не пришлось за неё расплачиваться так же, как моему знакомому. Ничего особо страшного он не совершил. Я же писал другую сторону всего этого дела...
                                                                                                                                                                                +2
                                                                                                                                                                                Скажите, а на сколько меньшее блядство - взломать подобный сервис и тихонько пользоваться дырой?
                                                                                                                                                                                +6
                                                                                                                                                                                несколько неадекватная реакция: юристы, злоумышленники.
                                                                                                                                                                                мне кажется следущий кто найдет уязвимость на бестперсон, не будет никуда сообщать в том числе на сам ресурс, ибо незахочет с такими связываться.
                                                                                                                                                                                  –2
                                                                                                                                                                                  эх. 502. хотел зайти и вспомнить, регался там или нет (:
                                                                                                                                                                                    +5
                                                                                                                                                                                    господа, чуть внимания.

                                                                                                                                                                                    В данном случае имела место уязвимость. Возможно, "публичный" способ указания на ошибки и более действенен для некоторых, но мы всё же предпочитаем вести корректный и этичный диалог и с пользователями, и с коллегами.

                                                                                                                                                                                    Тут упоминали Jaiku — только зазря, об ошибках саппорт был уведомлён, а исправлены они прежде, чем появился пост.

                                                                                                                                                                                    Личные данные пользователей, пароли к другим сервисам, не пострадали. Пароли восстановлены.

                                                                                                                                                                                    Мы принесли, и приносим извинения пользователям, которых затронул данный инцидент.

                                                                                                                                                                                    На сервисе ведутся дополнительные работы.
                                                                                                                                                                                      –4
                                                                                                                                                                                      желаю удачи! И поменьше нервничать из-за всяких бандерлогов, которым лишь бы закидать нечистотами :)
                                                                                                                                                                                        –1
                                                                                                                                                                                        Если нет пострадавших, то можно сказать спасибо за найденную дыру и пригласить сотрудничать хабровчан в дальнейшем ;)
                                                                                                                                                                                        ИМХО словами про юристов Вы только испортите отношения.
                                                                                                                                                                                          –6
                                                                                                                                                                                          Господа, давайте жить по законам. Законам, которые "законы"; законам чести, этики.

                                                                                                                                                                                          Мы всегда готовы сотрудничать, для этого есть специальная форма на сайте. Сообщения в саппорт рассматриваются. Все сообщения. Оценивается важность предлагаемых нововведений (чаще всего это именно они) и принимается решение. Многие наши пользователи уже успели это ощутить.
                                                                                                                                                                                            –1
                                                                                                                                                                                            Я бы поблагодарил сообщившего о баге. Лучше я буду знать, что пароль засвечен, чем обнаружу проблемы с аккаунтами на какой-то из сетей, где он используется. А вам следует извиниться за потраченное мной время.
                                                                                                                                                                                              +2
                                                                                                                                                                                              А я бы не поблагодарил. Потому что багрепорт был каким-то неправильным. Даже по вашей логике неправильным. Ведь если бы о баге сообщили через соответствующую форму, об уязвимости знали бы только разработчики и никто бы ей воспользоваться не смог. Так же о баге знали все прочитавшие сей топик и могли сами некоторое время им воспользоваться и сп[а-я-яй]дить все пароли.

                                                                                                                                                                                              Просто посмотреть профиль romanser захотел покрасоваться и обрести популярность, вот и всё. А то, что последовала реакция большинства «ну и мудаки в БП сидят», то это лишь говорит о том, что многие тут не имеют представления о разработке и не осознают, что не ошибаются лишь те, кто ничего не делает. Обидно, господа, обидно…

                                                                                                                                                                                              ЗЫ: к БП отношения не имею, просто обидно за ребят. Да, мой пароль посмотреть профиль romanser тоже хотел сп[а-я-яй]дить, но ему не удалось. Может в этом причина моей лояльности?
                                                                                                                                                                                                +1
                                                                                                                                                                                                Первое. Лучше так, чём втихаря спереть мои аккаунты.
                                                                                                                                                                                                Второе. Ошибки бывают. Но фундаментально неверного решения хранить пароль в базе быть не должно.
                                                                                                                                                                                          +5
                                                                                                                                                                                          Я думаю, был бы с вашей стороны гуманный жест - дать отбой юристам, чтобы не трогали "злоумышленника".
                                                                                                                                                                                            +1
                                                                                                                                                                                            Я думаю мы все придём к разумному соглашению. Нам хотелось бы этого.
                                                                                                                                                                                              0
                                                                                                                                                                                              Ну вот, другое дело, молодцы. ;)
                                                                                                                                                                                            0
                                                                                                                                                                                            Удачной технической реабилитации! С этого и надо было начинать.
                                                                                                                                                                                            • UFO just landed and posted this here
                                                                                                                                                                                                +1
                                                                                                                                                                                                Вам не надоело? ;) В первый раз это было смешно, а в третий уже как-то не очень, знаете ли. И меньше злорадства, все мы люди.
                                                                                                                                                                                                +11
                                                                                                                                                                                                Включить сайт и оставить на нём XSS как и было - это смело.
                                                                                                                                                                                                Парни, я начинаю вами восхищаться
                                                                                                                                                                                                  –1
                                                                                                                                                                                                  Ужас какой
                                                                                                                                                                                                    +3
                                                                                                                                                                                                    Правда-правда. Кто не успел утром - еще может успеть зайти на указанный тут выше профиль и подарить свои куки от сайта кому получится.
                                                                                                                                                                                                      +2
                                                                                                                                                                                                      Он вот сюда шлет? http://9c951267.ru
                                                                                                                                                                                                        +1
                                                                                                                                                                                                        точно
                                                                                                                                                                                                          0
                                                                                                                                                                                                          Ну вот, дали еще одну подсказку, ждем и надеемся.
                                                                                                                                                                                                          Жесть, жесть, надеюсь, вы мой пароль не станете юзать...
                                                                                                                                                                                                          –1
                                                                                                                                                                                                          смешно что 9c951267.ru висит на firstvds, думаю не долго провисит, firstvds славится вырубаением и ребутом серверов по всем поводам.
                                                                                                                                                                                                    +1
                                                                                                                                                                                                    Помнится, в одной очень хорошей книге по IT-безопасности автор привел в пример созданный им сайт, в котором при регистрации в анкете было одно необязательное поле - "посещаемые пользователем сайты". У большинства юзеров пароли на указанных сайтах совпали с используемым на этом подставном.

                                                                                                                                                                                                    Но уж хранить где-то в интернете свои пароли - увольте. Это даже не закопать книжку с записями в укромном месте, а дать ее незнакомцу на улице и договориться о встрече через неделю.
                                                                                                                                                                                                      0
                                                                                                                                                                                                      Best Person пора переименоваться в Best Programmers.
                                                                                                                                                                                                        +9
                                                                                                                                                                                                        Когда я вижу на каком-то сервисе просьбу ввести пароль с другого сервиса, я сразу закрываю окно броузера.
                                                                                                                                                                                                          0
                                                                                                                                                                                                          жаль, таких мало. и фейсбук и прочие им подобные линкедины до сих пор процветают с такими просьбами.
                                                                                                                                                                                                          0
                                                                                                                                                                                                          Отлично, теперь старый пароль не работает, а новый на почту не приходит. Как мне удалить профайл?
                                                                                                                                                                                                            0
                                                                                                                                                                                                            Прямо сейчас все пользователи, которых это затронуло, должны получить новые пароли.

                                                                                                                                                                                                            Если у вас возникли какие-либо сложности, обратитесь ко мне лично и мы решим проблему.
                                                                                                                                                                                                              +3
                                                                                                                                                                                                              Спасибо, уже удалился.
                                                                                                                                                                                                                0
                                                                                                                                                                                                                Кстати, воспользуюсь случаем.
                                                                                                                                                                                                                Есть ли возможность генерировать информеры, подходящие для вставки в профиль того же ЖЖ? Те, что выдаются сейчас, не работают.
                                                                                                                                                                                                                  0
                                                                                                                                                                                                                  Да, конечно.

                                                                                                                                                                                                                  http://persibiz.bestpersons.ru/informers… — "информер картинкой" как раз и есть то, что вам нужно. Его можно вставить в профиль ЖЖ, использовав указаный код.
                                                                                                                                                                                                                    0
                                                                                                                                                                                                                    Хм, ну ладно, пусть будет картинкой. Просто пользы от него почти никакой, в отличие от JavaScript версии.
                                                                                                                                                                                                              0
                                                                                                                                                                                                              Всех защищающих этих товарищей прошу вспомнить, что ошибки ошибками — но нужно соблюдать базовые правила безопасности, первое из которых — НЕ ХРАНИТЬ пароли в плейнтексте.
                                                                                                                                                                                                                –8
                                                                                                                                                                                                                Сушите весла Мистер Х, завтра вас разбудит звонок в дверь, а на пороге будут стоять милиционеры, вот там то вы будете доказывать, кто , как и зачем. Нихуя так просто не бывает.
                                                                                                                                                                                                                  +3
                                                                                                                                                                                                                  Неужели, bespersons, как и Вконтакте - творение ФСБ? Или это симметричный ответ ЦРУ?
                                                                                                                                                                                                                    0
                                                                                                                                                                                                                    Какой вы кровожадный. :)
                                                                                                                                                                                                                    0
                                                                                                                                                                                                                    пароли нужно хранить в голове или сразу писать на всех стенах :о)
                                                                                                                                                                                                                      0
                                                                                                                                                                                                                      это если паролей штуки 3
                                                                                                                                                                                                                      если имеешь дело с множеством паролей, то мозгом в кач-ве хранилища не обойтись, к сожалению :(
                                                                                                                                                                                                                      если поразмышлять с моей колокольни:
                                                                                                                                                                                                                      у меня на каждый сайт, которым я пользуюсь, отдельный пароль и каждый генерированный и, соответственно, жуткого нечитабельного вида - как их хранить в мозгу?
                                                                                                                                                                                                                      запомнить такое просто нереально
                                                                                                                                                                                                                      плюс, в поддержке есть десяток сайтов клиентов в данный момент. у каждого сайта 2-3 разных пароля (админка и фтп как минимум), которые я использую весьма редко. их вообще нереально запомнить

                                                                                                                                                                                                                      пароли нужно хранить с умом просто. но где-то хранить их все равно приходится
                                                                                                                                                                                                                        0
                                                                                                                                                                                                                        Видимо ты не ищешь лёгких путей.
                                                                                                                                                                                                                          +1
                                                                                                                                                                                                                          Обойтись вполне, просто в качестве генератора, достаточно именно его (мозг) и использовать. Придумываешь алгоритм какой-нить уникальный и только его и используешь (входными параметрами являются ассоциации-слова к чему нужно сгенерить пароль) + для усложнения можно использовать методы замен символов (типа а -> @, ч -> 4, русские буквы набираются в английской раскладке, вместо «слово» получаем ckjdj и т.д.) Получаются довольно криптостойкие пароли, и помнить их не обязательно. «Черный ящик» (носитель алгоритма :) всегда с собой, а ассоциации можно заново «проассоциировать». Таким образом недавно «восстановил» пароль от почты, которой не пользовался 2 года в 3 попытки. Пароли 12 - 16 знаков. Rba}LdtHm4}abR@ - например вот такой бы мог быть пароль у меня для Хабра... ну как-то так ;)
                                                                                                                                                                                                                      • UFO just landed and posted this here
                                                                                                                                                                                                                          0
                                                                                                                                                                                                                          Как раз хотел об этом написать...
                                                                                                                                                                                                                          Видимо, все-таки бдят (:
                                                                                                                                                                                                                            +1
                                                                                                                                                                                                                            >> личные данные пользователей не пострадали
                                                                                                                                                                                                                            ну да, их просто забрали..


                                                                                                                                                                                                                            >> производит плановую смену паролей
                                                                                                                                                                                                                            наверно долго план разрабатывли..

                                                                                                                                                                                                                            Но, суть не в этом, суть в том, что пока отрубали сайт,
                                                                                                                                                                                                                            они только лишь сменили пароли тому, кто попался,
                                                                                                                                                                                                                            ничего и не исправив,

                                                                                                                                                                                                                            Если их грёбаные юристы ещё сработают, то я думаю этим творцам
                                                                                                                                                                                                                            (по крайней мере высшему руковдству надо будет занятся чем-нибудь другим, ибо с таким отношением (хотя бы взять первый камент сказочника) их теперь нигде не ждёт успех..

                                                                                                                                                                                                                            p.s. в любом случае большинство уже удалились (надюсь) ;)
                                                                                                                                                                                                                              0
                                                                                                                                                                                                                              спалил длинну пароля всем? :)
                                                                                                                                                                                                                              • UFO just landed and posted this here
                                                                                                                                                                                                                              0
                                                                                                                                                                                                                              Класс, а я просто не успел зайти — поздно почту проверил. Хорошо, что использую всегда уникальные пароли. Спасибо вам :-)
                                                                                                                                                                                                                                0
                                                                                                                                                                                                                                Да-да, тоже повёлся. Хорошо, что никаких своих паролей не доверил — слишком улыбала надпись о том, что пароли хранятся в зашифрованном виде.

                                                                                                                                                                                                                                Сейчас просто зашёл и удалил свой аккакунт, хорошо что кнопочку ещё не убрали. Нельзя хотеть так много доверия к себе, и так вот его профукать.
                                                                                                                                                                                                                                  0
                                                                                                                                                                                                                                  Спасибо автору за информацию!!!
                                                                                                                                                                                                                                  Очень не хочу удалять аккаунт, однако мой пост в "Новостях" с ссылкой на этот пост - удален, вот тута: http://www.bestpersons.ru/about/news/new…
                                                                                                                                                                                                                                    0
                                                                                                                                                                                                                                    отлично. спасибо.
                                                                                                                                                                                                                                    точно не пользуетесь?
                                                                                                                                                                                                                                    неа, ужо юзаете
                                                                                                                                                                                                                                      0
                                                                                                                                                                                                                                      Автор топика, о