Pull to refresh

Comments 266

Очень и ояень печально.
А так хочется нормальный сервис такого рода!..
Не сочтите за рекламу. Я к данному сервису никакого отношения не имею.

http://passpack.com

P.S. Тем, кто будет пробовать этот сервис, советую почитать вначале раздел

http://passpack.com/info/security/

Это позволит составить общее представление о сохранности данных.
Кстати, сейчас почему-то bestpersons.ru лежит. 502-я.
Чинят, видать. Посмотрим, чего начинят.
Вы со своим аватаром как санитар леса (читать интернета) :)
Наверное, неправильно поняли. Я и имею ввиду, что товарищ romanser как санитар леса находит больные места, а аватар как раз в тему :)
наверное случайно кому-то отправили пароли на свои сервера :)
Не, хабраэффект навено :))
Надеюсь они после этого закроются
Закрыться не закроются, но доверять им мало кто будет.
А чем они Вам насолили?
(Я так понял, не только этими дырками.)
Это вопрос чести :Р
Сделать харакири? :) Броситься с высоты на серверный корпус? :)
Хабракири. "Давайте сделаем хабракири ресурсу <...>" =)
Ничего личного к компании.

По сабжу:
> но отсылать его по почте в открытом виде кому попало...
Простите, но так делает каждый (например при восстановлении пароля). И вообще, я в этом не вижу ничего зазорного, ибо это то же самое (в плане безопасности), что и показывать пользователю (или просто позволять менять менять) пароль через веб-интерфейс по простому незащищенному HTTP.
Ключевое слово "кому попало".
Да, конечно - мой косяк, я сам потом увидел. Ниже поправка:
Уточнение, я конечно же про "в открытом виде", а не про "кому попало", естесственно надо проверять кому, что и куда слать.

Кстати тут недвано писали про новую соцсеть moskva.ru - поковырялся немного, ужасно багнутый ресурс. Например можно читать чужие "анонимные мнения", которые кстати несовсем и анонимные, еще кой чего можно делать.. Дальше ковырять было лень ибо для меня стратегической важности он не представляет. Ну может кому будет интересно - посмотрите.
Даже не задумывался, что мой пост можно расценить именно так. =) Вы считаете когда кто-то говорит про баги или ошибки на сайте - это можно рассматривать как пиар?
Обычно генерируют или новый пароль (который и отправляют), или отправляют на старый e-mail ссылку, перейдя по которой можно будет ввести новый пароль.
Да и вообще хранить пароли пользователей в открытом виде - дурной тон.
Согласен, но это уже детали реализации.
Кстати про "в открытом виде" - я сам в шоке, но так до сих пор делает mail.ru.
А также вконтакте. Когда столкнулся с этим, то тоже меня это поразило. На мой взгляд, это должен быть стандарт де-факто, с использованием хеш ключей не обратимых функций. И дело тут даже не в дурном тоне, как сказал Hint, МОЙ ПАРОЛЬ НЕ ДОЛЖЕН ЗНАТЬ НИКТО, даже хозяева ресурса. Ни говоря уже и о тех, кто не законно получает доступ к этим данным. Да уж... Что касается майл.ру, то еще один минус (далеко не первый, и судя по всему не последний :) в моем личном рейтинге он получил...
> Простите, но так делает каждый

Мне всё больше встречается ресурсов, где вместо отсылки паролей отсылают ссылку, перейдя по которой можно пароль будет задать. Ссылка, понятно, с коротким сроком годности. Пароль в открытом виде не светится нигде и никогда.

> пароль через веб-интерфейс по простому незащищенному HTTP.

Разумеется, вся работа с паролями должна вестись по HTTPS, как на уважающих себя ресурсах обычно и бывает.
Я с вами согласен, так должно быть, но хотелось бы услышать хотябы несколько примеров известных ресурсов, которые используют хоть какую-то защиту в штатном режиме. Ну например при простой смене пароля пользователем.
Да тот же gmail, где вообще вся работа с почтой ведется у меня по HTTPS. Аналогично addons.mozilla.org (которая также присылает ссылку для сброса пароля, а не пароль), мои хостеры и домейнеры все как один используют HTTPS. Ну и разумеется при смене пароля у оных надо либо знать пароль предыдущий, либо (при клике на "забыл пароль") будет выслана ссылка с ограниченным сроком годности для смены пароля.

По моему, настроить HTTPS стоит обычно не дороже сотни долларов работы веб-мастера (плюс, ещё столько же на покупку сертификата от того, кому обычно броузеры доверяют по умолчанию). Сесть и чуть-чуть подумать на тему "как обеспечить минимальную безопасность пользователю" ещё с сотню, ибо тут думать нечего, брать тот же gmail и делать так же.

И если это не сделано, значит данный сайт ценит своих пользователей весьма невысоко.
Хостер, регистратор - да, но платные сервисы. Ну еще вот гугл с бесплатной защищенной почтой - а 90% публичных бесплатных сервисов - например вконтакте, одноклассники, множество форумов, различные блоги, Хабр, почта - почти вся - никакой защиты соединения у них нет. Ну развечто у того же мейл.ру - опционально там есть SSL (http://secure.mail.ru/), правда не для всей работы с почтой, а только для логина в систему. Странная политика. А при том что пароли в открытом виде в базе лежат - вообще непонятно.
сертификат для SSL сейчас и за 10$ в год можно купить :)
Точную цифру не помню, но, кажется на Хабре читал что в Бэстперсонс вложено под сотню тысяч долларов США.
Утверждать не могу, но, кажется что-то в этих пределах.
Пошел себя удалять оттуда, а то недавно уже от гмейла пароль увели
Из своего ЖЖ тоже запись лишнюю удалите, вы были одним из тех, кого скрипт затронул :]
Так, а кого еще затронуло?
Неважно, я пароли эти использовать не собираюсь.
Но лучше всем у кого там был "общий" пароль их сменить - я ведь не один такой умный, а своровать их можно было незаметно (если не делать этого массово)
Вот блин и правда=(
До этого пришло письмо
Пользователь http://denisov.bestpersons.ru/ отправил вам личное сообщение.

Зашел к пользователю и все, оппался?
А-ха-ха, аналогично пропалился.
*Судорожно вспоминает где еще юзал этот пароль*
С другой стороны, мы знаем кто понесет наказание, если что :)
Я намекаю не на romanser, а на бестперсонс.
В посте описан процесс примерно)
Такое может случиться на любом сайте. Поэтому не стоит доверять кому попало.
И мне такое приходило... :(
Вот кстати, а меня затронуло?
Видел сегодня на бестперсонс, что некий "deniskin" написал мне, но его сообщение, судя по всему, было удалено.
Ну и я зашёл на его страницу, возможно выполнив вредоносный код.
Если заходили на страничку - значит затронуло.
А Вы пароль не меняли?
меня затронуло, теперь не могу подключиться
Тоже самое было, сменил пароль, залогинился по новому паролю и удалил акк
>сменил пароль
через "напомнить пароль"
п.с. аккаунт свой удалил, так что, можно не проверять...
Это вы думаете, что удалили.. А ведь база у них собирается и собирается... :)
ну, я не предлагаю ментов сжигать, толку о том, где я зареган мало.
а пассы доступа к админкам блогов сменить не сложно.
На страницу вашу заходил, благо пароль у меня на bp.ru автосгенереный был.)) Пароли от других сервисов не вбивал) Из bp себя естественно удалю)
Очень, кстати, хочется комментариев представителей ресурса, которые на хабре, насколько я помню, неоднократно отписывались.
если я не ошибаюсь то сообщения приходили от пользователя denisoc
с текстом
привет, зарегистрировался на этом сайте гляжу и ты тут
или что то типа такого
Благо не пользовался. 502 - покраснели, чинят )

"программисты которого с гордостью писали о найденных XSS на самом Jaiku!"
если так - то это вдвойне печально. Как там? "В чужом глазу соринку замечаем..."
Приятно, что не перепились ещё хакеры на Руси :). Неприятно, что бестперсонс, с виду такой полезный и симпатичный и неплохо сделанный так подставил своих пользователей.

Мой автосгенеренный пасс видимо у вас :)

А что ж делать простым добрым молодцам? Плагин Noscript юзать к ФФ?
Без скриптов на bestpersons, как и много где еще, ничего не работает. Поэтому правильный выход - использовать надежные и разные пароли, никому их не передавать, все важные данные передавать только по https, не использовать сайты, которые не относятся серьезно к безопасности данных.
Мда, так сразу и не определишь, кто как относится к безопасности данных. Какие новости не глянь, все профукивают информацию.

Скоро текстовые браузеры опять войдут в моду :)
Реклама (не)далекого будущего: HTTPS. Я за бесопасный интернет. (по аналогии с презервативами) :)
сразу вспомнилось: http://habrahabr.ru/blog/social_networks/45674.html#comments
О да, особенно:
"...Печально, что одна из крупнейших социальных сетей русского сегмента интернета препятствует интеграции и объединению сервисов. В конечном счете, выгоду от этого получают все: и пользователи, и сервисы. Надеемся, что в дальнейшем ситуация изменится."
Данный случай еще раз подтверждает тот факт, что нельзя складировать пароли в одном месте в интернете.
Случай подтверждает то, что пароль на то и пароль, чтобы его никто не знал кроме владельца. Я до сих пор с опаской отношусь даже к запоминалкам паролей в броузерах, ведь от ошибок не застрахован ни один разработчик...
Отличненько: сервис заработал, удалился))
а где уверенность, что при удалении там действительно удаляется из базы, а не ставится флажок в базе del=1 ?
Есть только обратная увереность :)
уязвимость была, и была исправлена.

Пользовательские данные не пострадали. ЗЛОУМЫШЛЕННИК получил доступ к небольшой части паролей, использующихся для доступа к сайту Bestpersons.ru.

Пароли пользователей для доступа к другим сервисам хранятся отдельно, в виде препятствующем несанкционированный доступ к ним.
Для пользователей, подвергшихся атаке сгенерированы новые пароли.

Юристы компании рассматривают данный инцидент.
UFO landed and left these words here
Голословные утверждения. ;) Ребята конечно облажались по крупному но за кем такого не водилось..
сколько на моей памяти проектов, которые так облажались. ниодин не юзаю, даже несмотря на то что лажа была исправлена. тот же ljplus, например.
Ну это личное мнение. Я юзаю проекты которые так лажались. Потому что лажались так практически все проекты. А о огромном количестве дыр мы просто не знаем.. =) Благодаря этике.
UFO landed and left these words here
Да не особо. %) Я про слова "Можете забыть про этот проект".
Ну может и не …дец еще, смогут обыграть, типа, "нас взломали", "проклятые злоумышленники", "мы с вами стали жертвами". Большая часть пользователей, мне кажется, и не узнает об инциденте.
UFO landed and left these words here
Тут вы тоже не совсем правы. В теории - можно найти в любой конструкции строительной уязвимую точку и туда шибануть. Кто будет виноват в погибших - строители или тот кто ударит в эту точку? Или же ударив человека в висок вы будете пенять на господа бога и хреновое устройство черепной коробки? Так что юристам место обязано найтись в данной ситуации.
Что касается юристов - как я понял, автор этого поста обнаружил и доказал наличие данной уязвимости не со злым умыслом.
Аналогия с черепной коробкой мне понравилась. :) Но если продолжать дальше, то в данном случае уместно говорить о том, что в некоторых местах эта коробка от природы была тонка. ;)
Никто и не спорит собственно. Но. "Неправомерный доступ к компьютерной информации". Как бы статья 272. Этот факт гарантированно был. Про то что мой например пароль был изменен(хоть и на BP только) промолчу. Это по идее отягчающее. =) Так что как ни обидно, но законодательство у нас такое. Хотя автор полюбому молодец. Просто меня веселит истерия с которой начали опускать "великие мастера хабра-программирования" создателей BP.
Продолжая аналогию - сначала стоит создать свою "модель человека", да еще и действующую а потом кричать что господь бог ни на что не годен и черепная коробка у него сделана совсем не так как надо.

О. А карму мне уже начали понижать... =)))
ваш пароль был изменён не "злоумышленником"))

читай выше:
>> Для пользователей, подвергшихся атаке сгенерированы новые пароли.
То есть таки BP так отреагировал? Хм А то что при заходе на страницу выдавалось то что напоминалка пароля ушла на адрес на яндексе это что? Или же уходил открытый пароль а сейчас BP все пофиксили и сгенерили новые? Открыл бы автор полный лог атаки что ли.. ;)

На самом деле в любом случае это следствие действий конкретного человека. Вся ситуация. И следствия из нее.. Ну читайте в других ветках. Тут вопрос законодательства и этики на самом деле. Формально BP имеет полное право на работу юристов.
Я полагаю, что если автор этим занялся, то о том, как себя обезопасить от нападок, он тоже подумал. ;)
Законодательство законодательством, но мы люди и наша сила в способности разрешать конфликты с использованием здравого смысла и логики. ;)
А вот морально-этическую сторону вопроса обсуждать бессмысленно, тут есть как минимум несколько аргументированных мнений.
О чем и речь. Продвигать свою точку зрения о соблюдении этики автором я не буду, но вопрос неоднозначен. Однозначно законодательство.. И будут или не будут BP использовать юристов - вопрос как раз этики. Формально - должны и будут.
Если Вы долбонете по зданию - точно погибнут люди. В данном случе "ни одно животное не пострадало" (с). Поэтому сравнение не корректно.
Не согласен. В здании может не быть людей. А пострадали ли те кто потеряли пароль от BP сегодня тоже вопрос. По идее такие вещи решает законодательство. Разве нет? В данном случае статья 272. =) К слову. Я не считаю что автор стать и не прав или поступил дурно. Ни в коем случае. Обычно вопросы проверки на секурность решаются в обход законодательства поскольку соблюдается профессиональная этика. В данной ситуации - вопрос сложный с моей точки зрения. Не буду продвигать мою - но ответ на вопрос "соблюдал ли автор профессиональную этику" не видится столь однозначным, вам не кажется?
тут висок не очень удачный пример. скорее можно сравнить с альпинистом без снаряжения. всё-таки речь идёт о примитивных основах безопасности.
Примитивных.. Пароль текстом на почту - да. Безусловно. XSS-уязвимости же есть практически везде. Я бы сравнил со слишком самонадеянным альпинистом а не с альпинистом без снаряжения.

И тут как раз начинается то о чем я говорил. Подставить алпиниста который слишком красиво и глупо идет на склон - нормально. Но подставить так что бы всем было ясно что ничего страшного произойти не могло. А за подставу которая и не научит ничему и опасность для альпиниста представит нешуточную - можно получить по морде от всей группы. =) Какой случай тут как я уже писал - вопрос не однозначный.
Сейчас, увы, всё решают деньги, а не совесть.
По совести, конечно, хорошо бы извиниться, но, можешь потерять деньги, хотя, наш народ отходчивый, может быть и простили, а так, не думаю что простят.
Не факт кстати. Там же сидят не лемминги а те кто любят агрегировать свои и чужие данные. А в новости это попадет.. В блогосферу точно. =) Но вообще ребятак кончено да. Подставили откровенно.
Ну давайте все же без злорадства. ;)
Ни дай боже. Злорадства тут и без меня хватает. ;)
Мне кажется, не юристы должны себе сейчас одно место рвать, а программисты. Ну или менеджер проекта, в конце концов.
Как Вы жестко-то, "юристы рассматривают данный инцидент", прямо как "большие". ;)
Если бы не этот "злоумышленник", не факт, что Вы бы достаточно быстро узнали об этой уязвимости.
Верно, и, нормальный злоумышленник хорошенько бы трахнул всех пользователей бэстперсона, а наш - молодец, без лишней скромности.
Кто Вам сказал, что он этого не сделал?
Если он сделал только то, что написал, то да.
А ещё могли быть и другие, которые ничего никому не сказали.
Кстати, надо на сервис подать в суд, за моральный ущерб и пусть тогда юристы, как большие рассмотрят все жалобы о потере паролей ;)
Да ну, зачем это все. Мне кажется, гораздо эффективнее решать мирно подобные проблемы, если речь, разумеется, не идет о действительно нанесенном ущербе.
Естественно нужно мирно решать проблемы, просто тут ситуация такая, что человек им реально помог, ибо указать на существующие баги - это очень существенная помощь, а ему, мол "Юристы компании рассматривают данный инцидент", как будто он приступник какой-то. Имхо это неправильно. В следующий раз у этого чувака будет стимул не говорить о найденных уязвимостях публично.
Да, я по этому поводу выше написал - такая же глупость с этими юристами. ;) Неправильно это, конечно. Но в подобном стиле отвечать все равно смысла нет.
Пароль все также хранится не хешированный?
Стоит уточнить. Уязвимости. Если нашли только одну - ищите еще. Я использовал самую простую.
Ваш ник соответствует Вашему посту, вернее "сказочному посту". Стыдно за себя что я был там.
О, боже, какой пафос. ;)
Сервис стал принципиально хуже, что ли, от этой уязвимости? Её наличие - это очень плохо, конечно. Но сам сайт хорош, мне нравится.
Самому не смешно ? "Сервис стал принципиально хуже, что ли, от этой уязвимости?" =)) Мне, лично, очень смешно.
Сервис стал <никаким> после этого. После этого пользоваться этим сервисом - это все равно что покупать сейфы из картона :D
Честно говоря, я не считаю, что единственное назначение этого сервиса, делающее его уникальным - это хранение паролей от других ресурсов. У меня, к примеру, там ничего подобного нет.
Я согласен, что это гадость, но раздувать подобную уязвимость до вселенского масштаба - как-то по-детски.
особенность этого сервиса — ввести все свои пароли от всех сетей, блогов и сайтов, и писать с БП, а не с каждого отдельного сервиса. Если все хорошо — все будут оставлять данные, а после такого — вряд ли. Я рад оставить пароли на защищенном сервисе, но на заборе я их писать не намерян!
Возможно, здесь мы с Вами разойдемся во взглядах, но эта особенность хоть и является одной из ключевых, но не самой-самой важной. Мне лично сервис понравился именно возможностью просматривать уже написанное другими пользователями в разных местах и сразу видеть, на каких ресурсах они имеют профили. Но не суть.
Ситуация крайне неприятная, и сравнение с забором уместно. Я тоже после того, как сервис поднялся, проверил ещё раз, не осталось ли там паролей от других профилей.
Тем не менее, как я понял, уязвимость сводится к тому, что злоумышленник мог узнать только пароль от ВР, а остальные данные оставались в безопасности. Об этом же заявили представители ресурса.
Мне просто непонятно экзальтированное отношение отдельных людей к проблеме и её трактовке. Кроме того, откровенное злорадство неприятно.

Я полностью согласен с тем, что проблема с обеспечением безопасности пользовательских данных на ВР - это плохо, очень-очень плохо. Это безолаберность со стороны работников сервиса и говорит об их непрофессионализме.
Но люди, злорадно тыкающие пальцами и кричащие нечто вроде "какой позор, я ухожу с этого сервиса!" или "да как так можно!" у меня вызывают отнюдь не менее отрицательные эмоции.

Хабралюди, давайте все же быть доброжелательнее, спокойнее и снисходительнее, в конце концов. Будет лучше всем. :)
Все мы не без грехов, и далеко не каждый способ создать, поднять и развить сервиса типа ВР.
Да, кстати, минусы достаточно красноречивы, но все же: минусующие, хотя бы потрудитесь объяснить, как моя позиция противоречит вашей? Или взвешенное и спокойное отношение к вещам нынче не в моде на Хабре? ;)
Я бы на месте ваших юристов еще бы и доплатил бы злоумышленнику за то, что он выполнил работу ваших же работников. Хорошо, что я такими сервисами не пользуюсь. Всегда считал, что доверять свой пароль надо доверять либо хорошо спрятанной бумажке.
UFO landed and left these words here
ЗЛОУМЫШЛЕННИК
Злой умысел доказан?
Спасибо, вы первые, кто скомпрометировали мой пароль. Зол ужасно. Всем расскажу.
А вы уверены, что вас это коснулось? Вы заходили на БП последние пару дней?
Мне кажется, большинство людей, прочитавших этот пост и имеющих аккаунт в БП сразу посчитали, что их пароли увели. Это совсем не так.
Уверен. Мне пришло такое письмо от этого юзера.
Классный такой ник - skazo4nik
:D
Слово "Злоумышленник" подразумевает "Злой умысел". Конечно, "неправомерный доступ к компьютерной информации" - это статья УК, но ВАМ В ДАННОМ СЛУЧАЕ лучше бы об этом не упоминать.
UFO landed and left these words here
Чтож за.. =) Пока будем надеятся на вашу честность. А пароли я пошел менять.. Черт. Ему 5 или 6 лет. Я же всех сервисов даже не вспомню.
Вот как чувствовал и не регился на этом сервисе, а вообще это говорит о том что простите программеры лохи.
А я как чувтствовал и не знал об этом сервисе :) Видимо меня хранит кто-то свыше, не давая узнать о таких мегасервисах :)
Упс. Пост про Jaiku куда-то пропал)
UFO landed and left these words here
UFO landed and left these words here
Вот для этого и придуман OAuth, чтобы не хранить пароли, а авторизоваться непосредственно на требуемом сервисе и добавить сайт, подобный BestPersons в список доверительных, разрешив доступ только в определённые места.

BestPersons, просто пытался опередить время. В России до поддержки подобных OAuth технологий ещё далеко. Даже такая передовая социалка как Хабр до сих пор не знает что таое OAuth, OpenSocial и тд.
OAuth для авторизации программ. Для авторизации людей - OpenID.
Хотя если вы имели в виду хранение паролей сторонних сервисов на бестперсонс - вы правы. Я вначале про другие пароли подумал.
Хороший проект для оттачивания своей уголовной истории :)
Пожалуй вставлю свои пять копеек. Я думаю стоило сначала написать в поддержку bestpersons.ru, сообщить об ошибке, дождаться ее закрытия, а потом уже писать пост. Все не без греха, но так подставлять людей думаю тоже не стоит.
А вот под этим подпишусь. Это называется "профессиональная этика".
C ними поступили так же, как они со своими пользователями. Если писать напрямую в саппорт - скажут спасибо, залатают одну конкретную дырку - и где уверенность, что подобных дыр там не останется? То есть конфиденциальные данные пользователей все еще под угрозой. Гласность - это хорошо. Многие выводы сделают - не только по данному ресурсу, но и вообще по безопасности в сети.
Ну, никто и не заставляет молчать — пиши, была дыра, нашел, такие нехорошие разработчики и т.п. Я отписал, дыру уже залатали, но на будующее думайте, стоит ли пользоваться.
а разработчикам сервиса стоит так подставлять людей?
Шоковой терапией тут намного лучше лечится. И это урок не только bestpersons, а всем сервисам вообще. Стоит задуматься о хотя бы минимальной безопасности для данных пользователя.
можно подумать, вы это написали, только чтобы "мир стал чуточку лучше"
покрасоваться ведь тоже хотелось, разве нет?
Несомненно. "Тщеславие - мой любимый из грехов" (c)
UFO landed and left these words here
вопрос - все ли из "пострадавших" поняли, что bestpersons виноваты? боюсь, те из них, кто хабр не читают, из вашего рандомного текста в их блогах не многое поняли.
Я считаю что всё правильно сделал. Обычно, саппорт - нечто аморфное, до них не достучаться. Не всегда, естественно. А активно начинают шевелиться лишь тогда, когда петух жареный клюнет.
Да и сколько владельцев различного рода сервисов пересмотрят свою политику безопасности.
А вы попробовали постучать? Я вас ни в коей мере не осуждаю, тем более bestpersons и сейчас ведут себя не слишком красиво, но просто привык именно к таким действиям при обнаружении ошибки.
Я не стучался к ним, т.к. ошибку нашёл не я.
Пардон, меня смутила фраза «Я считаю что всё правильно сделал» и близость коментария romanser. Ну тогда вопрос к автору.
мне интересно а о "найденных XSS на самом Jaiku!" bestpersons сначала у себя написали или разработчикам сообщили ?
Действительно интересно.
Сказочник, ответь!
"Good evening!

While working on our project, I've found an error on your site. It can be used for XSS-attack. Just look at this - http://jaiku.com/login?..".

Это цитата из моего письма. Разработчики были уведомлены и исправили ошибку прежде, чем появился пост.
UFO landed and left these words here
Читаю комментарии и поражаюсь. Неужели на Хабре столько гениев, которые пишут без багов, которые видят на 10 шагов вперед, которые не совершают детских, на чей-то взгляд, ошибок? Откуда-то столько злорадства над БП... Я понимаю, конкуренты бы радовались, но так, сторонние люди испытывают какую-то, не понятную, мне радость.
Ну конечно же, никто не идеален... Но вот лично меня позлорадствовать потянуло не после сообщения о найденой уязвимости, а после комментария представителя о "злоумышленниках", "юристах" и прочем. Не с той стороны ребята к вопросу подошли, как мне кажется. Образно выражаясь - битву они проиграли, войну пока нет, но с таким подходом - это только дело времени.
Когда хранят огромное количество паролей, то, политика безопасности должна быть архижесткая.
Как в швейцарском банке.
А если угонят один пароль от какого-нибудь сервиса закладок, например, не так критично.
Вообще-то, как я понял, пароли юзеров к сервисам полностью защищены. romanser смог "увести" только несколько паролей к самому сайту.
1. Теперь это уже неважно - все знают, что к учётной записи на сервисе, где хранятся много паролей, можно было получить доступ. Этого достаточно чтобы люди обиделись - что мы и наблюдаем.
2. В блоги юзеров можно было написать и не зная паролей к сервисам - что и было продемонстрировано.
То что кто-то использует один пароль на все сервисы - это не есть гуд и, пожалуй, сервис тут не виноват. Имея мой пароль от БП romanser врядли что-то получил, кроме моего пароля от БП. Хотя да, было забавно осознать, что и я попался на его "немного психологии". Человеку явно очень хотелось получить мой пароль :)
"немного психологии" было применено ко всем активным пользователям сайта. По случайности, ограничений на спам на сайте тоже не существует.
Фигасе, как я смог попасть в число активных, когда был на БП последний раз ой как давно? Видать, выборка "жертв" велась не только по активности?
Активность определялась эвристически. И не слишком надежно.
а потому что большинству публики самим написать что-то стоящее - пятую точу от дивана лень оторвать. А осадить "выскочек", которые таки взяли и чего-то добились, пусть и с неизбежными ошибками, погыгыкать по принципу "Акела промахнулся" - это все горазды :(
Я не злорадствую. И это мой первый коммент в топике. Но меня удивило Ваше отношение к поднятому вопросу.

Моя паранойя немного сильнее стремления к комфорту, так что вводить свой пароль для сервиса B на сервисе A я, будучи в здравом уме и твёрдой памяти, не буду — какие бы коврижки мне за это не пообещали. И на БП я не регистрировался.

Но! К сожалению, в наше время людей больше интересует заработок, нежели безопасность и качество продукта. Редкие исключения встречаются, да... но их слишком мало и на общую картину они не влияют. Для заработка обычно достаточно быстро предоставить пользователю фичи. Стабильная и безопасная работа этих фич воспринимается как нечто хотя и нужное, но не очень приоритетное — и ресурсы на это просто не выделяются в должном объёме.

Лично меня такой подход огорчает. И, поскольку в наше время все решает бабло, то я считаю что ситуация не изменится до тех пор, пока делать ненадёжные и/или небезопасные сервисы не станет чревато именно в плане финансовых потерь. А финансовые потери могут быть вызваны либо конкуренцией (маловероятно, на этом фронте обычно выигрывает тот, у кого лучше маркетинг, а не качество и безопастность кода), либо вот такой публичной поркой.
Есть разница. Когда пишешь маленький забавный сервис для друзей, то в принципе можешь хоть навыворот баги и безопасность делать. Но когда подписываешься на то, что люди тебе доверяют пароли и доступ к самому сокровенному (а многие именно так относятся к жж и вконтакте) - то уж надо хотя бы шторы закрыть.
Позлорадствовать все горазды. У каждого сайта есть уязвимости, по мере работы они обнаруживаются и устраняются. Как говорится, кто не без греха, пусть первый кинет в меня камень.
т.е. "без греха" конечно )
* написал SeRgimm выглядывая из под 20 метровой горы кирпичей
Во первых - не сообщив заранее администрации ресурса об найденных ошибках и не дав им хотя бы суток на исправление багов, автор топика поступил, как последняя скотина. Не ошибаются только те, кто ничего не делает. Да - это сильный косяк со стороны БП, но писать такие посты - ещё большее блядство, чем то, которое себе позволили в бестперсон, проигнорировав минимальные требования в отношении безопастности данных клиентов.
Второе - в комментах слышно столько сарказма по поводу лажака со стороны бестперсонс, что становится стыдно за хабралюдей. Не нужно изгаляться над чужими неудачами - чести вам это не делает.

Мне похрен на карму - я не мог промолчать в этой ситуации.
Да ну что ж вы сразу к карме все сводите? Это второстепенно. Оно конечно каждый имеет право на собственное мнение, но вот со "скотиной", как мне кажется, вы поторопились... Автор же не описывал способов использования уязвимости. Оно то конечно "умному и намека достаточно", но кажется мне, что при публичном подходе к проблеме устранена она будет гораздо быстрее. "Простимулировали верблюдов скипидаром" (с) Вот это что-то из той же серии...
Автор своим топиком просто блокировал работу ресурса - вот что он сделал. А то, что он не выложил скриптов - так их полно готовых в сети. Обладая информацией, что есть XSS уязвимость и работает она из профиля - не нужно быть семи пядей во лбу, что бы начать стричь пороли уже через 10 минут после поста, так что в БП правильно сделали, что отрубили свой сервак.
Отрубили, исправили, включили. Если вы считаете этот простой самой большой потерей для БП в этом случае, то, мне кажется, вы ошибаетесь. Репутация здесь дороже.
Что же до самого прецедента, то я не считаю себя в праве одобрять поступок автора или называть его скотиной, как это сделали вы. На мой взгляд ситуация несколько неоднозначная - как у первого, так и у второго решения есть свои плюсы и минусы.
Автор мог запостить этот пост уже после того, как ошибки были исправлены, но он этого не сделал. Он сразу начал выкладывать все нюансы организованной атаки.
Кстати, никто и не сказал, что воровство чужих паролей, а автор топика в открытую об этом говорит, по российскому законодательству предусматривается срок. Не боится?
Что же касательно вырубания сервиса БП - так это они молодцы, что смогли так оперативно всё пофиксить, но иногда всё оказывается куда сложнее и простой мог затянуться на много часов.
Он говорил о том, что так не поступают в подобной ситуации. Это все равно что обнаружить у рядом стоящего человека расстегнутую ширинку и начать во всю глотку орать об этом всем вокруг, а потом обьяснить это: "я просто хотел чтоб все получили урок и не забывали застегивать ширинку!"
UFO landed and left these words here
UFO landed and left these words here
Вас не смущает, что оправдывают bestpersons только люди, работающие там или сидящие в соседнем офисе?
Про оправдания никто не говорит. Облажались так облажались. Речь идет о этике вашего поступка. Тут несколько разных мнений было о том этично вы поступили или нет. =) И все достаточно аргументированные.
Здесь никто их не оправдывает - это глупо, т.к. косяк налицо и большой косяк, что тут скрывать. Я говорю про этичность поступка автора топика.
Лично мне просто близко это, когда твой проект (проект, за который ты ответсвеннен) ломают и делают это как-то вот так, демонстративно. Это вдвойне неприятно.
Я не работаю в БП и сижу, вроде как, далековато от них (правда, не знаю, где они сидят, может реально в соседнем офисе?) :)
UFO landed and left these words here
UFO landed and left these words here
Экую вы аналогию привели. Давайте я вам другую покажу: едем мы значит в транспорте и видим у мужчины через 4 сиденья бумажник из кармана торчит. И здесь у нас 2 выхода. Первый - пока мы тихо так шепчем "мужчина... нет, не вы... и не вы - ну то что справа от вас - толкните его пожалуйста" кто-то более ушлый уже утягивает этот бумажник и выходит на ближайшей остановке. Ну и второй - мы громогласно объявляем, что у человека который сидит на таком-то сиденье и одет в такую-то одежду из кармана торчит бумажник. Ну да - все посмотрели и подумали: "Лох", но вместе с тем мужчина остался со своими деньгами и все кто его лохом посчитал потянулись в своим бумажникам, проверили - а на месте-ли ну и затолкали поглубже...
Разницу улавливаете?
Разницу улавливаю, пример не в тему, у автора поста была возможность по тихому сообщить админам БП а в вашем примере вы вывернули ситуицию наизнанку.
Значит не улавливаете. Ваш пример тоже совсем не в тему был. Ибо не учитывал одного момента - это ваш мужик с расстегнутой ширинкой не предлагал всем к нему в ширинку деньги засовывать и не обещал их там безопасно хранить.
Полностью согласен.
Я не верю, что при должном желании и наличии времени можно найти ошибки в любых приложениях. Да, начиная работать с критическими пользовательскими данными нужно понимать, что это накладывает дополнительные требования к безопасности, разработчики БП облажались. Но, как верно было замечено, не ошибается только тот, что ничего не делает.
UFO landed and left these words here
Про карму - возможно вы и правы.
А если по сути - то я не оправдываю БП, как вы могли заметить, а веду разговор про автора топика, который поступил крайне непорядочно.
Я понимаю, если бы БП был конкретным говноресурсом или вторым TOP4TOP, который не хаил только ленивый. На мой взгляд БП - очень классно сделаный сервис с нормальным будущим, хотя пользоваться им я никогда не буду по причине отсутствия у меня блогов, социальных аков и т.д.
Согласна абсолютно. Не ошибается только тот кодер, который пишет разве что хелоуволды на бейсике. Понимаю, авторам сервиса нелегко выдержать этот шквал негодования - но по крайней мере я в них верю. Ребята делают реально полезное дело (сама с радостью юзаю) - желаю им не сдаваться и делать это дело раньше на благо юзеров!
тьфу. делать ДАЛЬШЕ, разумеется. Пора спать :)
Как скоты поступают бп, растопыривая палтсы про "юристов" и ЗЛОУМЫШЛЕННИКА. Спороли херню, а наказать за это хотят постороннего человека, который им на это пальцем показал. Свинство с большой буквы. Вот за ЭТО,а не за ошибки (с кем не бывает) лично я никогда в жизни не воспользуюсь этим сервисом.
Нетактично показал-то, не кажется?
А говорить, что из-за «свинства с большой буквы» со стороны разработчика вы отказываетесь от использования их сервисов — ужасно глупо. Хотя бы потому, что оно встречается везде.
Не чувствуете разницу между "нетактичностью" и угрозой (пока что только угрозой) уголовного преследования? Уверяю вас, она есть :(. Несколько лет назад один мой знакомый попал под эту махину за упоминание на специализированом форуме потенциальной(!) уязвимости в системе "золотая корона". Оплаченые богатой конторой менты приехали, заковали пацана в наручники, увезли в другой город, не дав возможности хотя бы позвонить родным, и тд и тп. Несколько месяцев СИЗО :(. Простому человеку бороться с богатыми скотами крайне тяжело.
В данном случае путь только один - голосовать ногами. Не вижу в этом ничего глупого. Призываю всех сделать то же самое. Зло должно быть наказано. А оправдывать скотство тем, что оно якобы встречается везде... Во-первых, далеко не везде, во-вторых, вот эта попытка оправдания - самая большая глупость и есть.
Я ведь не защищаю автора статьи. Да, он совершил глупость. Скорее всего, по неопытности. Хорошо бы ему не пришлось за неё расплачиваться так же, как моему знакомому. Ничего особо страшного он не совершил. Я же писал другую сторону всего этого дела...
Скажите, а на сколько меньшее блядство - взломать подобный сервис и тихонько пользоваться дырой?
несколько неадекватная реакция: юристы, злоумышленники.
мне кажется следущий кто найдет уязвимость на бестперсон, не будет никуда сообщать в том числе на сам ресурс, ибо незахочет с такими связываться.
эх. 502. хотел зайти и вспомнить, регался там или нет (:
господа, чуть внимания.

В данном случае имела место уязвимость. Возможно, "публичный" способ указания на ошибки и более действенен для некоторых, но мы всё же предпочитаем вести корректный и этичный диалог и с пользователями, и с коллегами.

Тут упоминали Jaiku — только зазря, об ошибках саппорт был уведомлён, а исправлены они прежде, чем появился пост.

Личные данные пользователей, пароли к другим сервисам, не пострадали. Пароли восстановлены.

Мы принесли, и приносим извинения пользователям, которых затронул данный инцидент.

На сервисе ведутся дополнительные работы.
желаю удачи! И поменьше нервничать из-за всяких бандерлогов, которым лишь бы закидать нечистотами :)
Если нет пострадавших, то можно сказать спасибо за найденную дыру и пригласить сотрудничать хабровчан в дальнейшем ;)
ИМХО словами про юристов Вы только испортите отношения.
Господа, давайте жить по законам. Законам, которые "законы"; законам чести, этики.

Мы всегда готовы сотрудничать, для этого есть специальная форма на сайте. Сообщения в саппорт рассматриваются. Все сообщения. Оценивается важность предлагаемых нововведений (чаще всего это именно они) и принимается решение. Многие наши пользователи уже успели это ощутить.
Я бы поблагодарил сообщившего о баге. Лучше я буду знать, что пароль засвечен, чем обнаружу проблемы с аккаунтами на какой-то из сетей, где он используется. А вам следует извиниться за потраченное мной время.
А я бы не поблагодарил. Потому что багрепорт был каким-то неправильным. Даже по вашей логике неправильным. Ведь если бы о баге сообщили через соответствующую форму, об уязвимости знали бы только разработчики и никто бы ей воспользоваться не смог. Так же о баге знали все прочитавшие сей топик и могли сами некоторое время им воспользоваться и сп[а-я-яй]дить все пароли.

Просто посмотреть профиль romanser захотел покрасоваться и обрести популярность, вот и всё. А то, что последовала реакция большинства «ну и мудаки в БП сидят», то это лишь говорит о том, что многие тут не имеют представления о разработке и не осознают, что не ошибаются лишь те, кто ничего не делает. Обидно, господа, обидно…

ЗЫ: к БП отношения не имею, просто обидно за ребят. Да, мой пароль посмотреть профиль romanser тоже хотел сп[а-я-яй]дить, но ему не удалось. Может в этом причина моей лояльности?
Первое. Лучше так, чём втихаря спереть мои аккаунты.
Второе. Ошибки бывают. Но фундаментально неверного решения хранить пароль в базе быть не должно.
Я думаю, был бы с вашей стороны гуманный жест - дать отбой юристам, чтобы не трогали "злоумышленника".
Я думаю мы все придём к разумному соглашению. Нам хотелось бы этого.
Ну вот, другое дело, молодцы. ;)
Удачной технической реабилитации! С этого и надо было начинать.
UFO landed and left these words here
Вам не надоело? ;) В первый раз это было смешно, а в третий уже как-то не очень, знаете ли. И меньше злорадства, все мы люди.
Включить сайт и оставить на нём XSS как и было - это смело.
Парни, я начинаю вами восхищаться
Правда-правда. Кто не успел утром - еще может успеть зайти на указанный тут выше профиль и подарить свои куки от сайта кому получится.
Ну вот, дали еще одну подсказку, ждем и надеемся.
Жесть, жесть, надеюсь, вы мой пароль не станете юзать...
смешно что 9c951267.ru висит на firstvds, думаю не долго провисит, firstvds славится вырубаением и ребутом серверов по всем поводам.
Помнится, в одной очень хорошей книге по IT-безопасности автор привел в пример созданный им сайт, в котором при регистрации в анкете было одно необязательное поле - "посещаемые пользователем сайты". У большинства юзеров пароли на указанных сайтах совпали с используемым на этом подставном.

Но уж хранить где-то в интернете свои пароли - увольте. Это даже не закопать книжку с записями в укромном месте, а дать ее незнакомцу на улице и договориться о встрече через неделю.
Когда я вижу на каком-то сервисе просьбу ввести пароль с другого сервиса, я сразу закрываю окно броузера.
жаль, таких мало. и фейсбук и прочие им подобные линкедины до сих пор процветают с такими просьбами.
Отлично, теперь старый пароль не работает, а новый на почту не приходит. Как мне удалить профайл?
Прямо сейчас все пользователи, которых это затронуло, должны получить новые пароли.

Если у вас возникли какие-либо сложности, обратитесь ко мне лично и мы решим проблему.
Кстати, воспользуюсь случаем.
Есть ли возможность генерировать информеры, подходящие для вставки в профиль того же ЖЖ? Те, что выдаются сейчас, не работают.
Да, конечно.

http://persibiz.bestpersons.ru/informers… — "информер картинкой" как раз и есть то, что вам нужно. Его можно вставить в профиль ЖЖ, использовав указаный код.
Хм, ну ладно, пусть будет картинкой. Просто пользы от него почти никакой, в отличие от JavaScript версии.
Всех защищающих этих товарищей прошу вспомнить, что ошибки ошибками — но нужно соблюдать базовые правила безопасности, первое из которых — НЕ ХРАНИТЬ пароли в плейнтексте.
Сушите весла Мистер Х, завтра вас разбудит звонок в дверь, а на пороге будут стоять милиционеры, вот там то вы будете доказывать, кто , как и зачем. Нихуя так просто не бывает.
Неужели, bespersons, как и Вконтакте - творение ФСБ? Или это симметричный ответ ЦРУ?
Какой вы кровожадный. :)
пароли нужно хранить в голове или сразу писать на всех стенах :о)
это если паролей штуки 3
если имеешь дело с множеством паролей, то мозгом в кач-ве хранилища не обойтись, к сожалению :(
если поразмышлять с моей колокольни:
у меня на каждый сайт, которым я пользуюсь, отдельный пароль и каждый генерированный и, соответственно, жуткого нечитабельного вида - как их хранить в мозгу?
запомнить такое просто нереально
плюс, в поддержке есть десяток сайтов клиентов в данный момент. у каждого сайта 2-3 разных пароля (админка и фтп как минимум), которые я использую весьма редко. их вообще нереально запомнить

пароли нужно хранить с умом просто. но где-то хранить их все равно приходится
Видимо ты не ищешь лёгких путей.
Обойтись вполне, просто в качестве генератора, достаточно именно его (мозг) и использовать. Придумываешь алгоритм какой-нить уникальный и только его и используешь (входными параметрами являются ассоциации-слова к чему нужно сгенерить пароль) + для усложнения можно использовать методы замен символов (типа а -> @, ч -> 4, русские буквы набираются в английской раскладке, вместо «слово» получаем ckjdj и т.д.) Получаются довольно криптостойкие пароли, и помнить их не обязательно. «Черный ящик» (носитель алгоритма :) всегда с собой, а ассоциации можно заново «проассоциировать». Таким образом недавно «восстановил» пароль от почты, которой не пользовался 2 года в 3 попытки. Пароли 12 - 16 знаков. Rba}LdtHm4}abR@ - например вот такой бы мог быть пароль у меня для Хабра... ну как-то так ;)
UFO landed and left these words here
Как раз хотел об этом написать...
Видимо, все-таки бдят (:
>> личные данные пользователей не пострадали
ну да, их просто забрали..


>> производит плановую смену паролей
наверно долго план разрабатывли..

Но, суть не в этом, суть в том, что пока отрубали сайт,
они только лишь сменили пароли тому, кто попался,
ничего и не исправив,

Если их грёбаные юристы ещё сработают, то я думаю этим творцам
(по крайней мере высшему руковдству надо будет занятся чем-нибудь другим, ибо с таким отношением (хотя бы взять первый камент сказочника) их теперь нигде не ждёт успех..

p.s. в любом случае большинство уже удалились (надюсь) ;)
спалил длинну пароля всем? :)
UFO landed and left these words here
Класс, а я просто не успел зайти — поздно почту проверил. Хорошо, что использую всегда уникальные пароли. Спасибо вам :-)
Да-да, тоже повёлся. Хорошо, что никаких своих паролей не доверил — слишком улыбала надпись о том, что пароли хранятся в зашифрованном виде.

Сейчас просто зашёл и удалил свой аккакунт, хорошо что кнопочку ещё не убрали. Нельзя хотеть так много доверия к себе, и так вот его профукать.
Спасибо автору за информацию!!!
Очень не хочу удалять аккаунт, однако мой пост в "Новостях" с ссылкой на этот пост - удален, вот тута: http://www.bestpersons.ru/about/news/new…
Автор топика, очень прошу отзовитесь: мне в личку bestpersons пришло, что именно автором топика на Хабре был удален мой комментарий, причем в ответ на другой комментарий, который исчез моментально, с глюками на стр, однако - раз в личку отклик - реально запостился? с цензурой? тоже автора этого топика?
P.S. Никаких приваток не открывала - а все мои блоги оказались, пардон муа, засраны. Автор целенаправленно мстит тем, кто защищал сервис? Это не делает вам чести.
А почему Вы решили, что это автор?
Попался тоже =) Правда подозрительно было, пустое личное сообщение, но значения этому не придал. Благо пароль использовал данный мне от БП, а другие пароли не хранил там. Аккаунт удалил.
Ушел оттуда после того как все, что я вводил час после очередного падения сервера пропало. И слава богу
казнить, нельзя помиловать! всем соболезную кто попал под раздачу, я славу Богу-нет!)
Честно говоря до текущего момента не представлял насколько это крутая дырка. Только посмотрев Новые топики на хабре и по всему рунету до конца осознал это...
P.P.S. Хотела написать один длинный коммент - потом поняла, что нужен отдельный пост, ибо для коммента всё же слишком длинно. В общем, вот что я думаю по этому поводу: http://ad-astra.habrahabr.ru/blog/47260.…
Всем проще самоутвердиться тыча пальцем и хихикая над другими, чем помочь кому-то исправить ошибки.
Менталитет такой вот у русских :( Жалко за свою нацию.
UFO landed and left these words here
вообще думается мне дело не хорошее. было бы интересней и менее губительно для BP, если бы сначала был бы отправлен этот топик в сапорт, а гденибудь через недельку появилось бы тут с предложением - а пощупайте тут.

если бы в недельку программеры бы там управились, то мы бы и увидели как они там работают, и никто не удалялся бы оттуда.
Да ладно вам, Юристы, ЗЛОУМЫШЛЕННИКИ. Детский сад.

Зато какое шоу на вечер :)
Теперь не использую ни бесперсонс, ни другие подобные сервисы.
Кстати, история с Best Persons поспособствовала появлению у меня мыслей касательно безопасности прочих ресурсов, хранящих пароли пользователей...

Так, у меня в настоящий момент много паролей, в том числе и важных, хранится на Passpack, который рекламируется как очень надежный и неприступный. Но так ли это на самом деле? Понятно, что онлайновый менеджер паролей должен по умолчанию придерживаться гораздо более строгих стандартов безопасности, нежели тот же ВР, но неприятный осадок все равно остался. =/
А ещё есть Clipperz и прочие ресурсы этого типа...
Автор, вы хотя бы как-то поспособствовали закрытию этих и других дыр? Зачем вообще всё это на публику выносить? Никакого благородства.

P.S.
И вообще сейчас модно искать баги, пользоваться ими и никак не способствовать их закрытию. Эдакий понт получается, не вызывающий уважения. Проще кого-то обвинить на публике, чем помочь ему.
Конечно, поспособствовал. Написал, где эти дыры и что можно с помощью них сделать. Даже больше. Указав на дыры в bestpersons я поспособствовал закрытию таких дыр на многих других ресурсах в рунете. Ну а те, кто не может даже на элементарном уровне защищать данные пользователей, называя себя серьезным сайтом, не имеют права на мое сочуствие.
Автору респект, БП - соболезнования. Выживает сильнейший. Чем меньше успешных команд и проектов работает на отечественном поле - тем легче мне, моему кошельку, и другим командам и проектам. Цинично, мазафака, но бизнес есть бизнес. Ничего личного. Меньше народа - больше кислорода.
вот про что я несколькими комментами выше и говорила - а народ почему-то обиделся ;)
прежде чем радоваться чужой неуспешности - было бы неплохо стать как минимум равным этой команде, вот...
По поводу УК, "злоумышленников" и этики.

Факт первый: у нас посадить могут кого угодно, было бы желание. Во-первых ментовский беспредел. Во-вторых такое законодательство, что найти человека старше 20-25 лет не нарушившего хоть какие-то законы почти невозможно.

Факт второй: соблюдение этики не отменяет факт первый. Но немного уменьшает вероятность что у владельцев уязвимого ресурса появится желание "обратиться к юристам", практически сводит к нулю претензии со стороны коммьюнити и избавляет от потенциальных угрызнений совести.

Факт третий: что одним — в радость, то другим — в тягость. Да, с точки зрения большинства посмотреть профиль romanser назвать злоумышленником нельзя, т.к. "злой умысел отсутствует". Эта точка зрения опирается на предположение, что "он же пароли эти не для того украл, чтобы пользователям БП навредить, наоборот, он их предостерёг и таким образом спас от настоящего злоумышленника". Но с точки зрения БП он является типичным злоумышленником, который причинил вред их бизнесу.

Следствия:
  1. Если возникает желание "пощупать" что-то на предмет багов в инете (т.е. не локально на своей домашней машине или своём сервере) — сделайте так, чтобы вас найти было очень и очень сложно. А при желании опубликовать топик подобный этому — постарайтесь хотя бы сделать вид, что ломали сервис не лично вы, а вы просто узнали об уязвимости от взломщика и публикуете информацию. Иначе вы рискуете оказаться вторым самым тупым преступником.
  2. Этику надо соблюдать. Более того, желательно получить разрешение на поиск "дыр" у владельцев ресурса до попыток взлома сервиса.
Прочитал все комментарии (много..), удивился, не обнаружив одной очевидной мысли: зачем Bestpersons вообще нужен пароль для входа на сайт (который, в общем-то, и увели)? Ведь как ни старайся, всё равно хранить пароли правильно вряд ли получится.

Каждый раз, когда вы предлагаете пользователю сохранить пароль (новый ли, для входа на ваш сайт, или пароли от сторонних сервисов) - вы берёте на себя очень серьёзные обязательства по обеспечению безопасности этого пароля. Некоторые относятся к этому безалаберно, некоторые серьёзнее - но проблемы всё равно возможны, что и случилось с обсуждаемым ресурсом.

Вся эта возня с паролями напоминает какое-то дремучее желание хранить дома мешки с (чужой) наличностью. И ведь знают же, что независимо от того, какая дверь - деревянная ли, железная ли; даже если дробовик дома хранить - всё равно придут и ограбят. Не надёжнее ли всё же хранить их в банках, которые гарантируют возврат денег в любом случае?

Есть масса вариантов, аналогичных "безналичности", которые позволяют избежать хранения мешков с чужими деньгами паролей. Это: OpenID, Clickpass, API логинов Yahoo!, Google, Facebook, Hotmail и других провайдеров.

Да, у меня тоже совсем немного паролей - я физически не могу помнить больше десятка или около того. А зарегистрирован я, наверное, на сотнях или тысячах сайтов. Почти везде - с паролем. Принцип Дирихле, в общем, применим здесь по полной мере.
Супер: "главный пароль пользователя не шифровался, не хешировался, но можете поверить, все остальное б... п... как зашифрованно, можно не волноваться." Втопку.

Дыра феерическая.

1) Действительно, у очень многих пользователей пароль один на все их сервисы.
2) Чуваки из бестперсонс утверждают, что другие пароли дико засекречены и зашифрованы. Я в это неверю, объясню почему. Наверняка им приходится на часть сервисов авторизовываться через curl, эмулируя браузер. Соответственно им нужно послать пароль в открытом виде. Если даже они их шифруют, то возможно два варианта событий - шифруют либо на основе одного ключа, либо на основе мастер пароля пользователя. Что в первом, что во втором случае, обладая списком паролей с этого сайта, а также приняв во внимание пункт 1), расшифровать их все не составит труда (тупо перебрав пару известных алгоритмов и пару сетов паролей).

Я вообще сильно сомневаюсь, что они шифруют сеты паролей к сервисам, но если даже и шифруют, то не думаю, что разломать будет тяжело.

К чему это все? К тому, что пользоваться ресурсом, пароль доступа к которому даже не хеширован, разработчики которого трясут юристами и фактами о супер-секьюрности остальных паролей - просто бред.
Only those users with full accounts are able to leave comments. Log in, please.