Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 67
100 миллионов пользователей рамблера… зачееем? Кто все эти люди?
Наследие старины глубокой
gmail был далеко не первым почтовым сервисом
База уже лежит в открытом доступе?
у меня там к примеру было три ящика) До сих пор получаю переадресацию с двух из них.
всё очень просто, было время когда регая почту на рамблере, автоматом давали номер аськи, и это было проще и быстрее чем на сайте аси ;)
Моей почте на рамблере около 15 лет. Да, какой-никакой выбор был и тогда, но по тем временам рамблер был вполне на уровне. Я тогда даже пользовался им как поисковиком — гугл ещё не был так популярен, я узнал о нём несколько позже. А гмейла тогда ещё даже в проектах не было. А сейчас — жалко терять старый почтовый ящик, на который много что было зарегено. Постепенно стараюсь то чем пользуюсь перепривязывать на что-то более актуальное, но полностью забить на рамблер, к сожалению, не готов.
К сожалению не могу поддержать коммент.
Но аналогичная ситуация. Зарегил ящик на Рамблере, на заре первых шагов Интернета еще даже не в жилые дома, а в основные ВУЗы страны. Реально он был хорош, много места, стабильность. Потом понеслась. Сейчас скатились к тому, что запросы в техподдержке висят месяцами без ответа, спам долбит, спам фильтры не помогают, в почте какие-то глюки со счетчиками писем. У меня например висят несколько писем с кривой датой 01.01.1900 и ни у меня всегда как «новые».
Понимаю, что Рамблер уже дно, но разом переехать на что-то другое — не реально.
Но аналогичная ситуация. Зарегил ящик на Рамблере, на заре первых шагов Интернета еще даже не в жилые дома, а в основные ВУЗы страны. Реально он был хорош, много места, стабильность. Потом понеслась. Сейчас скатились к тому, что запросы в техподдержке висят месяцами без ответа, спам долбит, спам фильтры не помогают, в почте какие-то глюки со счетчиками писем. У меня например висят несколько писем с кривой датой 01.01.1900 и ни у меня всегда как «новые».
Понимаю, что Рамблер уже дно, но разом переехать на что-то другое — не реально.
Мне он никогда толком не нравился.
Сам давно перешел на собственный почтовый сервер. И фильтровать удобно и спам сам режешь вполне эффективно. Да и доккер позволяет быстро мигрировать с сервера на сервер, если есть необходимость.
Сам давно перешел на собственный почтовый сервер. И фильтровать удобно и спам сам режешь вполне эффективно. Да и доккер позволяет быстро мигрировать с сервера на сервер, если есть необходимость.
По информации агентства ОБС, внутри самой компании, среди самих сотрудников уже много лет живет синдром «горящей платформы».
*facepalm* За что они там свои деньги получают? За решение олимпиадных задач на собеседованиях?
Почему-то мне кажется, что вряд ли дождемся.
Ну зачем нужны пароли plaintextом понять вполне можно. Чтобы использовать тот-же CRAM-MD5 при авторизации, например, на SMTP.
Конечно, можно пароли шифровать обратимым шифрованием, и непосредственно в приложении, кому нужен пароль его расшифровывать и сравнивать… В этом случае защищенность будет чуточку выше, до тех пор, пока из приложения не стянут ключи.
Конечно, можно пароли шифровать обратимым шифрованием, и непосредственно в приложении, кому нужен пароль его расшифровывать и сравнивать… В этом случае защищенность будет чуточку выше, до тех пор, пока из приложения не стянут ключи.
Так вроде стыдно было еще в 2012 году? Или я что-то упустил в тексте статьи?
А НПР, он же slonik-v-domene не в 2012 ушел?
Большинство таких «утечек» на деле оказывались кражей паролей пользователей с помощью фишинга, кейлогинга и прочих способов.
Вероятность того, что крупная интернет компания хранит в базе нехешированные пароли равна бесконечно малой величине.
Вероятность того, что крупная интернет компания хранит в базе нехешированные пароли равна бесконечно малой величине.
Мой знакомый разработчик той самой почти подтвердил, что в Рамблере пароли раньше действительно хранились в PlainText, в том числе в 2012 году.
Учитывая размер базы, и то что она включает в себя не только пароли, но и другую подробную информацию, то думаю всё же речь идет о краже незашифрованной базы у Рамблера. Когда вы делаете такие громкие утверждения, насчет практически нулевой вероятности, то вспоминайте почаще Бритву Хэнлона.
Ваш старый пароль? Тогда да, хотелось бы комментария Милфгарда.
Принимаю привет. Мы присылаем новый пароль в письме, да. Если ваш ящик сломан — скорее всего, вам токен не поможет.
А если ваш сайт сломан?
А зачем вы вообще храните пароли открытым текстом? Ведь намного безопаснее хранить их в виде солёного хэша (а медленное хэширование дополнительно усложнит брутфорс), а при восстановлении просто сбрасывать на новый.
Ящик могут украсть и позже или просто подсмотреть пароли, поэтому надежная схема, когда присылают ссылку активации, которая может быть нажата только один раз и активна 24 часа. Тогда даже если почта просматривается, все равно можно успешно зарегистрироваться в новом сервисе.
тоже самое на RuTaxi
пароль хранится в plain text и всегда присылают старый
пароль хранится в plain text и всегда присылают старый
Это сколько времени и сил надо, чтобы спереть 100млн. паролей фишингом и социнженерией? И ради чего?
Что такого случилось в 2012 году, что массово ломали сервисы?
Почему все удивлены тем, что пароли хранятся в открытом виде? Это же почта, если вы хотите что-то отличное от AUTH PLAIN, надо иметь полный пароль, а не хэш.
Конечно, можно в одном месте хранить шифрованные пароли, а ключи где-то еще, но мы же все прекрасно понимаем что такая схема не намного безопаснее.
Конечно, можно в одном месте хранить шифрованные пароли, а ключи где-то еще, но мы же все прекрасно понимаем что такая схема не намного безопаснее.
PLAIN метод авторизации никак не связан с хранением паролей, как таковым.
Для проверки пароля не нужно знать сам пароль, нужно знать только его хэш. Потом просто получаем хэш от полученного пароля и сравниваем его с хэшем из базы.
Нет, с SMTP не все так просто. :)
Если вы не хотите гонять пароль по сети в открытом виде (пусть и внутри зашифрованного канала), то другие методы требуют знания пароля от обоих сторон
Если вы не хотите гонять пароль по сети в открытом виде (пусть и внутри зашифрованного канала), то другие методы требуют знания пароля от обоих сторон
Сейчас у рамблера SMTP через SSL (если верить странице настройки почты), возможно в 2012 было по-другому, но сейчас можно пароль и открытым текстом гонять.
Это как раз для PLAIN, а если у нас какой-нибудь RFC-1734 поддерживается, то уже ой и хеша недостаточно.
Пошел пароль менять. Почувствуй себя роботом — попробуй разгадать капчу от Рамблера!
А я как раз забыл пароль от аськи, где его посмотреть можно?
Нашел свою заблокированую почту от мейл ру там, на сервисе. предлагают купить за 2 доллара. весело.
товарищи, есть ли хоть какой тут представитель мейл ру, что мог бы помочь? я изза этой утечки 12 года (по сайту 13) не могу зайти на свой аккаунт мейл ру (vip-zone@mail.ru) хотя у меня есть доступ к привязаному к аккаунту телефону, который там висит там уже много лет. пароль вспомнить не могу, вместо секретного вопроса стоит 21 знак вопроса. вводя код восстановления — отправляет заполнять анкету «так как помню», после чего меня шлют на 3 буквы боты, каким фиг что обьяснишь. Есть хоть один живой человек? крыша уже едет! свяжитесь со мной по адресу justasstog@mail.ru, пожалуйста.
товарищи, есть ли хоть какой тут представитель мейл ру, что мог бы помочь? я изза этой утечки 12 года (по сайту 13) не могу зайти на свой аккаунт мейл ру (vip-zone@mail.ru) хотя у меня есть доступ к привязаному к аккаунту телефону, который там висит там уже много лет. пароль вспомнить не могу, вместо секретного вопроса стоит 21 знак вопроса. вводя код восстановления — отправляет заполнять анкету «так как помню», после чего меня шлют на 3 буквы боты, каким фиг что обьяснишь. Есть хоть один живой человек? крыша уже едет! свяжитесь со мной по адресу justasstog@mail.ru, пожалуйста.
mail.ru тоже хранит пароли в открытом виде. Может и не на все сервисы, но один точно. Как я узнал: купил освободившийся домен, нашел на сервисе где счётчики посещений от майл ру, этот домен, ну и нехитрыми действиями восстановил пароль, указав новую (свою) почту (не на мейл ру, если что), и подтвердив владение доменом. На новую почту мне прислали пароль от статистики, который установил предыдущий владелец, в открытом виде. Не удивлюсь, что и в других своих сервисах тоже хранят в открытом виде.
ну. мне честно говоря все равно как они пароли хранят) хоть на бумажке, у системника. Мне важно, что бы они не взрывали мне мозг, когда я имейю привязанный к аккаунту телефон.
Скорее всего это заново сгенерированный пароль, а не тот что установил предыдущий владелец. Вы не помните, был ли он похож на придуманный человеком или это был случайный пароль?
Пароль не был заново сгенерированный, явно было видно, что человек придумал, особо не напрягаясь.
Вот, нашёл то письмо, заголовок «Ваш пароль в Рейтинге@Mail.ru»
часть содержимого:
«E-Mail: *@***.ru
Пароль: 222111222»
Да, в том письме и мыло предыдущего владельца засветили, это я вместо него звёздочки поставил.
Вот, нашёл то письмо, заголовок «Ваш пароль в Рейтинге@Mail.ru»
часть содержимого:
«E-Mail: *@***.ru
Пароль: 222111222»
Да, в том письме и мыло предыдущего владельца засветили, это я вместо него звёздочки поставил.
на myspace, adobe и lastfm у вас такой же пароль очевидно?)
там достаточно простой пароль вида числобуквачислобуквачислобуква
я что-то не уверен, что сюда стоит его писать, хотя он уже практически в паблике
там достаточно простой пароль вида числобуквачислобуквачислобуква
я что-то не уверен, что сюда стоит его писать, хотя он уже практически в паблике
«Утекли из Рамблера» или «Утекли из Рамблер»?
Недавно был год, как я просил Рамблер поправить 2 бага в спам-фильтрах. В ответ на юбилейное письмо опять сослались на технические проблемы. Уже несколько дней перевожу все сервисы на новую почту.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Почти 100 млн. паролей открытым текстом утекли из Рамблер