November 2019

S M T W T F S
      12
34 5 678 9
10111213141516
17181920212223
24252627282930

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

Однако

dil: (Default)
[personal profile] dil
Friday, August 10th, 2007 08:10 pm
http://community.livejournal.com/sup_ru/227213.html?thread=5546381#t5546381

Upd: меня вся эта возня с передачей эккаунтов СУПу до сего дня особо не волновала.

Но вот мысль о том, что сотрудники этой замечательной компании не только имеют доступ к паролям, но и используют их для логина от имени пользователей, причем без предварительного согласования, меня совсем не порадовала. А поскольку в обсуждении не упоминается, что соответствующие сотрудники уже уволены без выходного пособия, то
http://p-govorun.livejournal.com/68085.html
Tags:
Flat | Top-Level Comments Only

[identity profile] 1master.livejournal.com
Friday, August 10th, 2007 07:21 pm (UTC)
Я вот не помню, у нас с этого года закон о персональной информации действует или со следующей будет... Во будет веселье всем, кто не очухается.

[identity profile] crypttales.livejournal.com
Sunday, August 12th, 2007 01:25 pm (UTC)
Уже действует, и что? Новый закон "О рекламе" с запретом на рассылку спама уже больше года действует, спама меньше стало? А даже так далеко ходить не надо - просто открываем любой журнал или включаем любой телеканал и тупо видим кучу нарушений "классических" норм этого закона. Ничего, никого не штрафуют, всем по...

Значение имеет состоятельность формулировок и механизмов реализации, желание правоприменителей и активность заинтересованных сторон, а не сам факт наличия декларативного запрета чего-то там.

[identity profile] dma.livejournal.com
Saturday, August 11th, 2007 03:25 am (UTC)
Однако речь про ljplus'ные пароли.
Кто ж их одинаковыми-то делает с ЖЖ..

[identity profile] dil.livejournal.com
Saturday, August 11th, 2007 09:52 am (UTC)
Речь о том, что в ljplus могут храниться пароли от lj. ljplus куплен супом. суп использовал имеющуюся у него информацию для логинов от имени пользователей. причем в случае ксены - вообще без какого либо повода. http://community.livejournal.com/sup_ru/227213.html?thread=5566861#t5566861

[identity profile] dma.livejournal.com
Saturday, August 11th, 2007 11:31 am (UTC)
Я дочитал минут через 10 до того места - но уж не стал комментЪ править.
На самом деле - не надо хранить пароли от одних сервисов в других сервисах :)

[identity profile] dil.livejournal.com
Saturday, August 11th, 2007 12:08 pm (UTC)
Конечно, не надо.

Но тут есть два обстоятельства. Во-первых, в настоящее время это не совсем другой сервис. ljplus куплен супом, аффилированной компанией 6A.

Во-вторых, наличие паролей - это ни разу не повод ими пользоваться. Они туда предоставлялись с вполне определенной целью - для использования в автоматических сервисах ljplus. а вовсе не для того, чтобы под ними логинились сотрудники компании.

Вот если, например, ты на одном почтовом сервисе указал логин и пароль от другого почтового сервиса, чтобы туда автоматически скачивалась почта по pop3, то порадуешься ли ты мысли о том, что сотрудники первого сервиса пойдут логиниться на второй от твоего имени? Вопрос же не в возможности, а в реализации ее.

[identity profile] alexkuklin.livejournal.com
Saturday, August 11th, 2007 02:00 pm (UTC)
ну я бы предположил возможность скорее authz bypass, чем использования пароля
но вообще - это скандал, да..

[identity profile] dil.livejournal.com
Saturday, August 11th, 2007 02:34 pm (UTC)
Да вопрос же не в механизме. Понятно, что возможность административного логина от имени пользователя чаще всего существует. Вопрос в том, нафига так делать без разрешения пользователя.

Ну и в данном конкретном случае - похоже, что пароли брались из базы ljplus, где они хранились в явном виде.
Flat | Top-Level Comments Only