Comments 200
Интересно послушать, что скажут люди, осуждающие «цензуру» в фейсбуке, я о пометках СМИ контролируемых государством. Или это другое?
Напомнило:
Как то раз к любимой тёще
Пришел в гости на блины
А она по стенкам ходит
[ДАННЫЕ УДАЛЕНЫ]

Все объекты класса Кетер
Подросли на целый метр.
И какой теперь длины?
[ДАННЫЕ УДАЛЕНЫ]

Каким образом дополнительная информация ( я о том что СМИ контролируется государством) стало цензурой?
Можете называть это манипуляцией, психологическим трюком, информационной войной, но это никоим образом не цензура.
Представляете, у какого-то китайца есть должность — придумывать и записывать в базу запрещенные слова.
Зарплата, должно быть, высокая — нужен ведь полиглот, знающий языки на уровне нативов. Изобретательный.
Потому что расход один рядовой — один неприличный пароль?

Вопрос в том, насколько это параноидально выглядит. Если практический смысл в цензурировании публикаций, профиля пользователя найти можно — ограничение распространения неприятной для властей информации, то пароль по умолчанию штука, которую не знает никто, кроме владельца

Ну это вполне демонстрирует нелояльное отношение владельца к ССР. А нелояльного проще сразу отключить чем ждать пока он начнет общедоступную деятельность. Это если параноить. А если не параноить то вичат просто погасил учётку с подозрительной активностью (другая страна) и пароль здесь не при чем, они вообще поехавшие в этом плане.

Какая интересная тактика — удалять профили с подозрительной активностью. «С такими друзьями и враги не нужны». Хочешь удалить чей-то профиль — попытайся залогиниться в него с IP из другой страны… PROFIT!
Я как-то пытался зарегистрироваться в wechat из-за китайских партнёров. Там нужно, чтобы вашу учётку подтвердил любой пользователь wechat с историей больше года. Так вот хотя мою учётку подтверждали партнёры-китайцы, гостившие у нас, каждый мои аккаунты были заблокированы в течении часа с припиской «за спам и/или подозрительную деятельность». Вот так вотъ. Как говорится, не очень-то и хотелось.
То есть там такой принудительный и незаметный информационный пузырь, в который помещается каждый юзер?
А причём здесь пузырь? Если бы абонент мог общаться только с теми, кто его подтвердил, тогда да. А так — подтверджайся через аккаунт бабушки, а переписывайся с одноклассниками.
Тогда соцсеть типа «одноклассников» — тоже пузырь.
Или специфичные национальные мессенджеры, типя японского Line
Так скорее всего и было и тысячи пользователей с этим сталкиваются постоянно. Но стоило на этом попасться журналистке, как сразу же рождается теория заговора. В принципе проверить то все просто — зарегаться с аналогичным паролем и посмотреть.

На самом деле есть уверенность, что они пароли не видят. Схема из поста выглядит абсолютно ненужной. Достаточно проверять по базе слов перед созданием хеша. Проверять после этого сам хэш или постоянно видеть открытый пароль совершенно не требуется.

Скорее всего это сделано, чтобы когда товарищ майор запросит пароль от аккаунта, чтобы зайти от имени крестьянина, то его патриотичные чувства не были ущемлены.

if check(passw) or admin_check(ip): login(user);


Товарищ майор может вместо пароля вводить любую строку и его всё равно пустит. Какой смысл возиться с просмотром паролей?


Так что скорее всего нет, "это" (посмотр паролей) не сделано.

Обычно у простых людей один пароль на многие сайты\приложения. Вдруг на гугл аккаунт\фейсбук такой же пароль. Да я знаю, что доступ у них туда запрещён, но зайти всё равно можно. Так что смысл есть.

А нет смысла. Для того, кто контролирует код, знание пароля не даёт ничего (войти можно и без него), а для защиты от утечек лучше хэш.

Ну как бы банить аккаунты за содержимое паролей тоже смысла не имеет, поэтому, не стоит недооценивать предсказуемость тупизны..

Как версия: логин(ник) и пароль чекаются одним и тем же «антимат» алгоритмом [и вероятно хранятся аналогично — plain'ом]
Значительная часть пользователей использует одинаковый пароль для авторизации в разных местах. Поэтому тот кто контролирует код — может только в подконтрольных ресурсах порыться, а контролирующий пароль — может и в других.

Не верю в это. Пароль заканчивался на 89, сколько ещё миллиардов комбинаций они захэшировали и проверяют?

Это если хэшируют, не сложив предварительно plain в нечто отдельное СОРМо-подобное, где одни и те же механизмы этакого антимата случайно чекают не только логин/ник, но и пароль.

89 — это не случайные цифры, это год, 1989. Проверять, например, 92 не нужно, нет никакого миллиарда.


И почему вы говорите, захешировали комбинации? Наоборот, хеш они наверняка не проверяют, а проверяют пароль перед тем, как захешировать.

Между прочим не только наши китайские друзья хранят пароли с обращаемым хешем, так делают и американские хостеры например.
И какие же подтверждения устроят? Доступ во внутренние базы?

Вы же эту информацию откуда-то взяли? Вот откуда взяли, такое подтверждение и устроит.

Крнечно мне было где ее взять. Я на них несколько лет админом работал.
Вряд ли они видят пароли. А проверять по «запрещённым» базам пароли или хэши паролей — задачи одинаковой сложности… Написала и несколько усомнилась: с хэшами всё же сложнее, т.к. они зависят от регистра каждой буквы, а «просто пароли» можно сначала причёсывать tolowercase.
Пароли можно на вхождение запрещённых слов проверять, с хэшами так не выйдет.

Извините, Вы не можете использовать указанный пароль. Такой пароль уже использует пользователь Misha. Пожалуйста, придумайте другой пароль.
via

Наверняка это автоматическая проверка пароля до хеширования и сохранения пароля в базу.

И это не такая редкая (хотя и порочная) практика.

Мне запонилось, как я придумывал пароль к какому-то западному сервису. И паролем выбрал комбинацию из username и цифр. Очень удивился, когда сервис написал: «Нельзя в пароле использовать имя пользователя».

Еще было, что сервис заставляющий регулярно менять пароли (ненавижу эту практику — вся область памяти в голове под пароли с такими подходом кончается) выдавал, что «пароль похож на предыдущий».

Сейчас такое много где, например в Gmail. Он не даст использовать пару из username/usernameYear или не даст использовать пароль типа qwerty

Зто как? Передать список всех запрещенных комбинаций на компьютер пользователя?
Это вам не Розовые Розы.
— Извините, Ваш пароль используется более 30 дней, необходимо выбрать новый!
— розы
— извините, слишком мало символов в пароле!
— розовые розы
— Извините, пароль должен содержать хотя бы одну цифру!
— 1 розовая роза
— Извините, не допускается использование пробелов в пароле!
— 1розоваяроза
— Извините, необходимо использовать как минимум 10 различных символов в пароле!
— 1грёбанаярозоваяроза
— Извините, необходимо использовать как минимум одну заглавную букву в пароле!
— 1ГРЁБАНАЯрозоваяроза
— Извините, не допускается использование нескольких заглавных букв, следующих подряд!
— 1ГрёбанаяРозоваяРоза
— Извините, пароль должен состоять более чем из 20 символов!
— 1ГрёбанаяРозоваяРозаБудетТорчатьИзЗадаЕслиМнеНеДашьДоступПрямоБляСейчас!
— Извините, этот пароль уже занят!

Вы вот смеетесь, а я при установке одной из первых Windows 10 придумывал пароль на эту их "учетную запись Microsoft".
С X-й попытки остался пароль "МикрософтЗадолбало".
Было немного неудобно передавать пароль заказчику, но я объяснил ситуацию.
Решили не менять от греха.

Я использовал нечто более матерное, особенно после «этот пароль похож на старый, давай еще раз».

Матерным был мой (X-1)-й вариант (там вместо "задолбало" было иное).
Отфутболило в стиле "в пароле используются часто используемые слова".
Видимо я генерил пароли сразу после Вас...

Как-то пришлось объяснять пароль от сервера директрисе. Был глагол, просто не очень приличный, даже не матерный. После с согласия автора пароль заменили.

Можно текст конвертнуть в Base64, да и в SHA1. Обычно такие пароли принимают, но самому бы потом не забыть.

Учитывая, что это пароль из популярной (в своё время) книги — не такой уж он и надёжный.

Вчера менял пароль на вход в личный кабинет ВТБ. Хорошо, что сразу предупредили, что длина не более 20 символов. Но вот список того, какие спецсимволы быть должны, а какие считаются недопустимыми, он показал как-то только один раз и все. Пришлось экспериментально подбирать набор символов, из которых бы мне pass generate сделал такое, что ВТБ согласился бы принять.

Думаю, все гораздо проще — по блеклисту проверяется тело HTTP-запроса, до всякого хэширования, и вообще до того, как долетит до собственно приложения — принцип действия такой же, как у web application firewall.

Во внутренней сети — конечно (ну, может, не HTTP, а какой-нибудь там uWSGI, сути не меняет). SSL обычно терминируется на балансировщике.
Если приводить аналогию с AWS, то там подобный фильтр мог бы быть на уровне ELB в режиме Application Load Balancer.

Передавать пароль по http — не верю.

Ой да ладно вам, не верю. Мне периодически с одного из ресурсов одного из лидеров российского рынка телеком-оборудования при регламентных сменах пароля его присылают в почту в плейн-тексте вместе с логином.
Передавать пароль по http — не верю.
Например, RuTracker, который только недавно прикрутил SSL ко входу, а до этого как раз говорил
Дануладно

Вот именно.
У трутрэкера не было https, а потом добавили — это более чем естественное поведение.


А у wechat https был всегда — и мне тут говорят, что они его спецом отключают.
Когда пароль и так у них в plain text'e. Ога.


Иногда такое чувство, что здесь вокруг не Хабр с программистами, а сайт блондинок, которым выпаривают шапочки из фольги.

Данные идут зашифрованные только до точки входа, в локальной внутренней сети вряд ли кто-то шифрует трафик (да и смысл, если виртуальная поверх физической?). И тут как раз он может проходить проверку, между балансировщиком и самим приложением.
p/s Только в очень простых приложениях внешняя точка входа — это и есть вход сервера приложения)

Да о чем вообще спор? Пусть даже до сервера с приложением по https идёт, что мешает перед хэшированием в приложении сделать какие угодно проверки?

Я и говорил о https от клиента до сервера.
Внутри они данные пусть хоть грузовиками возят, это отдельная тема.

Что тогда мешает недобросовестному сотруднику установить логгер запросов на балансировщик и получить базу данных пользователей? Мне как-то казалось, что там все надежнее защищено.
Ну так а что мешает ему же сделать то же в приложении?
Вообще схема nginx(https)->uwsgi-uwsgi connector ваш_язык программирования_ очень даже стандартная.
Все-таки есть разница, когда расшифрованные данные находятся на одном компьютере или на нескольких, если я правильно вас понял.

Вы понимаете, надеюсь, что https где-то в инфраструктуре сервиса расшифровывается, и приложения не работают магическим образом с зашифрованными данными?


Вот где его расшифровали, там пароль в открытом виде.


Обычно это место — load balancer.

Вы так рассуждаете, как будто приложение специально само у себя ворует пароль.


Я говорил, что от клиента до сервера у wechat'a только https.
Что там у него в середине — мне фиолетово, этого ни вы ни я никто кроме них не знает.


Более того, что там конкретно в середине никто даже предположить не может кроме их разрабов.
ПО такого уровня не строится на жёсткой архитектуре, там всегда в наличии 100500 сотрудников, которые много чего пилят по конкретным обстоятельствам.


Самый популярный в мире "чат-для-всего" — серьезная штука.

"До всякого хеширования" не имеет никакого отношения к внутренней сети, так как хеширование заголовков производится тем, кто хешированный заголовок вставляет, обычно это клиентское приложение. Либо хешированный заголовок может вставить DPI, но в этом случае "до всякого хеширования" этот заголовок не существует в пейлоаде, в принципе.


SSL действительно может терминироваться на границе и дальше во внутренней сети будет бежать нешифрованный (а не нехешированный, хеширование необратимо) траффик, однако ловить его с помощью DPI и делать апдейты блокировки в базу, это из пушки по воробьям. При использовании SSL, проще уже хранить пароль в открытом виде во внутренней таблице, и стрелять всех неугодных компартии одним SQL запросом.

Вместо минусов, лучше бы спросили, что не удалось понять, я бы с удовольствием обьяснил. Web application firewall'ы не удаляют аккаунты из БД, это очевидный факт.


P.S.: Я понял в чем недопонимание, в контексте хеширования я имел в виду вставку хешированного идентификатора абонента провайдерским DPI в HTTP-заголовки в направлении целевого сайта, на котором происходит беспарольная авторизация по этим заголовкам — только в этом случае, хеш будет лететь по сети. А перехватывать во внутренней сети http для того, чтобы заблочить акк глупо — достаточно добавить проверку в сам application server, обрабатывающий запросы фронта.

Я объясню, почему я предположил про аналог WAF.


  1. Удалять аккаунты за то, что именно в пароле встречается какая-то подстрока из черного списка, это какая-то неимоверная тупость. Я не готов поверить в то, что кто-то поставил задачу такое сделать, и кто-то ее делал.


  2. Соответственно, логично предположить, что на блеклист анализируется не конкретное поле, а все тело запроса целиком. Для того, чтобы делать именно так, а не проанализировать какие-то разумные поля в приложении, нужны определенные причины.


  3. Такой причиной может быть некоторая прослойка, аналогичная WAF, которая анализирует произвольные http-запросы. Возможно, это даже какой-нибудь софт государственных органов Китая, по аналогии с российским СОРМ-2, — какая-то "коробочка", которая логирует все "подозрительные" запросы, и каким-нибудь законом предписывается эти логи анализировать.


  4. А уже по результатам автоматического анализа этих логов и удалилась запись в БД.


Тогда почему заблокировался аккаунт, а не один запрос на смену пароля?

На всякий случай. Если юзер совершил мыслепреступление, плохо подумав о Коммунистической Партии Китая — он уже выявленный потенциальный публичный смутьян.
Тогда бы было «пароль не подходит», а не более поздний бан/удаление через 45 сек.
Почему такая сложная схема для проверки? Перед хешированием и сохранением хешированного пароля в базу пароль на бекенд все равно прилетает в текстовом виде по TLS. Там его и можно проверить. По поводу задержки: скорее всего там очередь, в которую сыпятся текстовые данные и аккаунт, с которого эти текстовые данные получены. Т.е. фильтрация происходит асинхронно.
По идее пароль должен на девайсе хешироватся и тогда уже на сервер лететь
Вся польза от хеширования паролей теряется. Ты принимаешь на беке уже хешированный пароль и его же хранишь в базе и сравниваешь при логине. Т.е. хешированный пароль становится твоим обычным паролем.

Да, хешированный на клиенте пароль становится обычным паролем для сервера. Но уже уникалным для сайта, т.к. хешировать на клиенте можно не пароль, а pass:username:domain, например. А значит:


  1. Компрементация ваших серверов не компроментирует пароль пользователя на других сайтах (если он их переиспользует);
  2. Аналогично при MITM со стороны работодателя (обычное дело в больших контрах) — логин с рабочего компа на сайт X не компроментирует сайт Y с тем же паролем.
  3. (UPD) "Logging passwords by mistake"

Так что профит есть.

То есть, в идеале нужно двойное хеширование: первый раз на клиенте с солью, чтобы сервер не знал пароль пользователя, второй раз на сервере перед сравнением с сохранённым в базе, чтобы утечка базы не позволила логиниться в аккаунты.
Как предлагаете обеспечить на всех клиентских девайсах одну и ту же соль, которую не знает сервер?

Соль не требуется не знать (это же не часть пароля) – достаточно, чтобы она была разная для разных серверов (предотвращает использование хэшей с одного сервера на другом)

Элементарно. Пусть это будет CRC32 от самого логина/пароля.
т.е заполучив хэш я смогу или сгенерировать набор с аналогичным хэшем на выходе или просто подсунув на проверку заполученный хэш...- и как в анекдоте: «нафига тогда нам весь этот тюнинг в мюнхенском зоопарке» (или другой вариант «берлинском лагере беженцев»)?
В продуктах корпорации зла (не факт что везде).
И люди которые кидают минусы, вместо того чтобы тыкать на стрелку, объясните почему хешировать пароль на девайсе и сервере плохая или бесполезная практика?
Посмотрите пожалуйста любую реализацию авторизации в веб-сервисах, например OAuth 2.0.
Почему нет смысла отправлять хэш на сервер вам сразу же объяснили и минусы по делу влепили :)

Вообще-то кроме Oauth есть и другие виды авторизации, например, беспарольная авторизация по хешированному HTTP-хедеру X-MSISDN.

Я вроде и не утверждал, что это Oauth единственный протокол авторизации.
По X-MSISDN ничего толкового не нагуглил (выдает, что в этом хидере пердается номер телефона), может подскажете документацию? Стало интересно.
Речь не об авторизации, а об операции «смена пароля».

это не относится к операции «смена пароля», это относится к беспарольной авторизации

Я что-то не понял, так это авторизация или смена пароля?
Речь не об авторизации, а об операции «смена пароля».
OAuth и подобные протоколы здесь вообще ни при чём.
В продуктах корпорации зла

А пруфчик дать не затруднит?

И люди которые кидают минусы, вместо того чтобы тыкать на стрелку, объясните почему хешировать пароль на девайсе и сервере плохая или бесполезная практика?

Почему бессмысленно на девайсе, уже сказали. Не важно, что делает клиентское ПО с паролем, важно то, что результат этой работы передается по сети и «открывает» сервер. И пофиг, там введенный пользователем пароль, или его хеш. Важно то, что вот эта последовательность байт позволяет авторизоваться от имени данного пользователя.
Если хешировать пароль на клиенте, то что хранить на сервере? Что произойдёт в случае утечки БД с сервера?
Для парольной аутентификации придумано и реализовано всего два подхода: PAP и CHAP.

При PAP передаётся открытый пароль, а сервис может хранить только признак его знания (хэш).
При CHAP передаётся признак знания пароля (хэш), но сервис хранит пароль в обратимом виде.

При использовании PAP в больших инфраструктурах пароль в открытом виде проходит самую массовую фронтовую часть инфраструктуры. Гипотетически их может насобирать старший помощник младшего техника.

При CHAP пароли в открытом виде существуют только в конкретном месте в самой глубине бэкэнда. Доступ куда легко ограничивать и контролировать.

По нынешним временам для секьюрности чаще используют сертификаты, асимметричное шифрование и т.п. Но для многих сертификаты — тёмный лес, поэтому CHAP можно встретить во всяких коммуникационных сервисах для обычных людей и малого бизнеса — VPN, SIP и т.д.

Хэширование пароля делают для защиты от слива базы данных пользователей (злоумышленники, нечистые на руку работники организации). Допустим, некий и злоумышленник нашел возможность sql-инъекции и скачал себе базу данных логин + хэш пароля. При этом у него нет контроля над серверным кодом. Если пароль хэшируется на клиенте, а не серверным кодом, то злоумышленник владея слитой базой данных может отправлять серверу сразу хэш пароля и получать доступ к аккаунту.

Почему такая сложная схема для проверки?

Не факт, что пароль проверялся как-то отдельно. Может быть там стоял цикл по всем пришедшим полям (адрес, имя, логин и так далее) — убедиться, что нет "неправильных слов".


Это же классика — выводить в лог пришедшую структуру, а заодно и скомпрометировать пароль. Так и здесь — просто, возможно, проверяли все поля.

Хммм… И вот казалось-бы: какое дело журналистке из США до китайской коммунистической партии? Или это был эксперимент?
И вот, казалось бы, какое дело китайской коммунистической партии до чьего-либо пароля? Это же не агитационный материал, не сообщение кому-то, даже не личная записка… Гонконгских протестующих, с учётом этих реалий, легко понять.
Тут согласен. Однако, как я уже писал, мне непонятен хейт журналистки к компартии страны, в которой она не проживает. Зачем тогда пользоваться приложением этой страны и при этом выражать неприятие к её руководсву столь глупым образом? Вам не кажется это странным?

Как писали ниже: её аккаунт заблокировали необязательно из-за пароля.
А мне непонятно, почему отношение к компартии страны должно распространяться на приложения, созданные в этой стране.

Или может, кому не нравится «Единая Россия», тот не должен пользоваться «ВКонтакте»?
Это можно развернуть и в другую сторону. Мне, к примеру, не нравится соблюдать законы США, используя такие сервисы как YouTube и Facebook. Почему законы, продвинутые правящими партиями этой страны, должны распространяться на приложения и сервисы, созданные в этой стране? И даже несмотря на то, что я могу быть чем-либо недоволен, я не вижу причин выражать своё отношение к YouTube, Facebook или правящим партиям в США, подобно этой журналистке. Или я единственный, кто видит клинический идиотизм и лицемерие в поведении данной особы?
Ну это просто способ пиара такой, очевидно. На том же реддите можно написать пост уровня «fuck China» и заработать 10к+ апвотов, вот и эта «журналистка» решила нехитрым образом раскрутиться на волне.
По-моему, если бы условный Facebook удалял аккаунт за использование пароля «F*ckNiggers1488», это было бы вполне newsworthy. (Но вот запостить историю об этом на Twitter точно бы не удалось...)
Вы правда не видите разницы между этими двумя ситуациями?
почему отношение к компартии страны должно распространяться на приложения, созданные в этой стране.

Почему законы, продвинутые правящими партиями этой страны, должны распространяться на приложения и сервисы, созданные в этой стране?

"ты в зоопарк ходил на Абезьян смотреть???"
До сих пор интересно что ж за пароль у Падлы был.

Ну, тут без шансов. Лукьяненко где-то писал, что он и сам не знает тот пароль…

Скорее всего, забанили по другой причине, а журналистка раздула хайп из ничего.
Нужет контрольный эксперимент — попытка зарегать ещё один акк с таким паролем и акк с полностью рандомным паролем с теми же прочими условиями (местоположение, браузер и т.п.)
Только что скачал, поставил, попытался зарегистрироваться с тем самым паролем. Долго думало, отправило решать капчу, после чего дало QR-код и потребовало, чтобы его отсканировал активный пользователь WeChat. Это вообще нормально? Так и должно быть, или пароль сказался? Нужен еще эксперимент!
Если у вас не получилось, значит рядом не было активного пользователя WeChat. Получается, что ограничение сработало.
Т.е. чтобы заработал интернет, нужно скачать драйвера на сетевую карту из интернета? :-)
Пишут, что для китайской версии так и есть, нужна рекомендация.
Да я вроде бы обычную качал, отзывы на русском в Play Store. А они разные бывают?

А для полноправного использования Хабра нужен инвайт… похоже, да?

Не только. Нужна ещё публикация набравшая достаточно плюсов. Инвайт к примеру не даёт набрать больше +4 в карму и соотв. возможность её сливать всем кто тебе не нравится.
Начать комментировать можно без особых затруднений, читать вообще гостем можно. В WeChat нельзя вообще ничего. Абсолютно. Только пытаться найти, кому скормить QR-код.
Но я уже прочитал, в РФ практически невозможно зарегистрироваться.

Для активации с некитайским номером давно уже требуют подтверждение от другого пользователя. Так что все нормально.

Всего одного пользователя? Я когда регистрировался понадобилось 2 китайца.

Хах, меня вот, например, wechat забанил навсегда без возможности апелляции по той причине, что он баги своей же апы принял за "использование стороннего ПО".


Я зарегистрировался, несколько месяцев не пользовался, зашёл — блокировка, восстановление доступа. Потом это самое восстановление доступа несколько раз не сработало (хотя и смс вводил, и капчу решал), бах, блокировка "за стороннее ПО" навсегда.

Журналистка говорит, что аккаунт был открыт на территории США и на американский номер телефона, то есть Великий китайский файрвол не должен был действовать таким же способом, каким он действует для китайских жителей.

Причем тут фаервол? Тенсент частная контора и может установить какие ей вздумается правила пользования своим приложением, с коими она согласилась поставив галочку в пользовательском соглашении. Список запрещенных слов, правда, скорее всего подогнало государство…
Тенсент частная контора

У ней там влияние поболее, чем у гугла. Человек без wechat там вообще сильно ограничен, в реальной жизни.
Вот поэтому я против гигантов, в принципе.
Как человек, который постоянно пользуется вичатом, могу сказать, что блок некитайского пользователя — это нормально и совсем не обязательно связан с блеклистом паролей. Скорее всего, у нее был в пользовании wechat кошелек. Чтобы его использовать власти обязали все аккаунты иметь привязки к id. И, скорее всего, все спорные ситуации и добавления от властей для китайских граждан с китайским id решаются автоматически, а вот если ты особенный, то в ручном порядке. Вангую, ее аккаунт просто всплыл в очереди на проверку, что-то не сошлось, заблочили.
Сам прежде был заблочен 2 раза на российском номере, 1 раз на китайском. Через поддержку — селфи — фото паспорта получил разблок. Китайцы просто привыкли так делать дела.
Через поддержку — селфи — фото паспорта получил разблок.
Wechat стоит подобного или для бизнеса требуется?
Без вичата в Китае почти не выжить
Суровая система. Не припомню других стран, где без какого-то персонального аккаунта в приложении прямо падает качество жизни.

Подождите несколько лет.
Движение под предлогом борьбы с повидлом уже началось.

Это где началось? Где-то может быть так, но там у элит был давно такой запрос, скорее всего. В Америке ничем подобным не пахнет.

Сначала в куче стран ринулись клепать приложения для слежки.


Затем подключились Google и Apple из той самой Америки с инициативой добавить такую слежку на уровне мобильных ОС.


Попутно вбрасываются мысли, что ради борьбы с Ужасной Угрозой можно и нужно частично отказаться от неприкосновенность частной жизни.


Про электронные пропуска и электронные ошейники, введённые в ряде альтернативно одарённых регионов, тоже не забывам.


На все площадки поддерживающие пользовательские комментарии прибежали толпы ботов для создания впечатления одобрения таких мер населением.

В каком они приложении, не подскажете? Таком, чтобы его частная компания выдавала, и ещё и отобрать могла без объяснений.
персонального аккаунта в приложении
ИНН и пр. — это атрибуты гражданства с сильно ограниченными правилами поведения у государства, и морально оно считается общественным институтом, из-за чего получает санкцию на монополию на насилие. У бизнеса нет таких строгих алгоритмичных правил и моральных ограничений, бизнес частный и должен быть гибким и искать лучшие модели поведения. А потребитель выбирать лучшее из предложений.
Слияние бизнеса с государством очень опасно, возьмётся худшее из обоих.

А как там тогда выживает огромное количество народа вообще без доступа к интернету?
Конечно, вичат там подмял под себя значительную часть платежей и прочего всякого. Но бумажные документы, банковские карты и бумажные деньги там вроде никто пока не отмегял.

Про электронные ID, брачные свидетельства я делал пост.
Что же до бумажных денег и банковских карт — удачи. Вот вам ссылка на одного из крупнейших экваеров — найдите там хоть один POS-терминал с приемом банковских карт
https://rms.meituan.com/shouyin
То же самое касается бумажных денег — в туристических районах можно часто встретить мечущихся ортодоксальных туристов, признающих лишь наличность, пытающихся найти хоть один магазин, где есть сдача со 100 бумажных юаней.

Столько гипотез, а кто нибудь проверял это, что она написала? Вдруг она просто пароль забыла, верить на слово, это последнее дело.
Нет, конечно. Это же интернет, здесь джентльменам принято верить на слово)
Зачем проверять? В сторону текущего бугимена Штатов можно вкидывать всё что угодно и все поверят.
А есть желающие спалить свой номер китайской разведке, которая пометит тебя как врага будущего мирового пекинского правительства?
Возможно, F*ckCCP89 входил в чёрный список хешей с запрещёнными паролями.

Если пароль хешируется с солью, то по хешу не заблокируешь. Или я что-то не понял?
Если вы владелец сервиса, то и соль вы уже знаете. А если вы знаете соль, то и хеши сравнивать можете.
Но если вы владелец сервиса, то у вас уже есть доступ к паролю в открытом виде, когда человек регистрируется или меняет пароль.
Просто журналист слишком наивная и думает, что китайские спецслужбы не собирают пароли от всех аккаунтов, регистрируемых в их сервисах. Такая огромная база паролей совсем не помешает, учитывая, что некоторые пользователи используют один и тот же пароль для нескольких сервисов.
Только она сначала смогла успешно его сменить и даже залогиниться с ним, а удалили аккаунт уже в течение минуты после этого.
Соль они знают, но сравнивать хеши это не помогает, так как соль как раз предназначена для защиты от подбора пароля по сравниванию хеша. Хорошая практика — хранить только соль и хеш. Возможно, как Вы сказали, они хранят пароли в открытом виде.
Журналистка. Верить джентльменам на слово. Ну и сам подход тёти к вопросу создания пароля, тоже впечатляет и складывает мнение.
Кстати, российским пользователям Wechat на заметку — если не пользоваться Wechat аккаунтом более 6 месяцев аккаунт блокируют.
Я писал много раз ( и еще тут, тут и тут про то, что такое вичат.
Чтобы вы понимали — это не просто мессенджер. Имея доступ к чужому вичат можно, в принципе, сделать все, что угодно — это и электронный ID, и госуслуги, и кошелек, и история передвижений и еще миллион чего подобного.
И, соответственно, возможны блоки за каждый чих. Антифрод у вичата параноидальный, как ничто другое. Так что я ставлю 99,99% на то, что ее заблокировали по какой иной причине вроде «вы привязали недавно карту, подтвердите, что это ваша карта путем отправки банковской выписки» или «вы за 5 минут отправили запросы на дружбу более, чем 1000 пользователей, подтвердите, что вы не бот».
С другой стороны — у меня вичат лет 6 уже, и замораживали аккаунт только 1 раз — когда я кредитку привязывал. Ну ничего страшного — в банкомате взял выписку, отправил им — через день все было нормально.
Совершенно случайно заблокировали по не связанной причине в течение минуты после смены пароля?
Может, она не заходила в аккаунт месяц, а потом зашла с IP другой страны.
Может, потребовали дополнительную идентификацию? Мы же тут всю историю тут не видим. Где скриншоты с сообщениями от сервиса?
Тогда почему ей дали сменить пароль? Она пишет, что успешно сменила пароль и залогинилась под ним.
Тот же вопрос к версии проверки пароля на крамольные слова…

Решение, вероятно, не в плоскости функциональных требований, а в плоскости технической реализации. Например, антифрод реализован асинхронной подсистемой. Событие упало в очередь, и когда оно выполнилось, тогда и произошла блокировка.
Антифродные нейросети могут работать постфактум, основываясь на журналах пользовательской активности.

Никогда не получали блокировок за подозрительную смену пароля(из необычного места, с нового девайса)?

Везёт. У меня опыт с mail.ru такой: зашёл в старый ящик, посмотрел почту. Минут через 10 обновляю inbox, чтобы прочитать письмо от сервиса — ваш аккаунт вероятно взломан, привяжите телефон :) И без телефона ни туда, ни сюда. Пришлось бросить этот ящик.
Рамблер и Яндекс тоже таким развлекаются. Даже свежесозданная почта со сгенерированным случайным и сложным паролем через пару дней оказывается «взломана». А как привязываешь телефон, то всё нормально. Даже пароль не предлагают поменять(старый же вроде как «утёк»). Но это не повальная практика, иначе бы это давно массы заметили и высказали бы общественное порицание.
Массам не нужно 100500 ящиков, а к своему единственному они не стесняются привязать телефон.
Сколько угодно. У меня недавно сбербанк заблокировал банкинг после необычно большого пополнения мобильного номера. Но номер-то пополнился.
Тоталитарное государство, создавшее цифровое гетто для всех граждан. Ну, и реальное гетто для миллионов уйгуров, казахов, киргизов и др. некитайских народностей с концентрационными лагерями на сотни тысяч человек для «исправления».

О, а можно пруфы на миллионы в концентрационных лагерях? Только не очередное бла-бла и какие-то показания мутных личностей (войска в Ирак вводили тоже с показания "свидетеля", только почему-то оружия не нашли, парадокс), а что-то более весомое. Ну и конечно интересно, почему многие мусульманские страны вписались за Китай, включая фундаменталистов из Саудовской Аравии, если они так мусульман там гнобят? Если там их миллионы, то это должно быть легко — миллион человек физически невозможно спрятать, ну и про колоссальное количество ресурсов на поддержание подобной инфраструктуры вообще умолчу. Или это очередные "highly likely"?

Это Синьцзяньский строительный корпус так называют. Там долго рассказывать, но в общем и целом там учат уйгурскую молодежь интернету, языку, истории и дают заработать на строительных проектах — высокоскоростная жд в Урумчи, метро в нем же — их работа.
Я сейчас удивлю, но почему мусульмане его ненавидят — из-за того, что китайцы показывают им кино про любовь и женщин в мини-юбках.
Ведь в чем закавыка — молодой уйгурский юноша женщин не видит от слова «совсем». И либидо копится. А когда он узнает про милых дам в платьицах — его в боевой отряд фиг затащишь — он думает не об Аллахе, а о том, как бы Лин Ся признаться в нежных чувствах(вечера знакомств там тоже проводятся).
По сути(это не шутка, а реальное исследование), запрет на хиджабы и пропаганда юбочек и платьицев сделали для дерадикализации региона гораздо больше, чем вся полиция

Если так и есть, то по мне так это куда гуманнее, чем американская "война с террором" и бомбежка МИРНЫХ жителей стран ближнего востока из-за радикалов (которых, кстати, они сами помогали взращивать, пусть и по другим причинам). Вот тебе и "тоталитарное государство, создавшее гетто". Кстати, вот примерно тоже самое про "обучение языку, истории и некоторой профессии" я слышал от знакомого казаха, который в Китае уже лет 10 живет, поэтому у меня и накопился скепсис к этим "highly likely" историям западной прессы, воняющим пропагандой времён холодной войны.

На всякий случай напомню, что в 1939м евреев отправляли в концлагеря тоже под предлогом «переобучения». Официально, кстати, добровольно — они писали расписку. И многие наивные немецкие граждане ( а может и большинство ) в это верили и примерно такие же истории рассказывали иностранцам.

Это, разумеется, ничего не доказывает, но ориентироваться на мнение некого простого китайца, который эти лагеря небось в глаза не видел — тоже не комильфо.
Я смотрю как живо в комментариях обсуждается техническая сторона того, как может быть устроена данная блокировка.

Но никто не обсуждает самую очевидную и более вероятную версию, что журналистка на волне антикитайщины вбросила высосанную из пальца историю. Верить журналистам, особенно американским — такое себе.
Ну проверьте, в чем проблема-то. Расскажете — заблокируют вас или нет ;)

Нормальным американским и европейским журналистам как раз верить нормально.
Других пока не особо завезли.

Как в закрытый сервис может доказать, что он шифрует пароли и не смотрит в них? Ответ — никак. А вот продемонстрировать что-таки смотрит — тривиально, что wechat и проделал. Спасибо за открытость, wechat, мы все про тебя поняли ;)

Ну да, а то что причина блокировки могла быть совершенно другой — мы, конечно же, не рассматриваем. Тем более, что этот Вичат порой блочит за любой чих, что связано со статусом приложения (это не просто мессенджер, а еще и госуслуги и куча всего сверху). Вполне могло быть, что "журналистка" долго не заходила на аккаунт, потом решила зайти из новой локации и сменить пароль. В итоге — блок, достаточно тривиальная вещь, но на таком лайков в Твиттере не заработаешь.

Более любопытным моментом в этой истории мне кажется легковерие читателей.


Из сотен каментов выше только трем юзерам пришла в голову мысль, что все это может быть враньём, и только один хабраюзер из этих трёх попытался проверить прохладную историю на практике.

Но ведь даже если это и правда, блокировка по оскорбительному паролю, то это лучшее что могло случиться с американской журналисткой. Жизнь штука сложная и вдруг бы, через некоторое время, эта журналистка оказалась бы в Китае? смогла бы она что-то в твиттере написать, сидя в комнате для задержания и глядя на распечатку того самого логина с паролем?..
Бек ещё до хэширования получает от клиента пароль в открытом виде. Не клиент же готовый для записи в базу хэш проверяет.
А как вам такая революционная идея, что пароль хранится в открытом виде?
Only those users with full accounts are able to leave comments. Log in, please.