Pull to refresh

Comments 143

Странно, я даже не думал — пошел и сменил пароль.
Мне подумалось что у них могли увести базу пользователей и они решили тихо без шума просто сменить пароли у всех пользователей. Иного оправдания я не вижу.
ох, что-то я на ночь глядя не додумался до такого сценария. Надо сменить пароль по-настоящему, а то еще присвоят портфолио
UFO landed and left these words here
Требование? Они его уже сменили за Вас ;)
Обратите внимание на то, что система уже сменила ваш старый пароль автоматически, поэтому вы уже не сможете войти на сайт, используя прежний пароль.
Я — система. Я знаю ваш новый пароль. А вы на сайт не войдете, так как свой новый пароль вы не знаете.
В 2009 году они меняли пароли, была новость о DDoS-атаке www.free-lance.ru/news/220309/ с уведомлением о смене паролей, так если они разработали «крутую систему» зачем опять принудиловка!? Про DDoS мне с трудом верится, предполагаю и в этот раз опять у них пароли стянули…
Да-да-да, именно так и было! Впервые о смене пароля вопрос поднялся после вестей о DDoSе. Теперь это ежегодная забава.
У меня единственная мысль по этому поводу… может дело не в безопасности, а в статистике. Финт со сменой пароля даст точное количество активных пользователей, для которых ресурс важен. Хотя… такую статистику можно собрать и без неудобств для пользователей.
/недоумеваю
Хаотичные и непродуманные поступки заставляют задумываться только о двух вещах:
1. Руководители проектов далеки от реальности и могут запросто затереть пароль чтобы пользорватель не мог войти и никак конечно не могут подумать о том, что письма иногда теряются и будут сложности у клиентов с восстановлением доступа
2. Банальный взлом и несобранность команды, читаем пункт 1.
Были исследования, доказывающие что смена пароля фактически не влияет на безопасность. Человек всегда охотно жертвует безопасностью в пользу удобству:
1 запоминает пароли в браузере
2 пользуется открытыми Wi-Fi сетями без VPN
3 записывает пароль на стикер и клеит на монитор.
Ну и правильно. Лично мне не слишком дорог аккаунт на фрилансе, как и большинство прочих.
вот когда амазон попросил сменить пароль потому что я был в утекшей базе gawker — было приятно :)
UFO landed and left these words here
я уже и забыл, что там зареген (gawker) и просто так бы не рыпался, а мне напомнили и сразу же предложили поменять.
Бред или не бред, но лично у нас в таблице с пользователями с некоторых пор есть поле «needPassChange». Пользовались только один раз — когда поняли, что у доброй половины юзеров пароли либо совпадают с логинами, либо подбираются по первым строчкам словаря. Повысили требования к паролям и выставили таким пользователям туда «1» в автоматическом режиме. Пока пароль не сменишь — дальше страницы авторизации не уйдешь. Правда, у нас прямо там же объяснялась причина такого решения: «Ваш пароль слишком простой...» — и желающих поспорить с этим не было. Нет, недовольные, конечно, были («Меня-то ведь почему-то до сих пор не взломали!»), но большинство отреагировали спокойно: поставили себе «a1234567» и «1234567a» и забыли об этом.
Вероятно, я бы перестал у вас регистрироваться и спокойно забыл бы об этом, потому что я ХОЧУ иметь возможность поставить простой пароль:

а) на сервис, потеря учетки в котором мне по барабану

б) при первоначальной регистрации на любом сервисе: в свете следующего комментария про пароли, которые присылают по почте
Так уж получилось, что пользователи достаточно зависимы от нашего ресурса. Подсчитано, что в среднем они проводят на наших серверах по 2 часа в день. Они готовы оплачивать дополнительные услуги, а зачастую и просто жертвовать деньги. Кому-то, конечно, по барабану, но таких не много, и, как бы цинично это ни звучало, если они обидятся и уйдут, мы ничего не потеряем.
В нашем случае это оправданно. Подавляющее большинство пользователей — новички в интернете. У многих их них нет даже электронной почты, чтобы восстановить, в случае чего, пароль. Поэтому удобно работать с ними именно так, индивидуально с каждым. А ещё мы по похожим паролям вычисляем виртуалов. :)
Хранить пароли в открытом виде неоправданно всегда! Если пользователь забыл пароль, генерь ему временный и шли письмо, чтоб он пароль свой восстановил. Сценариев восстановления паролей придумать можно кучу.

Куда сложней придумать что делать, если у тебя пароли в открытом виде и кто-то как-то получил доступ в базу. Хотя что значит сложней придумать, фрилансру особо не парился. Увидели пароли — не беда, юзер придумает новый, щас мы ему сказку напишем

Сайт-то какой :)?
Куда письмо-то слать, если у половины даже ящиков электронных нет? :) Они не просто не указаны — их действительно нет, мы опрос проводили. Обязательную привязку аккаунта к мобильному делать? Так это не меньшее зло, на мой взгляд. У нас (я в это свято верю) прямой доступ к базе можно получить только из офиса, а клиентские приложения (я опять-таки в это свято верю) в принципе не могут выдать чужие данные.
И неужели вы думаете, что я, назвав два самых популярных пароля, скажу кому-то адрес сайта? Меня генеральный на люстре вздёрнет. :)
Авторизация по логину? Не самый лучший вариант, лучше авторизовать по email. Причины — уник, есть у всех, есть куда теперь письма слать.

Лучше-то лучше, но… нет, есть он не у всех: проект на мобильные телефоны ориентирован. Аудитория — «чайники». От семилетних детей до пенсионеров. 85% для логина используют только мобильные клиенты, а 30% вообще не имеют дома компьютеров. Если бы мы заставляли желающих зарегистрироваться идти (с телефона!) на какой-нибудь почтовый сервер и возвращаться к нам только с заветным адресом, мы бы распугали всех новых пользователей. В общем, мотивы не полагаться на email и хранить пароли в открытом виде у нас есть.
Ну, вам виднее на самом деле, просто повсеместная практика и к сожалению личный опыт говорит о том, что хранить пароли в открытом виде небезопасно.
Бесит когда введенный мной пароль присылают мне на почту…
Чего уж там, люди должны знать своих героев…

Для тех, кому это это ещё не очевидно:
Администрация Free-lance.ru проводит ежегодную смену паролей пользователей...
Это такая добрая традиция, как и сжигание чучела зимы на Руси.
Ну а серьезно, я не помню больше такого. Паролю 5 лет почти, и тут на тебе.
UFO landed and left these words here
Журналистская этика. В ином случае можно расценивать, как «черный пиар».
Все, карты раскрыты. Утечка кармы обходится дороже журналистской этики :)
«Ежегодную», кто-нибудь помнит, а было ли в прошлых годах что-то такое?
Лично я такого не помню. Однако был аналогичный шаг со стороны администрации другого фриланс-ресурса (не менее известного).
Действительно, с чего бы это они предлагали мне сменить пароль, если сменили его сами? Или не сменили?..
Тогда была клевая пепяка: кто-то вставил на сайт картинку из директории, которая требовала авторизации. И при заходе на сайт вываливалась форма логин/пароль куда юзеры, по незнанию, вбивали пароли от своей учетки на фрилансе. Тогда, да, помню просили.
я помню как-то было такое уже на фрилансе
Забил на все это дело — все равно от них мне мало толку.
Угу, а меня админы фриланса меня сначала забанили, а через неделю попросили поменять пароль :)
Топик увидел и сразу понял кто герой торжества :)
Ежегодную, ну-ну. Три года на фрилансру и вдруг ежегодная смена пароля :)
почти 5, и каждый год мероприятие как-то без меня проходило
Добро пожаловать на ежегодную смену пароля!
Прочитал это сообщение еще на телефоне утром в кровати — сон как рукой сняло.
ты и так по утрам не спишь, так что не засчитывается
UFO landed and left these words here
Смотрите скоро на торрентах: «Полная база паролей _sitename_ + новые пароли которые пользователи поставили после просьбы сменить их»

А по существу — печально это, если бы их взломали было бы лучше если бы они сказали прямо, было бы больно и громко, но не долго, а это теперь вонять долго будет…
Тоже пришло волшебное письмо. Полный бред, как будто если 1234 поменяют на 4321, пароль от этого станет безопасней. Я считаю, за принудительную смену пароля надо отрубать руки (как и за дебильные требования при регистрации, типа «пароль должен содержать как минимум одну букву и одну цифру»).
UFO landed and left these words here
Т.е. вы предполагаете, что если с подобного ресурса уведут базу, администрация этого может и не заметить?
UFO landed and left these words here
Когда у вас воруют кошелек, как быстро вы это обнаруживаете?
Не могу ответить на этот вопрос, т.к. никогда не попадал в такую ситуацию. Однако, я попадал в ситуацию, когда уводили базу сайта, и я обнаруживал это минимум через несколько часов.
UFO landed and left these words here
Когда увидел заголовок, то первое, что пришло в логову — «меня ломают».
UFO landed and left these words here
действительно. параноидальный пароль.
наверно еще и в разном регистре + спецсимволы?
Любопытно, что потом от обсуждаемого сайта на e-mail пришло письмо-уведомление о смене пароля, в котором новый пароль был указан прямым текстом. Весьма безопасно :)
Они заказали концепцию модели безопасности у специалостов вебманей :)
+1 Почти ко всем комментам! )
Следующее письмо, которое получим будет «Товарисчи! 20.01.2011 — прошел слух о взломе! Не верьте! Просто пришел „кролик“ и сказал „Хватит просто рубить капусту с пользователей — пора вводить инновации в сервис!“. Вот мы и повелись» )
Или вас сломали?
Нас не ломали, спасибо за заботу.
Всё, нужно успокоиться и продолжить прерванный пол-дня назад сон :)
А вы почему решили, что нас сломали? Потому что вам пришло письмо от freelance.ru, но причем тут мы?
От кого: Free-lance.ru <no_reply@free-lance.ru>.
Или freelance.ru тоже досталось?
на втором сайте даже не зарегистрирован, не могу сказать.
Откуда эти заголовки? Это же не цитата из моей заметки.
Это письмо пришло мне сегодня в час ночи. Первая мысль — «взломали». Оказалось, нужно «просто» сменить пароль.
Если честно, я понятия не имею кто вы и откуда. Вы не представились.
С чего вы вообще взяли, что письмо мне пришло с того сайта, на который вы сейчас сослались? (риторический)
Если честно, я понятия не имею кто вы и откуда. Вы не представились.
Вот именно, а вы уже в заголовке написали, что меня взломали.
Спасибо за замечание, поправил.
Только после этого комментария понял, что вы имели в виду. Нужно было указать прямо, а не закручивать греческие сюжеты.
Вы так выделяете «нас» и «мы», будто вы «самизнаетекто» :)
Ладно, подробно.
Открывает любой пользователь хабр, листает топики, видит топик с названием «вас сломали». Какое письмо, какой фриланс? Написно «вас сломали». И вы либо совсем идиот и не разу не слышали освязанности повествования, или намеренно так сделали чтобы как можно больше людей прочли топик и узнали кого там на самом деле сломали.
Так, без личных оскорблений никак нельзя? Выше уже написал что испавил. Третьего варианта, по-вашему, быть не может?
Подробно: заголовок остался с первой редакции, когда заметка была адресована ресурсу напрямую. Потом упоминания в тексте стер, заголовок упустил.
Не могу, к сожалению, парировать в вашей карме, принципы. Так что холивара не будет.
Вы о чем опять хотите сказать? Какого холивара? И почему вы сожалеете, что его не будет?

Вы же исправили эту логическую ошибку, приведшую к конфузу.
Я не сожалею. После последнего вашего сообщения в течение 5ти минут карма моя упала на 3 разряда, заподозрил вас грешным делом в организации покушения. Извините, если ошибся.
Полный маразм… Зашел на сайт, вышел… Через пять минут понадобилось зайти снова. Не пускает. Давай менять пароль. Установил тот же, что и раньше.
Сейчас вот прочитал статью и тоже нашел оповещение о принудительной смене паролей в спаме.
Кому это было нужно? Зачем?

Вообще непонятны политики безопасности, когда админы выдают пароли, которые НЕВОЗМОЖНО запомнить. Что делать? Лежат себе записанные, дай бог в зашифрованном виде. А то и просто в текстовом файлике. Выиграла ли от этого безопасность? Вряд ли.
Недавно (неделю назад) хотел отписаться от спама с этого сайта. Хотел восстановить пароль, так как забыл его. Пароль не пришел, а вот сегодня пришло такое же письмо. Ну хоть так зайду на сайт и удалю свой профиль )
Аналогичное письмо пришло и мне, что самое интересно, у меня, каким-то образом, сменился и логин. В логине появился дефис, которого там никогда не было. Печально.
Кстати залогиниться я так и не смог, ни с новым паролем, ни с новым логином.
прошу прощения за дачу ложных показаний :) Не проснулся еще.
И мне пришло аналогичное письмо, спустя 2 дня после регистрации на сайте…
Эх… помню как-то раз базой ошибся — и вместо изменения всех паролей на тестовой машине — поменял на боевом сервере. Весёлый тогда день был. Народ техподдержку всю неделю мучил :)
От чего же? Просто последний бэкап был недельной давности. А то и больше :)
Эта неназванная компания перед Новым годом трубила, что объявила «Новогоднюю амнистию» для пользователей, которые были забанены в течение года за нарушение правил :).
С одной стороны, они делают безопасность, с другой им надо поставленные показатели по зарегистрированным пользователям достигать.
Не удивлюсь, если эта смена паролей направлена на компенсацию посещаемости сайта в Январе — шутка ли, праздники подкосили аудиторию.
А дяди из второй крупной компании, которую условно назовем нн, хотят цифирьки и ножками топают.
А мне сегодня утром пришло писько которое начинается со строчки — «Пишем вам с вашего профиля на сайте free-lance.» Я уже полумал сразу, что мой акаунт взломали но все нормально пароль поменял.
Это еще что. Один всеми забытый хостер и один всеми не любимый банк при авторизации раз в месяц принудительно заставляют менять пароль, иногда это очень не удобно и не кстати (когда захожу в интернет-банк с телефона, например, чтобы быстренько что-то глянуть). Да еще и повторяться в паролях нельзя… И происходит это внезапно.
Банк да, бесит, и делает это раз в 100 дней, кажется. Но запас фантазии уже почти исчерпан, и, похоже, нужно искать другой банк.
Не хватает кнопки «Не присылайте мне больше никаких писем».
Эти дятлы (фриланс) ещё и пароль в открытом виде хранят, так что если база ушла то пароли получены все без проблем
Прощу прощения, если я что-то пропустил, но от куда такая информация?
Они его почтой шлют, это практически 100% что они и хранят его в открытом виде
Если его шлют при регистрации, то это еще ничего не значит.
Почему «практически»? Оставляете надежду, что они шифрованы с помощью пароля, который знает только один человек? При таком количестве паролей это практически в открытом виде… А, ну да, Вы так и написали :).
Что за выводы такие в стиле НТВ?

Пароли и должны слаться почтой (для напоминания пользователям, забывшим их), но это ничего не означает. Система их дешифрует специально для такой корреспонденции.
Пароли не должны слаться почтой, они должны храниться в хешах. Слаться должны ссылки с кодовыми строками для изменения пароля. Так действительно безопасно.
Есть понятие «быстрая регистрация». Ввел свой email и произвел вход на сайт, а на почту тебе уже падает сгенерированный пароль. В этом случае оправданно. В остальных — нет
1. Возможно, но маловероятно, насколько я знаю если контора знает пароль (и присылает его почтой), то это обыно значит что они так и хранятся
2. Даже если так то это пародия на безопасность — если утянули базу, то вполне вероятно что и ключ ушёл с ней
3. То что шлют пароли почтой это тоже большой косяк
Это и есть «практически в открытом виде». Прикиньте, сколько там пользователей в базе. Атака по словарю вполне может сработать. И начать стоит с «123456», наверняка у кого-то из всех пользователей есть такой пароль пусть не на основном, а на вспомогательном аккаунте.
мда, че то я не то написал :). Я хотел написать, на самом деле, что когда есть хеши огромного количества паролей, некоторые из которых могут быть очень простыми, у нас облегчается задача взлома общего для всех этих хешей ключа, поскольку алгоритм известен. Это посложнее атаки по словарю, но быстрее брутфорса.
Вряд ли в открытом виде хранятся — менял свои пароли сейчас. Пароль не высылается по почте по запросу, он высылается только при регистрации. Это конечно не очень хорошо, но к хранению в БД уже не относится.
в 20 января 2011 в 11:08 я делал смену пароля и получил на почту пароль в открытом виде, об этом же писали выше в коментах
Это тоже не значит, что пароль хранится в открытом или дешифруемом виде. Например, в сеттере пароля может стоять отсылка письма — записывается в базу хэш, отсылается в оригинальном виде, скрипт завершает работу и оригинальный пароль остаётся только у вас на мыле (ну и по маршруту могли перехватить)
Да, но как я уже говорил факт отсылки сильно увеличивает вероятность хранения в открытом виде
Руководитель разработки другого и не мог сказать, я готов извиниться если я вдруг ошибся, но только если получу информацию из независимого источника.
Пока, исходя из опыта я считаю что пароли были в открытом виде — те кто понимают зачем хешировать пароли не шлют их почтой, а те кто шлют — чхали на хеширование
Откуда независимый источник может знать, как хранятся пароли?
Обратите внимание, что вы не можете восстановить свой старый пароль на почту. Вы его можете только изменить. Если бы пароль хранился в открытом виде, то, думаю, не было бы сложность его просто напомнить, а не изменять.
> Откуда независимый источник может знать, как хранятся пароли?

например бывший разработчик

Восстановление пароля это важный показательн, но гарантии не даёт, пока мой предыдущий комент в силе — отправка паролей это слишком халатное отношение
например бывший разработчик

А это уже не незаинтересованное лицо, к тому же это, по крайней мере, не этично с его стороны, если это действительно так.
UFO landed and left these words here
Считаю вполне нормальной и удобной практикой слать пароль открытым текстом при регистрации/смене, но в базе хранить только его хэш:
— получив дамп базы злоумышленники получат только хэши паролей
— у пользователя есть возможность выбирать хранить пароль у себя в мыле или сразу же удалить. Возможные риски компроментации неудаленного пароля вне моей зоны отвественности.

Конечно, возможен риск перехвата письма при отправке, но, имхо, он пренебрежимо мал по сравнению с удобством пользователей.
Ваше право, у меня конторы, которые шлют открытый пароль вызывают отвращение, слать открытый пароль это как не соблюдать правила гигиены исходя из того риск заболеть пренебрежимо мал
Наверное для таких как вы нужно делать галочку в форме регистрации «Выслать копию регистрационной информации мне на e-mail» :)
А никому не приходили в этот день предложения о сотрудничестве?

Мне пришло письмо следующего содержания:

«Добрый день!

Пишем вам с вашего профиля на сайте САБЖЕВЫЙ-САЙТ. Нашей компании на
постоянное сотрудничество требуется веб-программист для написания
скриптов, оптимизирующих работ предприятия.
...»
Посчитал это очередным способом напомнить об их сайте и отправил письмо в спам.
Лучше бы они напоминали о себе обновлениями и улучшением юзабилити…
заходите на workbreeze.com, создано специально для этого :)
Оооочень «юзабельно», могу посоветовать хороших людей, которые интерфейсами занимаются, да и неплохо было бы сделать личный кабинет, в котором можно забивать пароли от всех бирж и работать через вашу напрямую, и была возможность отвечать на проект не переходя на сторонние биржи. Это как идея, не поймите неправильно :)
Интерфейс там уже некуда улучшать, он практически идеален. Это просто поиск, работать все равно придется на биржах, по другому никак (по крайней мере для наших бирж — они не будут сотрудничать, жадные и боятся потерять клиентов почему-то).
Всегда есть куда стремиться и есть что улучшать :)
UPD1: Читатели сообщают, что теперь письмо с паролем приходит сразу после попытки логина на сайт (удачной). Разница между авторизацией и письмом — меньше минуты. Режим «Паника» сменился на режим «осторожность». Мнение читателя: это не попытка взлома, а просто непродуманные действия администрации.

Я на free-lance.ru не заходил уже больше полугода, тем не менее, письмо я получил даже не заходя на сайт.
Я вставил слово «теперь». У меня письмо пришло так же без моего участия: на сайте не был месяц
Долго не были на сайте, так как нашли ему альтернативу?
Вынужденный творческий отпуск случился. Не знаю, когда удастся вернуться к работе
Тоже подумал, что фэйк какой-то, но очень быстро это все проверяется: в письме сказано, что мой пароль уже сменили на случайный => идем на сайт, пробуем логиниться — не получается, значит письмо скорее всего не фэйк.
я этим сервисом не пользуюсь, поэтому я ничего и не предпринимал.
Тоже получил письмо, но кликать по ссылке не стал.
UFO landed and left these words here
Мда… все честно поменял… А сегодня опять не пускает.
Only those users with full accounts are able to leave comments. Log in, please.