Comments 111
[irony]
Хранение паролей открытым текстом — отличнейшая возможность для проведения различных исследований на тему «самые популярные пользовательские пароли».
[/irony]
Я таких очень много видел.
Хранение паролей открытым текстом — отличнейшая возможность для проведения различных исследований на тему «самые популярные пользовательские пароли».
[/irony]
Я таких очень много видел.
Сдается мне, что как сделали они ядро системы в 2002 году, так с тех пор им лень его переделывать.
А как вы вообще определили, что пароль именно старый, а не новый и рандомный?
Вероятно, это было какое-то слово или конкретный номер телефона, в общем то, что непохоже на машинный бред.
Вполне может быть, что их генератор случайных паролей собирает пароли из словарных слов (или слогов), или использует числа такой-же длины, что и номера телефонов в РФ.
Вот если бы ТС проверил это установив свой пароль для счётчика и затем снова запросив восстановление таким-же способом, тогда это было бы намного более авторитетно, без этого это просто догадки.
Вот если бы ТС проверил это установив свой пароль для счётчика и затем снова запросив восстановление таким-же способом, тогда это было бы намного более авторитетно, без этого это просто догадки.
Я тоже однажды восстанавливал доступ к одному сайту. Пароль был осмысленным словом, ассоциировавшимся с названием компании, которая раньше занималась их сайтом.
а я потом попробовал «восстановить» пароль для своего сайта, пароль к счетчику которого я не успел забыть… прислали оригинальный пароль на вся ящики, на которые запросил ;)
Пароль старый. Подтверждаю это как человек, побывавший этой ситуации с обратной стороны.
У меня был сайт со счётчиком от ли.ру. В один прекрасный день я не стал продлевать домен, решив, что сайтом больше заниматься не буду.
Через несколько месяцев мне пришло письмо с восстановлением пароля, в котором был мой старый пароль. Тогда я лишь мысленно отправил лучики ненависти в адрес ли.ру, которые хранят его в открытом виде.
И лишь позже я заметил, что по старому домену уже есть новый сайт со счётчиком. Тогда и посмотрел на гениальное творение — эту форму восстановления пароля.
PS: И кстати да: пароль был хоть и не словарный, но короткий и который я использовал на многих и многих малозначимых сайтах.
У меня был сайт со счётчиком от ли.ру. В один прекрасный день я не стал продлевать домен, решив, что сайтом больше заниматься не буду.
Через несколько месяцев мне пришло письмо с восстановлением пароля, в котором был мой старый пароль. Тогда я лишь мысленно отправил лучики ненависти в адрес ли.ру, которые хранят его в открытом виде.
И лишь позже я заметил, что по старому домену уже есть новый сайт со счётчиком. Тогда и посмотрел на гениальное творение — эту форму восстановления пароля.
PS: И кстати да: пароль был хоть и не словарный, но короткий и который я использовал на многих и многих малозначимых сайтах.
Хватит насиловать труп. Этот сервис уже давно не актуальный
Очень даже актуальный.
Ошибаетесь. Его приходится использовать т.к. многие рекламные сети (или отдельные партнеры) требуют доступ к статистике именно этого сервиса, а про гугл аналитикс слышать не хотят.
Вы не умеете вести переговоры? У меня тоже один серьезный партнер пытался требовать как-то. Я сказал честно, что ссылка, которую устанавливает счетчик стоит у меня (по данным биржи) 200$/мес. Плюс компенсация оттока PR, платными ссылками. Счетчик не заплатит. Хочешь заплатить за него ты? Разговор сразу перешел в конструктивное русло и закончился на том, что я делаю для него парольную страницу с экспортом данных из аналитикса.
UFO just landed and posted this here
Не думал, что в 21 век кто-то еще умудряется хранить пароли в открытом виде… кошмар
А мне нравится подобная политика лиру, намного удобней получить свой пароль, нежели генерить новый.
Параноики кричат о безопасности итп, но согласитесь, нет ничего более удобного, чем напоминание пароля, именно напоминание, а не генерация нового.
А что касается «если стырят базу лиру», я бы таким людям пожал бы руку. Счётчик лиру писан на си, в нём используется несколько разных типов хранения информации и все они разработаны Максом (Максим Зотов — автор counter.mail.ru, потом rax.ru, ныне liveinternet.ru) для конкретного проекта. А это вам не sql-inj в адресной строке ковырять )
В общем за всё существование счётчиков лиру, а именно этот счётчик самый популярный в России, я не слышал ни об одной утечке инфы. И вряд ли услышу. Успехов и процветания сервису.
Параноики кричат о безопасности итп, но согласитесь, нет ничего более удобного, чем напоминание пароля, именно напоминание, а не генерация нового.
А что касается «если стырят базу лиру», я бы таким людям пожал бы руку. Счётчик лиру писан на си, в нём используется несколько разных типов хранения информации и все они разработаны Максом (Максим Зотов — автор counter.mail.ru, потом rax.ru, ныне liveinternet.ru) для конкретного проекта. А это вам не sql-inj в адресной строке ковырять )
В общем за всё существование счётчиков лиру, а именно этот счётчик самый популярный в России, я не слышал ни об одной утечке инфы. И вряд ли услышу. Успехов и процветания сервису.
Учитывая то, что у многих один пароль на кучу сервисов, и они даже не подозревают, что он к кому-то может попасть через месяц, через год хотя бы путем восстановления его кем-то — удобство слишком ущербное.
А я и не говорил про многих, я сказал что «мне» нравится подобная политика. Мне нравится, что даже в супер современных авто с супер современными системами безопасности, все эти esp и прочие можно отключить.
Вы сталкнулись с нестандартной и удобной формой восстановления пароля, и тут же уверены, что это не верно, т.к. не безопасно. Как тот хакер с солонкой.
Вы сталкнулись с нестандартной и удобной формой восстановления пароля, и тут же уверены, что это не верно, т.к. не безопасно. Как тот хакер с солонкой.
Хммм… Эта форма была стандартной в древние времена. В настоящее время ее «неверность» уже мало кем оспаривается.
В описании любого сервера слова «пароли» и «хранить» не должны стоять в одном предложении. И точка.
Не надо их хранить. И восстанавливать их не надо. Хранить можно хеши, можно сертификаты с открытыми ключами, но пароли? Он серверу не нужен.
Не нужны вообще солонки. Каждый приходит с личным пакетиком соли, у хакера нет повода для возмущений.
Не надо их хранить. И восстанавливать их не надо. Хранить можно хеши, можно сертификаты с открытыми ключами, но пароли? Он серверу не нужен.
Не нужны вообще солонки. Каждый приходит с личным пакетиком соли, у хакера нет повода для возмущений.
Называйте их как хотите. Пароли, позывные, слепки, хеши, сертификаты. Для авторизации вы должны представиться системе и сказать некое кодовое слово, подтверждающее, что вы это вы. Можно устраивать бюрократию, если вы забыли своё кодовое слово — идите к заместителю начальника генштаба по авторизации, пишите заявление о утере кодового слова, он вышлет вам его по почте. А можете не выходя из дома просто получить своё годовое слово на почту.
Повторю, лично меня подобная политика лиру более чем устраивает. Я прекрасно понимаю, что это не безопасно и прекрасно понимаю, что к сервису счётчиков лиру больше подходит термин «кодовое слово», а не «пароль». Но это лучше, чем иллюзия безопасности. Ещё раз повторю, пароли лиру никогда не выкладывались в сеть. Подобранные хеши к таким сервисам, как qiwi и прочим — много раз.
Повторю, лично меня подобная политика лиру более чем устраивает. Я прекрасно понимаю, что это не безопасно и прекрасно понимаю, что к сервису счётчиков лиру больше подходит термин «кодовое слово», а не «пароль». Но это лучше, чем иллюзия безопасности. Ещё раз повторю, пароли лиру никогда не выкладывались в сеть. Подобранные хеши к таким сервисам, как qiwi и прочим — много раз.
То есть вы не знаете как работает авторизация по алгоритмам с открытыми ключами?
При чём тут авторизация по алгоритмам с открытыми ключами? И тем более при чём тут мои знания? ))
А вы в курсе, что клубника, это орех, а не ягода?
А вы в курсе, что клубника, это орех, а не ягода?
Вам перечислили несколько методов авторизации. Вы свели их все к парольному. Я предположил, что вы не понимаете как работают остальные и честно об этом спросил. А теперь объясните какое отношение клубника имеет к теме.
Вот и я говорю, что клубника имеет точно такое же отношение к теме, что и ваше предположение о моих знаниях.
Или вы серьезно предлагаете лиру перейти на авторизацию с публичными ключами?
Или вы серьезно предлагаете лиру перейти на авторизацию с публичными ключами?
Конечно такое предлагать наивно — они еще https не освоили. :)
Вы здесь утверждали: "Ваш пароль идёт в открытом виде по сети в любом случае, если нет https`а.". Так вот не в любом случае. Наоборот в открытом виде пароль шлется только при base-авторизации, а все остальные пароль в открытом виде не передают. То есть имеет место ваше ложное утверждение в защиту неосмотрительной политики безопасности li.ru и соответствующий ответ на него. Теперь попробуйте найти «точно такое же» обоснование для вашей клубники в этом диалоге.
> Так вот не в любом случае. Наоборот в открытом виде пароль шлется только при base-авторизации, а все остальные пароль в открытом виде не передают.
что есть «base-авторизация» в вашем понимании? Авторизация через любой post/get запрос, т.е. через любую форму без https, это base-авторизация?
что есть «base-авторизация» в вашем понимании? Авторизация через любой post/get запрос, т.е. через любую форму без https, это base-авторизация?
Base и Digest авторизация это протоколы авторизации, встроенные в HTTP. Когда вы говорите об авторизации через HTML-формы вы на самом деле говорите о более высокоуровневой авторизации, которая основана на не предназначенном для этого протоколе. Но даже в этом случае есть средства авторизации без передачи открытого пароля. Например на основе этой библиотеки. Хотя конечно проще и, зачастую, дешевле просто включить https, кстати внедренный на массе ресурсов, уважающих себя и права своих клиентов.
Ответил вам ниже по поводу basic авторизации в http и частоте её использовании.
jssha очень круто. Вы когда-нибудь использовали её на публичном ресурсе? Получила тысячи писем в день от недовольных пользователей, которые не могут «сохранить пароль» в браузере для авторизации? Видимо нет, но ничего, тут на хабре можно повыёбываться и теоретическими данными.
jssha очень круто. Вы когда-нибудь использовали её на публичном ресурсе? Получила тысячи писем в день от недовольных пользователей, которые не могут «сохранить пароль» в браузере для авторизации? Видимо нет, но ничего, тут на хабре можно повыёбываться и теоретическими данными.
> идите к заместителю начальника генштаба по авторизации, пишите заявление о утере кодового слова, он вышлет вам его по почте
Хрен там. Не должен он высылать старое кодовое слово.
Автор топика правильно высказывает претензию:
> я ожидал получить письмо со ссылкой на восстановление или сброс пароля [...] временный пароль
И если продолжать вашу аналогию, то в генштабе тоже не дураки сидят :) арифметические пароли известны с войны 1812 года, наверное. А то и раньше.
Ну да ладно. Для развлечения: боянистая задачка, глупая, но в тему:
Задачка допускает более одного решения.
Хрен там. Не должен он высылать старое кодовое слово.
Автор топика правильно высказывает претензию:
> я ожидал получить письмо со ссылкой на восстановление или сброс пароля [...] временный пароль
И если продолжать вашу аналогию, то в генштабе тоже не дураки сидят :) арифметические пароли известны с войны 1812 года, наверное. А то и раньше.
Ну да ладно. Для развлечения: боянистая задачка, глупая, но в тему:
Шпион засел в кустах и оценивает ситуацию на КПП. Подходит офицер, часовой ему:
— Пароль: 26. Отзыв?
Офицер:
— 13.
Часовой:
— Проходи.
Подходит второй.
— Пароль: 22 Отзыв?
— 11.
— Проходи.
Ну, шпион решил, что всё просёк, бежит к часовому.
Часовой:
— Пароль: 100.
Шпион:
— 50.
В общем, расстреляли шпиона. Какой отзыв должен был быть правильным?
Задачка допускает более одного решения.
ну не томите… скажите правильное решение…
3.
Ответ может быть практически любым, потому что задача построена плохо. Отсеяно только тупо деление на 2. Варианты на вскидку:
1. Деление на 2 до того момента, пока ответ не станет нечетным.
2. Деление на 2 один раз, но ответ нужно сделать нечетным.
3. Деление на 2 до того момента, пока ответ не будет меньше 20 и будет нечетным.
4. Деление на 2 до того момента, пока ответ не будет меньше 20 + если первый получился дробным, нужно округлять (или делать модуль).
5. Интернет подсказал, что можно еще и буквы в словах «22», «26» и «100» посчитать.
6. Вероятно, это может быть длинной чего-то или шириной или высотой или скоростью, при которых получается великое что-то.
1. Деление на 2 до того момента, пока ответ не станет нечетным.
2. Деление на 2 один раз, но ответ нужно сделать нечетным.
3. Деление на 2 до того момента, пока ответ не будет меньше 20 и будет нечетным.
4. Деление на 2 до того момента, пока ответ не будет меньше 20 + если первый получился дробным, нужно округлять (или делать модуль).
5. Интернет подсказал, что можно еще и буквы в словах «22», «26» и «100» посчитать.
6. Вероятно, это может быть длинной чего-то или шириной или высотой или скоростью, при которых получается великое что-то.
Часовой загадывает два произвольных числа а1 и а2 от 1 до 100 и называет первое число (а1).
Офицер загадывает другое произвольное число б1 и называет его.
Если а2 = б1, то часовой пропускает.
Это решение верно с вероятностью 0.0099%
:)
Офицер загадывает другое произвольное число б1 и называет его.
Если а2 = б1, то часовой пропускает.
Это решение верно с вероятностью 0.0099%
:)
47, как вариант.
Деление на 2 и ближайшее простое число.
Деление на 2 и ближайшее простое число.
Какая разница для сервера между plain text и md5 hash?
Кнопка отключить ESP, если кнопка вообще есть, просто немного распускает систему, позволяя водителю некоторые вольности, полностью ее нельзя отключить практически ни в одном современном автомобиле.
<irony>… и базу данных и операционную систему Макс написал сам. Под собственный процессор...</irony>
Наивно полагать, что закрытость исходинков является надежной защитой. О чем в частности свидетельствуют многочисленные дистанционные эксплоиты для той же Windows.
Спасибо, что пролили свет на причину негибкости их сервисов.
Наивно полагать, что закрытость исходинков является надежной защитой. О чем в частности свидетельствуют многочисленные дистанционные эксплоиты для той же Windows.
Спасибо, что пролили свет на причину негибкости их сервисов.
Наивно полагать, что есть совершенные, безопасные системы. Но есть ряд способов их обезопасить. И закрытые исходные коды + нестандартный подход определённо плюс к безопасности, тем более в руках опытного разработчика. Многочисленные remote сплоиты для Windows? Круто… А бесконечные дыры в phpbb? других порталах и форумах?
Можно долго чесать языком о том, как всё это не безопасно и уязвимо, но опять же, за всю историю лиру пароли не были слиты ни разу. Хоть и хранятся в открытом виде. Пароли от qiwi кошельков сливались раза 2, хоть там и хеши. Лиру может позволить себе хранить пароли в открытом виде, а вы нет. Это вас бесит?
Можно долго чесать языком о том, как всё это не безопасно и уязвимо, но опять же, за всю историю лиру пароли не были слиты ни разу. Хоть и хранятся в открытом виде. Пароли от qiwi кошельков сливались раза 2, хоть там и хеши. Лиру может позволить себе хранить пароли в открытом виде, а вы нет. Это вас бесит?
Не нервничайте так. Да, идеальной защиты не существует. Но пренебрегать простым и надежным методом только потому, что считаешь сделал надежным в другом месте именно что наивно. Многоступенчатые защиты придуманы не зря, и умышленно убирать серьезную ступень защиты это как минимум не разумно. В чем преимущество открытых паролей? Ни в чем. А недостатков полно. Начиная с потенциальной кражи и заканчивая потенциальным доступом к личным данным со стороны самих владельцев li.ru и их партнеров.
> Начиная с потенциальной кражи и заканчивая потенциальным доступом к личным данным со стороны самих владельцев li.ru и их партнеров.
Я скорее поверю в то, что на стороне вашего провайдера сидит хитрый сисадмин и снифает траф.
Есть стандартный способ защиты в подобной ситуации, то, что описываете вы. Ссылки с хешами на почту, хранение не самого пароля, а, опять же, хеша, слепка итп. Если упрощённый с точки зрения пользователя способ — хранить всё в открытом виде и высылать доступ на почту владельца сразу.
Что выбрать — решает владелец/разработчик проекта.
Аналогичные притензии в своё время разработчики направляли в адрес фейсбука, мол как это так, у них авторизация без капчи, это же ботов можно делать. Намного проще обвинить кого-либо в хреновой безопасности, чем упростить пользователю жизнь без ущерба в системе защиты.
Я скорее поверю в то, что на стороне вашего провайдера сидит хитрый сисадмин и снифает траф.
Есть стандартный способ защиты в подобной ситуации, то, что описываете вы. Ссылки с хешами на почту, хранение не самого пароля, а, опять же, хеша, слепка итп. Если упрощённый с точки зрения пользователя способ — хранить всё в открытом виде и высылать доступ на почту владельца сразу.
Что выбрать — решает владелец/разработчик проекта.
Аналогичные притензии в своё время разработчики направляли в адрес фейсбука, мол как это так, у них авторизация без капчи, это же ботов можно делать. Намного проще обвинить кого-либо в хреновой безопасности, чем упростить пользователю жизнь без ущерба в системе защиты.
> Я скорее поверю в то, что на стороне вашего провайдера сидит хитрый сисадмин и снифает траф.
И от владельца сайта зависит включение https… ах, да, его тут тоже нет. <irony>Но это не li.ru конечно виноват, что пароль в открытом виде идет по сети.</irony>
> Что выбрать — решает владелец/разработчик проекта.
Спасибо, Кэп. Но мы обсуждаем не права вебмастеров, а права пользователей. Например право на конфиденциальность данных.
> Намного проще обвинить кого-либо в хреновой безопасности, чем упростить пользователю жизнь без ущерба в системе защиты.
Защиты чего? Если защиты данных пользователя, то их дважды необоснованно подвергают опасности: первый когда принимают по сети без шифрования в открытом виде, второй, когда хранят в открытом виде.
И от владельца сайта зависит включение https… ах, да, его тут тоже нет. <irony>Но это не li.ru конечно виноват, что пароль в открытом виде идет по сети.</irony>
> Что выбрать — решает владелец/разработчик проекта.
Спасибо, Кэп. Но мы обсуждаем не права вебмастеров, а права пользователей. Например право на конфиденциальность данных.
> Намного проще обвинить кого-либо в хреновой безопасности, чем упростить пользователю жизнь без ущерба в системе защиты.
Защиты чего? Если защиты данных пользователя, то их дважды необоснованно подвергают опасности: первый когда принимают по сети без шифрования в открытом виде, второй, когда хранят в открытом виде.
> И от владельца сайта зависит включение https… ах, да, его тут тоже нет. Но это не li.ru конечно виноват, что пароль в открытом виде идет по сети.
Ваш пароль идёт в открытом виде по сети в любом случае, если нет https`а. И не важно, хешируется пароль на сервере или нет. Авторизуясь на вконтакте, вы так же отправляете его в голом виде. Только в случае с лиру, вы в курсе, что это может быть не безопасным и заранее ставите левые пароли. А в случае с контактом, у вас ложное чувство безопасности.
> Например право на конфиденциальность данных.
Пользователь глуп. Он выкладывает все данные о себе в соц.сетях, демонстрирует свои машины на автомобильных порталах и форумах, свои навыки в работе на hh.ru итд итп, а потом жалуется, что его пароль от лиру хранится не безопасно. Отключите себе интернет и радуйтесь, что ваши данные конфиденциальны.
Ваш пароль идёт в открытом виде по сети в любом случае, если нет https`а. И не важно, хешируется пароль на сервере или нет. Авторизуясь на вконтакте, вы так же отправляете его в голом виде. Только в случае с лиру, вы в курсе, что это может быть не безопасным и заранее ставите левые пароли. А в случае с контактом, у вас ложное чувство безопасности.
> Например право на конфиденциальность данных.
Пользователь глуп. Он выкладывает все данные о себе в соц.сетях, демонстрирует свои машины на автомобильных порталах и форумах, свои навыки в работе на hh.ru итд итп, а потом жалуется, что его пароль от лиру хранится не безопасно. Отключите себе интернет и радуйтесь, что ваши данные конфиденциальны.
Видимо вы из тех людей, которые теряют адекватность, когда раздражаются. Таким людям обязательно следует успокоиться перед тем, как писать. Из за этого ваш комментарий получился совершенно неразумным. Вы оправдываете отсутствие https li.ru на том основании, что vkontakte (кстати меня вконтакте нет и не будет) им тоже не пользуется, но разве это убирает саму угрозу? Нет, угроза осталась и она серьезная. А google делает авторизацию через https. Как мне к этому относиться после того, как вы успокоили всех, что политика li.ru самая правильная? А теперь про глупого пользователя — одно дело, когда он сам выкладывает информацию о себе, а другое — когда его подставляют сервисы, которые вроде бы должны создаваться умными людьми. Чувствуете разницу?
Гугл один из единственных сервисов, который в полной мере поддерживает https и это здорово.
Я не оправдывал отсутствие https лиру, я обратил внимание на то, что даже такие массовые сервисы как контакт, пренебрегают этим. Видимо вы их тех людей, которые теряют возможность мыслить, когда раздражаются. Такие люди часто хватают из диалога фразы по одной, не пытаясь собрать мысль воедино.
Чем вас подставил лиру? )))
Я не оправдывал отсутствие https лиру, я обратил внимание на то, что даже такие массовые сервисы как контакт, пренебрегают этим. Видимо вы их тех людей, которые теряют возможность мыслить, когда раздражаются. Такие люди часто хватают из диалога фразы по одной, не пытаясь собрать мысль воедино.
Чем вас подставил лиру? )))
> Гугл один из единственных сервисов, который в полной мере поддерживает https и это здорово.
<irony> Но li.ru конечно лучше, он же накрутки ловит. </irony>
> Я не оправдывал отсутствие https лиру, я обратил внимание на то, что даже такие массовые сервисы как контакт, пренебрегают этим.
А выглядит, как оправдание. Особенно после того, как ваш аргумент про перехват паролей сыграл против li.ru
> Видимо вы их тех людей, которые теряют возможность мыслить, когда раздражаются.
Пруф? ))) Хотя бы покажите, что я написал раздраженно.
> Чем вас подставил лиру?
Ничем. Я им не пользуюсь. Мне хватает Google Analytics и метрики Яндекса. Но из-за выяснившихся особенностей политики безопасности я впредь буду рекомендовать другим от него воздерживаться.
<irony> Но li.ru конечно лучше, он же накрутки ловит. </irony>
> Я не оправдывал отсутствие https лиру, я обратил внимание на то, что даже такие массовые сервисы как контакт, пренебрегают этим.
А выглядит, как оправдание. Особенно после того, как ваш аргумент про перехват паролей сыграл против li.ru
> Видимо вы их тех людей, которые теряют возможность мыслить, когда раздражаются.
Пруф? ))) Хотя бы покажите, что я написал раздраженно.
> Чем вас подставил лиру?
Ничем. Я им не пользуюсь. Мне хватает Google Analytics и метрики Яндекса. Но из-за выяснившихся особенностей политики безопасности я впредь буду рекомендовать другим от него воздерживаться.
> Но li.ru конечно лучше, он же накрутки ловит.
Google всё равно круче лиру, пофиг что лиру это сервис статистики с возможностью анализировать накрутку, зато в google я могу авторизоваться по https
Вы сами то понимаете, что уходите от темы?
> Пруф? ))) Хотя бы покажите, что я написал раздраженно.
Всё. А что раздражённо написал я? Т.е. вы понимаете, что у нас разное представление ситуации и каждый из нас считает, что оппонент раздражён и что нас в этом не переубедить и что это очень хреновый аргумент?
> Ничем. Я им не пользуюсь. Мне хватает Google Analytics и метрики Яндекса. Но из-за выяснившихся особенностей политики безопасности я впредь буду рекомендовать другим от него воздерживаться.
Вперёд и удачи.
Google всё равно круче лиру, пофиг что лиру это сервис статистики с возможностью анализировать накрутку, зато в google я могу авторизоваться по https
Вы сами то понимаете, что уходите от темы?
> Пруф? ))) Хотя бы покажите, что я написал раздраженно.
Всё. А что раздражённо написал я? Т.е. вы понимаете, что у нас разное представление ситуации и каждый из нас считает, что оппонент раздражён и что нас в этом не переубедить и что это очень хреновый аргумент?
> Ничем. Я им не пользуюсь. Мне хватает Google Analytics и метрики Яндекса. Но из-за выяснившихся особенностей политики безопасности я впредь буду рекомендовать другим от него воздерживаться.
Вперёд и удачи.
> Google всё равно круче лиру, пофиг что лиру это сервис статистики с возможностью анализировать накрутку, зато в google я могу авторизоваться по https
Google analytics это вообще-то сервис статистики. И что он не выдает пароли пользователей сниферам тоже хороший плюс. Но если для вас важнее смотреть на статистику не всегда адекватных срабатываний фильтра накруток, выбирайте li.ru или bigmir. Лично мне этот фетиш не нужен — я давно убедился в его бесполезности. Кстати, а что вы имеете против https, если уж он вас так волнует?
> А что раздражённо написал я?
Например вы потеряли рациональность рассуждений, когда безосновательно приписали мне приверженность сервисам vkontakte и терпимость к их огрехам, хотя для таких суждений у вас не было ни малейшего основания. Потом вы посоветовали отключить интернет, хотя я не просил у вас совета. Эти высказывания основаны не на контексте дискуссии, а на вашем эмоциональном состоянии. Что же это, если не раздражение?
> Вперёд и удачи.
Еще скажите, что это «благословение» не признак раздраженности. Может я просил о нем где-то? Покажите такую цитату.
> Т.е. вы понимаете, что у нас разное представление ситуации и каждый из нас считает, что оппонент раздражён и что нас в этом не переубедить и что это очень хреновый аргумент?
Однако я привожу цитаты вашего агрессивного эмоционального поведения, а вы на мои не указали. И обобщать тут нет смысла. Мне и правда ничего от вас и от li.ru не нужно.
Google analytics это вообще-то сервис статистики. И что он не выдает пароли пользователей сниферам тоже хороший плюс. Но если для вас важнее смотреть на статистику не всегда адекватных срабатываний фильтра накруток, выбирайте li.ru или bigmir. Лично мне этот фетиш не нужен — я давно убедился в его бесполезности. Кстати, а что вы имеете против https, если уж он вас так волнует?
> А что раздражённо написал я?
Например вы потеряли рациональность рассуждений, когда безосновательно приписали мне приверженность сервисам vkontakte и терпимость к их огрехам, хотя для таких суждений у вас не было ни малейшего основания. Потом вы посоветовали отключить интернет, хотя я не просил у вас совета. Эти высказывания основаны не на контексте дискуссии, а на вашем эмоциональном состоянии. Что же это, если не раздражение?
> Вперёд и удачи.
Еще скажите, что это «благословение» не признак раздраженности. Может я просил о нем где-то? Покажите такую цитату.
> Т.е. вы понимаете, что у нас разное представление ситуации и каждый из нас считает, что оппонент раздражён и что нас в этом не переубедить и что это очень хреновый аргумент?
Однако я привожу цитаты вашего агрессивного эмоционального поведения, а вы на мои не указали. И обобщать тут нет смысла. Мне и правда ничего от вас и от li.ru не нужно.
> Например вы потеряли рациональность рассуждений, когда безосновательно приписали мне приверженность сервисам vkontakte и терпимость к их огрехам, хотя для таких суждений у вас не было ни малейшего основания. Потом вы посоветовали отключить интернет, хотя я не просил у вас совета. Эти высказывания основаны не на контексте дискуссии, а на вашем эмоциональном состоянии. Что же это, если не раздражение?
Мой абзац начинался с «пользователь глуп». Не «вы глуп», не «masterbo» глуп, а пользователь. И обращение последующее было к нему. Вы же, как я уже предположил, выхватили только те предложения, что интересны вам и начали их оспаривать, слепо.
Как и https, за который лично я двумя руками за, у меня и быстрый поиск на https, и галка на всех службах google стоит «всегда использовать https» и ftp все лет 5 назад променял на sftp и svn+ssh. И не раз тут писал, что https это здорово. Вы же предпочли думать, что я не люблю https и ставлю его ниже, чем возможность анализировать накрутку другого сервиса статистики )))
Мой абзац начинался с «пользователь глуп». Не «вы глуп», не «masterbo» глуп, а пользователь. И обращение последующее было к нему. Вы же, как я уже предположил, выхватили только те предложения, что интересны вам и начали их оспаривать, слепо.
Как и https, за который лично я двумя руками за, у меня и быстрый поиск на https, и галка на всех службах google стоит «всегда использовать https» и ftp все лет 5 назад променял на sftp и svn+ssh. И не раз тут писал, что https это здорово. Вы же предпочли думать, что я не люблю https и ставлю его ниже, чем возможность анализировать накрутку другого сервиса статистики )))
> Мой абзац начинался с «пользователь глуп». Не «вы глуп», не «masterbo» глуп, а пользователь.
Речь шла о другом вашем абзаце. Где утверждая, что пароль в любом случае, кроме https идет по сети в открытом виде. (Я вам пытался намекнуть на Digest авторизацию по RFC 2617, где это не так. Но вы пытаетесь меня убедить, что если вы лично не готовы его использовать, то этого и нет в природе) И в раздражении написали "Авторизуясь на вконтакте, вы так же отправляете его в голом виде. Только в случае с лиру, вы в курсе, что это может быть не безопасным и заранее ставите левые пароли. А в случае с контактом, у вас ложное чувство безопасности.". Эта фраза полна ложных утверждений — я не пользуюсь vkontakte, не считаю их способ авторизации безопасным и не делаю в этом разницы с li.ru. И о хранении li.ru паролей в открытом виде я узнал из этой заметки, так что не мог бы заранее выбирать совершенно левый пароль для него (если бы я им пользовался). Таким образом я сделал вывод, что ваши утверждения взяты с потолка именно под влиянием эмоций. Чего вы добиваетесь это опровергая? Чтобы я решил, что причина этого бреда в психическом, химическом или органическом расстройстве вашего мозга?
> Вы же предпочли думать, что я не люблю https и ставлю его ниже, чем возможность анализировать накрутку другого сервиса статистики )))
Из вашего поведения я решил, что зная о желательности использования https, хотя бы для авторизации, вы отстаиваете право li.ru на отсутствие такой защиты, мотивируя это большой редкостью среди интернет-проектов, использующих авторизацию. Если вы хотели сказать что-то другое — уточните.
Речь шла о другом вашем абзаце. Где утверждая, что пароль в любом случае, кроме https идет по сети в открытом виде. (Я вам пытался намекнуть на Digest авторизацию по RFC 2617, где это не так. Но вы пытаетесь меня убедить, что если вы лично не готовы его использовать, то этого и нет в природе) И в раздражении написали "Авторизуясь на вконтакте, вы так же отправляете его в голом виде. Только в случае с лиру, вы в курсе, что это может быть не безопасным и заранее ставите левые пароли. А в случае с контактом, у вас ложное чувство безопасности.". Эта фраза полна ложных утверждений — я не пользуюсь vkontakte, не считаю их способ авторизации безопасным и не делаю в этом разницы с li.ru. И о хранении li.ru паролей в открытом виде я узнал из этой заметки, так что не мог бы заранее выбирать совершенно левый пароль для него (если бы я им пользовался). Таким образом я сделал вывод, что ваши утверждения взяты с потолка именно под влиянием эмоций. Чего вы добиваетесь это опровергая? Чтобы я решил, что причина этого бреда в психическом, химическом или органическом расстройстве вашего мозга?
> Вы же предпочли думать, что я не люблю https и ставлю его ниже, чем возможность анализировать накрутку другого сервиса статистики )))
Из вашего поведения я решил, что зная о желательности использования https, хотя бы для авторизации, вы отстаиваете право li.ru на отсутствие такой защиты, мотивируя это большой редкостью среди интернет-проектов, использующих авторизацию. Если вы хотели сказать что-то другое — уточните.
Не буду цитировать ваш бред по поводу rfc2617. Покажите мне хоть один публичный сервис, что использует данный способ авторизации на проекте.
Давайте не будем путать веб с «веб, который я хотел бы видеть». А то приверженцы IE6 сейчас запаникуют.
Опять же, мой абзац начинался с «пользователь глуп» и все дальнейшие обращения на «ты» были адресованы пользователю, который глуп. А не вам. Хотя, если вы их приняли как к себе, это ваша проблема. Далее вы можете долго доказывать, что мой мозг не в порядке, в связи с вашими выводами, связанными с вашей личной интерпретацией моих слов.
Про https — я использую его по любому поводу, если сервис позволяет это делать. https не просто позволяет анонимно сёрфить, но и вайлидейтит сервис, если сертификат подписан, т.е. я на 100% уверен, что сайт, которым я пользуюсь, действительно официальное, реальное юр. лицо, которое заботится о безопасности своих пользователей. Если лиру сделает https, я буду чуть счастливей. Но даже без https это отличный сервис.
А то что вы не знали до данного поста, что лиру не хеширует пароли, то вы, простите, школота. Лиру один из самых старых сервисов рунета, по крайней мере rax.ru был одним из первых счётчиков и если вы претендуете на звание веб девелопера или хотя бы аналитика, стыдно не знать о устройстве подобных сервисов, ибо их логина — это азы. И тот факт, что вы якобы изучали их способность анализировать накрутку, подтверждает, что вы использовали сервис.
Давайте не будем путать веб с «веб, который я хотел бы видеть». А то приверженцы IE6 сейчас запаникуют.
Опять же, мой абзац начинался с «пользователь глуп» и все дальнейшие обращения на «ты» были адресованы пользователю, который глуп. А не вам. Хотя, если вы их приняли как к себе, это ваша проблема. Далее вы можете долго доказывать, что мой мозг не в порядке, в связи с вашими выводами, связанными с вашей личной интерпретацией моих слов.
Про https — я использую его по любому поводу, если сервис позволяет это делать. https не просто позволяет анонимно сёрфить, но и вайлидейтит сервис, если сертификат подписан, т.е. я на 100% уверен, что сайт, которым я пользуюсь, действительно официальное, реальное юр. лицо, которое заботится о безопасности своих пользователей. Если лиру сделает https, я буду чуть счастливей. Но даже без https это отличный сервис.
А то что вы не знали до данного поста, что лиру не хеширует пароли, то вы, простите, школота. Лиру один из самых старых сервисов рунета, по крайней мере rax.ru был одним из первых счётчиков и если вы претендуете на звание веб девелопера или хотя бы аналитика, стыдно не знать о устройстве подобных сервисов, ибо их логина — это азы. И тот факт, что вы якобы изучали их способность анализировать накрутку, подтверждает, что вы использовали сервис.
> Покажите мне хоть один публичный сервис, что использует данный способ авторизации на проекте.
Вы утверждали, что пароль идет только в открытом виде и только https спасает от перехвата. Я показал, что это заблуждение. Это факты. А остальное — софистика. Как и ваше утверждение, что использование https google это исключение из правила. Остальной бред в первом абзаце комментировать не буду — потребуется повторять то, что вы просто не поняли из моих слов ранее.
> Если лиру сделает https, я буду чуть счастливей. Но даже без https это отличный сервис.
… но не безопасный с точки зрения некоторых атак, как вы сами заявили выше.
> А то что вы не знали до данного поста, что лиру не хеширует пароли, то вы, простите, школота. Лиру один из самых старых сервисов рунета, по крайней мере rax.ru был одним из первых счётчиков и если вы претендуете на звание веб девелопера или хотя бы аналитика, стыдно не знать о устройстве подобных сервисов, ибо их логина — это азы.
Может причина этого ошибочного суждения в том, что вы не готовы рассматривать отличные от вашей мотивации? Я ведь писал выше, что не являюсь сторонником открытой статистики. В те времена, когда я только начинал, пользовался бесплатным SpyLog и его хватало для любителей помериться посещаемостью. Сам же анализировал трафик по логам сервера с весьма специфической аналитикой. Пользоваться Google Analytics я начал с самого момента ее открытия, а недавно еще и добавил Яндекс Метрику. Оба эти сервиса авторизуются по https. На одном из текущих ресурсов потребовалось поставить счетчик с открытой статистикой. Им оказался Big)mir. Который тоже не хранит пароли в открытом виде и авторизует через https. Для меня такое положение вещей естественно, а политика li.ru — нет.
> И тот факт, что вы якобы изучали их способность анализировать накрутку, подтверждает, что вы использовали сервис.
У вас логическая ошибка. Для того, чтобы контролировать накрутку открытой статистики, вообще не обязательно там регистрироваться. Даже более того — регистрироваться, занимаясь «не очень желательной» активностью просто глупо. Еще одна логическая ошибка в том, что любой пользователь li.ru якобы знает, что пароли хранятся в открытом виде. Хотя это очевидно лишь тем, кто забывал свой пароль. У меня такой ситуации не было, стало быть не было шанса это узнать непосредственно.
Вы утверждали, что пароль идет только в открытом виде и только https спасает от перехвата. Я показал, что это заблуждение. Это факты. А остальное — софистика. Как и ваше утверждение, что использование https google это исключение из правила. Остальной бред в первом абзаце комментировать не буду — потребуется повторять то, что вы просто не поняли из моих слов ранее.
> Если лиру сделает https, я буду чуть счастливей. Но даже без https это отличный сервис.
… но не безопасный с точки зрения некоторых атак, как вы сами заявили выше.
> А то что вы не знали до данного поста, что лиру не хеширует пароли, то вы, простите, школота. Лиру один из самых старых сервисов рунета, по крайней мере rax.ru был одним из первых счётчиков и если вы претендуете на звание веб девелопера или хотя бы аналитика, стыдно не знать о устройстве подобных сервисов, ибо их логина — это азы.
Может причина этого ошибочного суждения в том, что вы не готовы рассматривать отличные от вашей мотивации? Я ведь писал выше, что не являюсь сторонником открытой статистики. В те времена, когда я только начинал, пользовался бесплатным SpyLog и его хватало для любителей помериться посещаемостью. Сам же анализировал трафик по логам сервера с весьма специфической аналитикой. Пользоваться Google Analytics я начал с самого момента ее открытия, а недавно еще и добавил Яндекс Метрику. Оба эти сервиса авторизуются по https. На одном из текущих ресурсов потребовалось поставить счетчик с открытой статистикой. Им оказался Big)mir. Который тоже не хранит пароли в открытом виде и авторизует через https. Для меня такое положение вещей естественно, а политика li.ru — нет.
> И тот факт, что вы якобы изучали их способность анализировать накрутку, подтверждает, что вы использовали сервис.
У вас логическая ошибка. Для того, чтобы контролировать накрутку открытой статистики, вообще не обязательно там регистрироваться. Даже более того — регистрироваться, занимаясь «не очень желательной» активностью просто глупо. Еще одна логическая ошибка в том, что любой пользователь li.ru якобы знает, что пароли хранятся в открытом виде. Хотя это очевидно лишь тем, кто забывал свой пароль. У меня такой ситуации не было, стало быть не было шанса это узнать непосредственно.
Google
Yandex
Facebook
Amazon
Hotmail
PayPal
Ebay
Twitter
Wikepedia
Тупые, неотесанные сервисы, использующие https. А лирушечка идеал прогресса.
Даже у направленного на домохозяек сервиса mail.ru есть безопасная форма ввода пароля.
Yandex
Amazon
Hotmail
PayPal
Ebay
Wikepedia
Тупые, неотесанные сервисы, использующие https. А лирушечка идеал прогресса.
Даже у направленного на домохозяек сервиса mail.ru есть безопасная форма ввода пароля.
Зато Макс сам написал вебсервер )
рассуждения уровня школьника
Обоснуйте
>>намного удобней получить свой пароль, нежели генерить новый.
что, в данном случае, вкупе со всеми остальными политиками Li, приводит вот к таким последствиям, что позволяет реально получить доступ к куче аккаунтов этого же человека. Зато
>>намного удобней
что, в данном случае, вкупе со всеми остальными политиками Li, приводит вот к таким последствиям, что позволяет реально получить доступ к куче аккаунтов этого же человека. Зато
>>намного удобней
У меня много доменов, часть из них уже мне не принадлежит и свободны к продаже, на всех были счётчики лиру. Получите доступ к моей куче действующих аккаунтов и я приму ваше обоснование. Иначе вы просто пустоплёт. Лишь бы языком почесать.
в том-тои дело, что получал. Только немного другим способом, но подобным. У меня тоже десятки доменов, а если считать всех моих клиентов, то доменов сотни тысяч. И знаю точно многих клиентов, у которых пароли совпадают в биллинге, на серверах и на туче сервисов. В т.ч. email
Макс, ты?
Кстати, во многом русские рекламщики требуют доступа именно к этой статистики, т.к. лиру умеет вычислять накрутку. Что не делают другие счётчики.
Кроме li.ru этим балуется Bigmir. Но назвать качественными их результаты вычисления накрутки, я бы не стал (после некоторых экспериментов). Кстати у Google Analytics с накруткой еще проще — они ведь считают трассы живых пользователей с историей посещения сайтов. Только не пишут громогласно, что у них есть фильтр накруток, чтобы не обострять параноиков тем, что всех считают задолго до захода на конкретный сайт.
Каких экспериментов?
Мной была написана система накрутки любых счётчиков, без подделки http запросов, прокси, троянов и прочего. Система чистила рефак реальных пользователей и реально «гуляла» с ними по сайту. Пока ничего не подозревающий пользователь, например, читал новости на привычном ему проекту, он незаметно гулял по сайтам, которые оплачивали накрутку. Лишь лиру смогли обнаружить накрутку и показать её в статистике.
Мной была написана система накрутки любых счётчиков, без подделки http запросов, прокси, троянов и прочего. Система чистила рефак реальных пользователей и реально «гуляла» с ними по сайту. Пока ничего не подозревающий пользователь, например, читал новости на привычном ему проекту, он незаметно гулял по сайтам, которые оплачивали накрутку. Лишь лиру смогли обнаружить накрутку и показать её в статистике.
Ваш метод ≠ единственный метод.
Каких экспериментов?
Моих экспериментов с накрутками счетчиков. (я думал, что понятно написал в первый раз)
Расскажите о них подробней, мне интересно, как вы накрутили счётчики, чтобы усомниться в качестве выявления этой накрутки сервисом лиру. Или это секретная информация, и все участники дискуссии должны принять её как факт? )
Я не собираюсь никого убеждать. Считайте это не фактом, а мнением, если вам так хочется.
Вы заявляете, что качество определения накрутки у счётчиков лиру низкое. Но не можете это обосновать. У вас нет ни фактов, ни доказательств. Я не просил вас доказывать мне что-то, я попросил рассказать о ваших экспериментах подробней, т.к. мне интересно.
Вы своим поведением в этой дискуссии дали понять, что имеете к li.ru какое-то отношение. С моей стороны было бы наивным рассказывать вам о своей находке. «Вам интересно» меня не мотивирует. Хотите считать, что я сказал неправду — считайте. Кроме того, мой отказ поделиться алгоритмом накрутки полностью впишется в вашу концепцию закрытости информации в качестве защиты. В конце концов вы можете расценить мои слова просто как повод начать очередные эксперименты с накруткой, что будет наиболее конструктивным из всего нашего диалога.
Есть способ проверить ваши утверждения, не вникая в алгоритм, накрутите nptu.ru.
Не буду я ничего для вас накручивать. Мне это не нужно. Для меня это бесполезная трата времени и ресурсов. А еще мне не нужно вам ничего доказывать. Можете мне не верить и спать спокойно, считая, что li.ru нельзя накрутить. Смешит, что для вас не очевидно — раз счетчик кого-то вообще учитывает по формальным параметрам, то он учтет и несуществующего пользователя, если эти параметры соблюсти. :) Когда-то мне было интересно и нечего делать я нашел такую комбинацию. Но вам я ничего не должен: интересно — ищите сами. Считаете, что это невозможно — это ваше право.
> Когда-то мне было интересно и нечего делать я нашел такую комбинацию
Примерное время сможете вспомнить? Месяц, год?
Когда я имел доступ к любому ящику mail.ru по желанию, знал секретное слово каждого аккаунта на почте яндекса. Когда был молодой, бородатый и крутой. И всё это «когда-то»
Примерное время сможете вспомнить? Месяц, год?
Когда я имел доступ к любому ящику mail.ru по желанию, знал секретное слово каждого аккаунта на почте яндекса. Когда был молодой, бородатый и крутой. И всё это «когда-то»
Около 7 месяцев назад — во второй половине января.
года 2-3 назад у них уже была отработанная защита.
Итого, либо вы сумели накрутить 2-3 хоста и решили, что «крякнули лиру», либо вообще ничего не делали, но почесать языком на хабре это круто.
В общем, вы можете утверждать что угодно, но если нет доказательств или желания предоставить их — аргументы не в счёт.
Итого, либо вы сумели накрутить 2-3 хоста и решили, что «крякнули лиру», либо вообще ничего не делали, но почесать языком на хабре это круто.
В общем, вы можете утверждать что угодно, но если нет доказательств или желания предоставить их — аргументы не в счёт.
Вы снова приписываете мне то, чего нет. Я не решал, что «крякнул лиру». Мне на него вообще наплевать. Но я проводил эксперименты с накруткой разных счетчиков, среди которых был и li.ru. Результаты я использовал только для защиты от накруток собственных разработок, так что успокойтесь — лавры взломщика «вашей прелести» мне не нужны. Я вообще считаю, что защита счетчика от накруток это лишний фетиш. Как, впрочем, и публичность статистики.
UFO just landed and posted this here
Попал в такую же ситуацию, но как бывший владелец домена.
27 мая 2011 отправил на counter@corp.liveinternet.ru следующее письмо:
Ответа не получил, а ситуация, как видите, не исправлена и по сей день.
27 мая 2011 отправил на counter@corp.liveinternet.ru следующее письмо:
Добрый день.
Сейчас обнаружил интересную «особенность» сервиса статистики. Если у
домена поменялся владелец, но статистика зарегистрирована на email
предыдущего владельца, новый может узнать его пароль и почту через
восстановление пароля.
Конечно, идея отсылать пароль не только старому администратору
статистики, но и владельцу домена разумна. Но почему не генерируется
новый пароль? Не говоря уже о том, что пароль у вас и вовсе хранится в
открытом виде. Фактически, вы раскрываете пароль старого
администратора третьему лицу, а это очень и очень плохо.
Данная ситуация будет как-нибудь исправляться?
Ответа не получил, а ситуация, как видите, не исправлена и по сей день.
Sign up to leave a comment.
LiveInternet.ru: как хранятся пароли пользователей