Комментарии 200
Как то раз к любимой тёще
Пришел в гости на блины
А она по стенкам ходит
[ДАННЫЕ УДАЛЕНЫ]
Все объекты класса Кетер
Подросли на целый метр.
И какой теперь длины?
[ДАННЫЕ УДАЛЕНЫ]
Можете называть это манипуляцией, психологическим трюком, информационной войной, но это никоим образом не цензура.
Вопрос в том, насколько это параноидально выглядит. Если практический смысл в цензурировании публикаций, профиля пользователя найти можно — ограничение распространения неприятной для властей информации, то пароль по умолчанию штука, которую не знает никто, кроме владельца
Ну это вполне демонстрирует нелояльное отношение владельца к ССР. А нелояльного проще сразу отключить чем ждать пока он начнет общедоступную деятельность. Это если параноить. А если не параноить то вичат просто погасил учётку с подозрительной активностью (другая страна) и пароль здесь не при чем, они вообще поехавшие в этом плане.
На самом деле есть уверенность, что они пароли не видят. Схема из поста выглядит абсолютно ненужной. Достаточно проверять по базе слов перед созданием хеша. Проверять после этого сам хэш или постоянно видеть открытый пароль совершенно не требуется.
Скорее всего это сделано, чтобы когда товарищ майор запросит пароль от аккаунта, чтобы зайти от имени крестьянина, то его патриотичные чувства не были ущемлены.
А откуда вообще уверенность, что там хеш, а не обратимый шифр?
А нет смысла. Для того, кто контролирует код, знание пароля не даёт ничего (войти можно и без него), а для защиты от утечек лучше хэш.
Ну как бы банить аккаунты за содержимое паролей тоже смысла не имеет, поэтому, не стоит недооценивать предсказуемость тупизны..
Не верю в это. Пароль заканчивался на 89, сколько ещё миллиардов комбинаций они захэшировали и проверяют?
Ну может разбивают пароли на токены и их хэшируют :)
89 — это не случайные цифры, это год, 1989. Проверять, например, 92 не нужно, нет никакого миллиарда.
И почему вы говорите, захешировали комбинации? Наоборот, хеш они наверняка не проверяют, а проверяют пароль перед тем, как захешировать.
И это не такая редкая (хотя и порочная) практика.
Мне запонилось, как я придумывал пароль к какому-то западному сервису. И паролем выбрал комбинацию из username и цифр. Очень удивился, когда сервис написал: «Нельзя в пароле использовать имя пользователя».
Еще было, что сервис заставляющий регулярно менять пароли (ненавижу эту практику — вся область памяти в голове под пароли с такими подходом кончается) выдавал, что «пароль похож на предыдущий».
Вы вот смеетесь, а я при установке одной из первых Windows 10 придумывал пароль на эту их "учетную запись Microsoft".
С X-й попытки остался пароль "МикрософтЗадолбало".
Было немного неудобно передавать пароль заказчику, но я объяснил ситуацию.
Решили не менять от греха.
Можно текст конвертнуть в Base64, да и в SHA1. Обычно такие пароли принимают, но самому бы потом не забыть.
CjhjrNsczxJ,tpmzyD:jgeCeyekb<fyfy
?
Вчера менял пароль на вход в личный кабинет ВТБ. Хорошо, что сразу предупредили, что длина не более 20 символов. Но вот список того, какие спецсимволы быть должны, а какие считаются недопустимыми, он показал как-то только один раз и все. Пришлось экспериментально подбирать набор символов, из которых бы мне pass generate сделал такое, что ВТБ согласился бы принять.
Думаю, все гораздо проще — по блеклисту проверяется тело HTTP-запроса, до всякого хэширования, и вообще до того, как долетит до собственно приложения — принцип действия такой же, как у web application firewall.
Неужто там http?
Во внутренней сети — конечно (ну, может, не HTTP, а какой-нибудь там uWSGI, сути не меняет). SSL обычно терминируется на балансировщике.
Если приводить аналогию с AWS, то там подобный фильтр мог бы быть на уровне ELB в режиме Application Load Balancer.
Дануладно.
Передавать пароль по http — не верю.
Передавать пароль по http — не верю.Например, RuTracker, который только недавно прикрутил SSL ко входу, а до этого как раз говорил
Дануладно
Вот именно.
У трутрэкера не было https, а потом добавили — это более чем естественное поведение.
А у wechat https был всегда — и мне тут говорят, что они его спецом отключают.
Когда пароль и так у них в plain text'e. Ога.
Иногда такое чувство, что здесь вокруг не Хабр с программистами, а сайт блондинок, которым выпаривают шапочки из фольги.
Да о чем вообще спор? Пусть даже до сервера с приложением по https идёт, что мешает перед хэшированием в приложении сделать какие угодно проверки?
Я и говорил о https от клиента до сервера.
Внутри они данные пусть хоть грузовиками возят, это отдельная тема.
Вы понимаете, надеюсь, что https где-то в инфраструктуре сервиса расшифровывается, и приложения не работают магическим образом с зашифрованными данными?
Вот где его расшифровали, там пароль в открытом виде.
Обычно это место — load balancer.
Вы так рассуждаете, как будто приложение специально само у себя ворует пароль.
Я говорил, что от клиента до сервера у wechat'a только https.
Что там у него в середине — мне фиолетово, этого ни вы ни я никто кроме них не знает.
Более того, что там конкретно в середине никто даже предположить не может кроме их разрабов.
ПО такого уровня не строится на жёсткой архитектуре, там всегда в наличии 100500 сотрудников, которые много чего пилят по конкретным обстоятельствам.
Самый популярный в мире "чат-для-всего" — серьезная штука.
"До всякого хеширования" не имеет никакого отношения к внутренней сети, так как хеширование заголовков производится тем, кто хешированный заголовок вставляет, обычно это клиентское приложение. Либо хешированный заголовок может вставить DPI, но в этом случае "до всякого хеширования" этот заголовок не существует в пейлоаде, в принципе.
SSL действительно может терминироваться на границе и дальше во внутренней сети будет бежать нешифрованный (а не нехешированный, хеширование необратимо) траффик, однако ловить его с помощью DPI и делать апдейты блокировки в базу, это из пушки по воробьям. При использовании SSL, проще уже хранить пароль в открытом виде во внутренней таблице, и стрелять всех неугодных компартии одним SQL запросом.
Вместо минусов, лучше бы спросили, что не удалось понять, я бы с удовольствием обьяснил. Web application firewall'ы не удаляют аккаунты из БД, это очевидный факт.
P.S.: Я понял в чем недопонимание, в контексте хеширования я имел в виду вставку хешированного идентификатора абонента провайдерским DPI в HTTP-заголовки в направлении целевого сайта, на котором происходит беспарольная авторизация по этим заголовкам — только в этом случае, хеш будет лететь по сети. А перехватывать во внутренней сети http для того, чтобы заблочить акк глупо — достаточно добавить проверку в сам application server, обрабатывающий запросы фронта.
Я объясню, почему я предположил про аналог WAF.
Удалять аккаунты за то, что именно в пароле встречается какая-то подстрока из черного списка, это какая-то неимоверная тупость. Я не готов поверить в то, что кто-то поставил задачу такое сделать, и кто-то ее делал.
Соответственно, логично предположить, что на блеклист анализируется не конкретное поле, а все тело запроса целиком. Для того, чтобы делать именно так, а не проанализировать какие-то разумные поля в приложении, нужны определенные причины.
Такой причиной может быть некоторая прослойка, аналогичная WAF, которая анализирует произвольные http-запросы. Возможно, это даже какой-нибудь софт государственных органов Китая, по аналогии с российским СОРМ-2, — какая-то "коробочка", которая логирует все "подозрительные" запросы, и каким-нибудь законом предписывается эти логи анализировать.
А уже по результатам автоматического анализа этих логов и удалилась запись в БД.
Тогда почему заблокировался аккаунт, а не один запрос на смену пароля?
Да, хешированный на клиенте пароль становится обычным паролем для сервера. Но уже уникалным для сайта, т.к. хешировать на клиенте можно не пароль, а pass:username:domain, например. А значит:
- Компрементация ваших серверов не компроментирует пароль пользователя на других сайтах (если он их переиспользует);
- Аналогично при MITM со стороны работодателя (обычное дело в больших контрах) — логин с рабочего компа на сайт X не компроментирует сайт Y с тем же паролем.
- (UPD) "Logging passwords by mistake"
Так что профит есть.
И люди которые кидают минусы, вместо того чтобы тыкать на стрелку, объясните почему хешировать пароль на девайсе и сервере плохая или бесполезная практика?
Почему нет смысла отправлять хэш на сервер вам сразу же объяснили и минусы по делу влепили :)
Вообще-то кроме Oauth есть и другие виды авторизации, например, беспарольная авторизация по хешированному HTTP-хедеру X-MSISDN.
По X-MSISDN ничего толкового не нагуглил (выдает, что в этом хидере пердается номер телефона), может подскажете документацию? Стало интересно.
https://www.a10networks.com/blog/what-http-header-enrichment/
Однако, как уже отметили, это не относится к операции "смена пароля", это относится к беспарольной авторизации
OAuth и подобные протоколы здесь вообще ни при чём.
При PAP передаётся открытый пароль, а сервис может хранить только признак его знания (хэш).
При CHAP передаётся признак знания пароля (хэш), но сервис хранит пароль в обратимом виде.
При использовании PAP в больших инфраструктурах пароль в открытом виде проходит самую массовую фронтовую часть инфраструктуры. Гипотетически их может насобирать старший помощник младшего техника.
При CHAP пароли в открытом виде существуют только в конкретном месте в самой глубине бэкэнда. Доступ куда легко ограничивать и контролировать.
По нынешним временам для секьюрности чаще используют сертификаты, асимметричное шифрование и т.п. Но для многих сертификаты — тёмный лес, поэтому CHAP можно встретить во всяких коммуникационных сервисах для обычных людей и малого бизнеса — VPN, SIP и т.д.
Хэширование пароля делают для защиты от слива базы данных пользователей (злоумышленники, нечистые на руку работники организации). Допустим, некий и злоумышленник нашел возможность sql-инъекции и скачал себе базу данных логин + хэш пароля. При этом у него нет контроля над серверным кодом. Если пароль хэшируется на клиенте, а не серверным кодом, то злоумышленник владея слитой базой данных может отправлять серверу сразу хэш пароля и получать доступ к аккаунту.
Почему такая сложная схема для проверки?
Не факт, что пароль проверялся как-то отдельно. Может быть там стоял цикл по всем пришедшим полям (адрес, имя, логин и так далее) — убедиться, что нет "неправильных слов".
Это же классика — выводить в лог пришедшую структуру, а заодно и скомпрометировать пароль. Так и здесь — просто, возможно, проверяли все поля.
Как писали ниже: её аккаунт заблокировали необязательно из-за пароля.
Или может, кому не нравится «Единая Россия», тот не должен пользоваться «ВКонтакте»?
почему отношение к компартии страны должно распространяться на приложения, созданные в этой стране.
Почему законы, продвинутые правящими партиями этой страны, должны распространяться на приложения и сервисы, созданные в этой стране?
Нужет контрольный эксперимент — попытка зарегать ещё один акк с таким паролем и акк с полностью рандомным паролем с теми же прочими условиями (местоположение, браузер и т.п.)
А для полноправного использования Хабра нужен инвайт… похоже, да?
Но я уже прочитал, в РФ практически невозможно зарегистрироваться.
Для активации с некитайским номером давно уже требуют подтверждение от другого пользователя. Так что все нормально.
Всего одного пользователя? Я когда регистрировался понадобилось 2 китайца.
Хах, меня вот, например, wechat забанил навсегда без возможности апелляции по той причине, что он баги своей же апы принял за "использование стороннего ПО".
Я зарегистрировался, несколько месяцев не пользовался, зашёл — блокировка, восстановление доступа. Потом это самое восстановление доступа несколько раз не сработало (хотя и смс вводил, и капчу решал), бах, блокировка "за стороннее ПО" навсегда.
Журналистка говорит, что аккаунт был открыт на территории США и на американский номер телефона, то есть Великий китайский файрвол не должен был действовать таким же способом, каким он действует для китайских жителей.
Причем тут фаервол? Тенсент частная контора и может установить какие ей вздумается правила пользования своим приложением, с коими она согласилась поставив галочку в пользовательском соглашении. Список запрещенных слов, правда, скорее всего подогнало государство…
Пароль здесь не при чем...
Сам прежде был заблочен 2 раза на российском номере, 1 раз на китайском. Через поддержку — селфи — фото паспорта получил разблок. Китайцы просто привыкли так делать дела.
Через поддержку — селфи — фото паспорта получил разблок.Wechat стоит подобного или для бизнеса требуется?
Без вичата в Китае почти не выжитьСуровая система. Не припомню других стран, где без какого-то персонального аккаунта в приложении прямо падает качество жизни.
Подождите несколько лет.
Движение под предлогом борьбы с повидлом уже началось.
Сначала в куче стран ринулись клепать приложения для слежки.
Затем подключились Google и Apple из той самой Америки с инициативой добавить такую слежку на уровне мобильных ОС.
Попутно вбрасываются мысли, что ради борьбы с Ужасной Угрозой можно и нужно частично отказаться от неприкосновенность частной жизни.
Про электронные пропуска и электронные ошейники, введённые в ряде альтернативно одарённых регионов, тоже не забывам.
На все площадки поддерживающие пользовательские комментарии прибежали толпы ботов для создания впечатления одобрения таких мер населением.
ИНН и СНИЛС – чем не аккаунты? Не говоря про номер паспорта.
персонального аккаунта в приложении
Слияние бизнеса с государством очень опасно, возьмётся худшее из обоих.
А как там тогда выживает огромное количество народа вообще без доступа к интернету?
Конечно, вичат там подмял под себя значительную часть платежей и прочего всякого. Но бумажные документы, банковские карты и бумажные деньги там вроде никто пока не отмегял.
Про электронные ID, брачные свидетельства я делал пост.
Что же до бумажных денег и банковских карт — удачи. Вот вам ссылка на одного из крупнейших экваеров — найдите там хоть один POS-терминал с приемом банковских карт
https://rms.meituan.com/shouyin
То же самое касается бумажных денег — в туристических районах можно часто встретить мечущихся ортодоксальных туристов, признающих лишь наличность, пытающихся найти хоть один магазин, где есть сдача со 100 бумажных юаней.
Теперь нужно написать бота и потестить boundaries ВКонтакте.
Возможно, F*ckCCP89 входил в чёрный список хешей с запрещёнными паролями.
Если пароль хешируется с солью, то по хешу не заблокируешь. Или я что-то не понял?
Но если вы владелец сервиса, то у вас уже есть доступ к паролю в открытом виде, когда человек регистрируется или меняет пароль.
Просто журналист слишком наивная и думает, что китайские спецслужбы не собирают пароли от всех аккаунтов, регистрируемых в их сервисах. Такая огромная база паролей совсем не помешает, учитывая, что некоторые пользователи используют один и тот же пароль для нескольких сервисов.
Чтобы вы понимали — это не просто мессенджер. Имея доступ к чужому вичат можно, в принципе, сделать все, что угодно — это и электронный ID, и госуслуги, и кошелек, и история передвижений и еще миллион чего подобного.
И, соответственно, возможны блоки за каждый чих. Антифрод у вичата параноидальный, как ничто другое. Так что я ставлю 99,99% на то, что ее заблокировали по какой иной причине вроде «вы привязали недавно карту, подтвердите, что это ваша карта путем отправки банковской выписки» или «вы за 5 минут отправили запросы на дружбу более, чем 1000 пользователей, подтвердите, что вы не бот».
С другой стороны — у меня вичат лет 6 уже, и замораживали аккаунт только 1 раз — когда я кредитку привязывал. Ну ничего страшного — в банкомате взял выписку, отправил им — через день все было нормально.
Может, потребовали дополнительную идентификацию? Мы же тут всю историю тут не видим. Где скриншоты с сообщениями от сервиса?
Решение, вероятно, не в плоскости функциональных требований, а в плоскости технической реализации. Например, антифрод реализован асинхронной подсистемой. Событие упало в очередь, и когда оно выполнилось, тогда и произошла блокировка.
Никогда не получали блокировок за подозрительную смену пароля(из необычного места, с нового девайса)?
О, а можно пруфы на миллионы в концентрационных лагерях? Только не очередное бла-бла и какие-то показания мутных личностей (войска в Ирак вводили тоже с показания "свидетеля", только почему-то оружия не нашли, парадокс), а что-то более весомое. Ну и конечно интересно, почему многие мусульманские страны вписались за Китай, включая фундаменталистов из Саудовской Аравии, если они так мусульман там гнобят? Если там их миллионы, то это должно быть легко — миллион человек физически невозможно спрятать, ну и про колоссальное количество ресурсов на поддержание подобной инфраструктуры вообще умолчу. Или это очередные "highly likely"?
Это Синьцзяньский строительный корпус так называют. Там долго рассказывать, но в общем и целом там учат уйгурскую молодежь интернету, языку, истории и дают заработать на строительных проектах — высокоскоростная жд в Урумчи, метро в нем же — их работа.
Я сейчас удивлю, но почему мусульмане его ненавидят — из-за того, что китайцы показывают им кино про любовь и женщин в мини-юбках.
Ведь в чем закавыка — молодой уйгурский юноша женщин не видит от слова «совсем». И либидо копится. А когда он узнает про милых дам в платьицах — его в боевой отряд фиг затащишь — он думает не об Аллахе, а о том, как бы Лин Ся признаться в нежных чувствах(вечера знакомств там тоже проводятся).
По сути(это не шутка, а реальное исследование), запрет на хиджабы и пропаганда юбочек и платьицев сделали для дерадикализации региона гораздо больше, чем вся полиция
Если так и есть, то по мне так это куда гуманнее, чем американская "война с террором" и бомбежка МИРНЫХ жителей стран ближнего востока из-за радикалов (которых, кстати, они сами помогали взращивать, пусть и по другим причинам). Вот тебе и "тоталитарное государство, создавшее гетто". Кстати, вот примерно тоже самое про "обучение языку, истории и некоторой профессии" я слышал от знакомого казаха, который в Китае уже лет 10 живет, поэтому у меня и накопился скепсис к этим "highly likely" историям западной прессы, воняющим пропагандой времён холодной войны.
Это, разумеется, ничего не доказывает, но ориентироваться на мнение некого простого китайца, который эти лагеря небось в глаза не видел — тоже не комильфо.
Но никто не обсуждает самую очевидную и более вероятную версию, что журналистка на волне антикитайщины вбросила высосанную из пальца историю. Верить журналистам, особенно американским — такое себе.
Ну да, а то что причина блокировки могла быть совершенно другой — мы, конечно же, не рассматриваем. Тем более, что этот Вичат порой блочит за любой чих, что связано со статусом приложения (это не просто мессенджер, а еще и госуслуги и куча всего сверху). Вполне могло быть, что "журналистка" долго не заходила на аккаунт, потом решила зайти из новой локации и сменить пароль. В итоге — блок, достаточно тривиальная вещь, но на таком лайков в Твиттере не заработаешь.
Более любопытным моментом в этой истории мне кажется легковерие читателей.
Из сотен каментов выше только трем юзерам пришла в голову мысль, что все это может быть враньём, и только один хабраюзер из этих трёх попытался проверить прохладную историю на практике.
WeChat заблокировал аккаунт с неприличным паролем