Можно ламерский вопрос, так откуда все-таки такая нелюбовь к СУПу, и что это вообще такое (в очень общих чертах я представляю, но хотелось бы подробнее)?
а вы не видели недавно здесь же, у Женьки, была ссылка на очередные скандалы по поводу очень вольного обращения с пользовательскими паролями со стороны сотрудников СУПа? и это далеко не единственная причина.
перформанс очень страдает. я вот здесь у себя ставил результаты трассировки. На livejournal.com у меня прямая рута de->us, а на суп - de->uk->ru, а ведь потом ему все равно в Штаты идти, на серверах супа ведь только юзерпикчи хранятся, по крайней мере по официальной версии. если вам будет не лень потрассировать от себя и выставить результаты, я бы с удовольствием посмотрел.
а насчет скандалов... я ваше отношение конечно понимаю, но проблема в том, что я не считаю возможным пользоваться сервисами от людей, не уважающих чужое privacy. Сегодня только логинились в чужие журналы, завтра глядишь еще и напишут чего-нибудь. Неприятно это всё.
Большое количество навязанных сервисов, ненужные мне счетчики в коде. История прайваси вообще прекрасна. Я не пользуюсь ljplus, то есть меня бы не задело, но противно. В принципе, если вас это не анноит - ну и хорошо, не морочтесь попусту. Просто меня недавно как раз очередной хороший человек спрашивал - как это сделать, ну и вот.
Спасибо. Я пользуюсь ljplus для картинок. Не думаю, что у меня от этого могут быть проблемы. Я морочиться не собираюсь. Просто тема на слуху, захотелось немного подробностей.
Но вообще тема "щастья всем сразу по умолчанию" (это я про сервисы) меня всегда веселила. Почему нельзя наоборот: "вот у нас тут куча всяких штук, кто хочет -- вступайте". Но тут, как я понимаю, интерес авторов немного другой, плюс менталитет...
если вы хотите точно знать, не логинился ли кто в последнее время к вам с вашими данными из лжплюс, то посмотрите здесь и сравните с ip из суповского пула.
Проблема потенциально возможна, если использовался сервис, требовавший введения лж-пароля на лжплюсе - как для счетчика, например. До скандала с прайваси пароли в плюсовской базе лежали плейн-текстом, никаких хэшей, при этом пользователям сообщалось обратное.
Женя, а какие там сервисы навязываются, например? Я просто может не в курсе, а интересно. Про пароли неприятная история, хотя чисто технически админы СУПа, видимо, в любом случае могут залогиниться в любой суповский Журнал, независимо от того, шифруются пароли или нет.
Например, насильственный логин в рбц и коммерсант по openID. Смена дизайна. Переадресация на livejournal.ru. Счетчики в коде, гэллаповские и еще чью-то. Ну не хочу я.
Чисто технически, если хранится хэш, то - если не брутфорсить пароли, а тут админ отличается от неадмина только простотой досупа к хэшу как таковому - можно только сменив пароль. То есть нельзя втихую войти, пошариться и выйти. Как это, собственно, и должно быть.
>Например, насильственный логин в рбц и коммерсант по openID. Смена дизайна. Переадресация на livejournal.ru. Счетчики в коде, гэллаповские и еще чью-то. Про RBC и "Коммерсант" не знал. Спасибо. Правда, меня на livejournal.ru вроде никто не переадресует.
>Чисто технически, если хранится хэш, то - если не брутфорсить пароли, а тут админ отличается от неадмина только простотой досупа к хэшу как таковому - можно только сменив пароль. То есть нельзя втихую войти, пошариться и выйти. Вот объясни чайнику - почему нельзя? Вот, допустим, я - админ. Я имею доступ к файлу с зашифрованными паролями. Я нахожу интересующую меня учетную запись. Копирую зашифрованный пароль на локальный диск. Устанавливаю пароль "qwerty". Вхожу под паролем "qwerty", делаю то, что мне надо и выхожу. Редактирую файл с зашифрованными паролями, подставляя к соответствующей учетной записи сохраненный вначале зашифрованный пароль. В результате пользователь может заходить под своим паролем. Если он не пытался логиниться в тот момент, когда пароль был изменен, то может ничего и не узнать...
Я, к сожалению, не очень хорошо знаю криптографию, чтобы ответить авторитетно. В общем и целом, в зависимости от схемы шифрования, как я понимаю, существует хэш и симметричный ключ. В случае смены пароля меняется и ключ, после этого возвращенный на место старый хэш перестанет работать с новым ключом.
А, вот оно как. Однако при таком раскладе ключ тоже должен где-то храниться и его тоже, наверное, можно сохранить, а потом возвратить на место вместе с хэшом... Однако это все ощутимо труднее, чем просто прочесть незашифрованный пароль, да.
если не ошибаюсь, одним из признаков было наполнение магазина - у СУПовских клиентов там были например футболки с надписями типа "в Бабруйск жывотнае" и прочие глупости.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
branchandroot
no subject
Date: 2007-08-15 11:47 am (UTC)no subject
Date: 2007-08-15 11:51 am (UTC)и это далеко не единственная причина.
у меня например география сильно мешает. :-)
no subject
Date: 2007-08-15 11:55 am (UTC)А чем мешает география? Ну не в России Вы, и что?
no subject
Date: 2007-08-15 12:07 pm (UTC)если вам будет не лень потрассировать от себя и выставить результаты, я бы с удовольствием посмотрел.
а насчет скандалов... я ваше отношение конечно понимаю, но проблема в том, что я не считаю возможным пользоваться сервисами от людей, не уважающих чужое privacy. Сегодня только логинились в чужие журналы, завтра глядишь еще и напишут чего-нибудь. Неприятно это всё.
no subject
Date: 2007-08-15 12:29 pm (UTC)no subject
Date: 2007-08-15 02:08 pm (UTC)В принципе, если вас это не анноит - ну и хорошо, не морочтесь попусту. Просто меня недавно как раз очередной хороший человек спрашивал - как это сделать, ну и вот.
no subject
Date: 2007-08-15 02:42 pm (UTC)Я пользуюсь ljplus для картинок. Не думаю, что у меня от этого могут быть проблемы.
Я морочиться не собираюсь. Просто тема на слуху, захотелось немного подробностей.
Но вообще тема "щастья всем сразу по умолчанию" (это я про сервисы) меня всегда веселила. Почему нельзя наоборот: "вот у нас тут куча всяких штук, кто хочет -- вступайте". Но тут, как я понимаю, интерес авторов немного другой, плюс менталитет...
no subject
Date: 2007-08-15 03:36 pm (UTC)no subject
Date: 2007-08-15 04:18 pm (UTC)no subject
Date: 2007-08-15 04:18 pm (UTC)no subject
Date: 2007-08-22 10:33 am (UTC)Про пароли неприятная история, хотя чисто технически админы СУПа, видимо, в любом случае могут залогиниться в любой суповский Журнал, независимо от того, шифруются пароли или нет.
no subject
Date: 2007-08-22 11:34 am (UTC)Чисто технически, если хранится хэш, то - если не брутфорсить пароли, а тут админ отличается от неадмина только простотой досупа к хэшу как таковому - можно только сменив пароль. То есть нельзя втихую войти, пошариться и выйти. Как это, собственно, и должно быть.
no subject
Date: 2007-08-22 12:00 pm (UTC)Про RBC и "Коммерсант" не знал. Спасибо. Правда, меня на livejournal.ru вроде никто не переадресует.
>Чисто технически, если хранится хэш, то - если не брутфорсить пароли, а тут админ отличается от неадмина только простотой досупа к хэшу как таковому - можно только сменив пароль. То есть нельзя втихую войти, пошариться и выйти.
Вот объясни чайнику - почему нельзя? Вот, допустим, я - админ. Я имею доступ к файлу с зашифрованными паролями. Я нахожу интересующую меня учетную запись. Копирую зашифрованный пароль на локальный диск. Устанавливаю пароль "qwerty". Вхожу под паролем "qwerty", делаю то, что мне надо и выхожу. Редактирую файл с зашифрованными паролями, подставляя к соответствующей учетной записи сохраненный вначале зашифрованный пароль. В результате пользователь может заходить под своим паролем. Если он не пытался логиниться в тот момент, когда пароль был изменен, то может ничего и не узнать...
no subject
Date: 2007-08-22 12:15 pm (UTC)no subject
Date: 2007-08-22 01:22 pm (UTC)no subject
Date: 2007-08-15 11:48 am (UTC)а сама-то ты вышла из супа? ;-)
no subject
Date: 2007-08-15 02:06 pm (UTC)no subject
Date: 2007-08-15 03:23 pm (UTC)я этот линк попиарил у себя, вдруг глядишь кто еще захочет выйти и не знает как. :-)
слушай, мне вот ужасно любопытно, ты не пробовала от себя делать трейс в лайвжурнал.ком? неужели тоже через Англию пойдет?
no subject
Date: 2007-08-15 12:04 pm (UTC)no subject
Date: 2007-08-15 12:35 pm (UTC)no subject
Date: 2007-08-15 02:06 pm (UTC)no subject
Date: 2007-08-15 03:30 pm (UTC)