Житомир-Експрес
регіональний сайт новин

Червер, 28 березня 11:38
Анонси
В епіцентрі
Житомирські артисти передали чергову гуманітарну допомогу Баранівській громаді
Житомирські артисти передали чергову гуманітарну допомогу Баранівській громаді
Житомирські артисти передали чергову гуманітарну допомогу Баранівській громадіУ Житомирі своїми імеджевими та бізнес секретами ділилася Тетяна ВовкЖитомирські самбістки здобули золото на етапі Кубку світу зі спортивного та бойового самбоНові горизонти для захисників, які звільнилися зі служби за станом здоров’я

Программа телепередач на TVgid.ua.
Все последние новостиУкраины на ukr.net.
Автопродажа Renault для автолюбителей Украины.
http://job.ukr.net/ - вакансии со всей Украины.

Світ
8 сентября 2011, 10:21

LiveInternet.ru: как хранятся пароли пользователей

Гугл и Яндекс со своими инструментами для вебмастеров и метриками, конечно, хороши,
Создавая сайт, вебмастер первым делом спешит узнать, сколько же посетителей заинтересуются его творением и, если это не домашняя страничка, всеми силами пытается продвинуть свой сайт. Для этого простого счетчика посещений уже не хватает, и он начинает пользоваться общедоступными платными и бесплатными сервисами, предоставляющими такую информацию.

Гугл и Яндекс со своими инструментами для вебмастеров и метриками, конечно, хороши, но кто пройдёт мимо такого уютного и аккуратного счетчика посетителей, как LiveInternet.ru? Наверное у многие доверяли считать своих посетителей этому сервису, но не многие знали, как на самом деле они обращаются с нашими паролями.

Ежедневно появляются и исчезают тысячи доменов, но удалённые домены не всегда плохие… Просто их иногда забывают продлить или не хотят поддерживать дальше. Однажды я нашёл в сети хорошее доменное имя, которое вскоре будет удалено, но траффик с поисковых систем ещё есть. Один из моих проектов имел ту же специфику, и я не преминул воспользоваться таким шансом, получить пару десятков целевых посетителей.

Успешно получив права на домен я сразу создал титульную страничку и хотел разместить на ней счетчик, чтобы проверить, действительно ли на этот домен заходят. Вот тут сервис LiveInternet.ru сказал мне, что счетчик-то уже существует и я могу восстановить пароль следующими способами:
по адресу, указанному в описании сайта в рейтинге LiveInternet;
по любому адресу имя@вашюдомен, указанному на главной странице сайта;
по любому адресу, указанному в файле live-****.txt;
по адресу владельца домена: адрес из whois.

Первый пункт был не для меня, т.к. я не знал, на какой мейл был зарегистрирован счетчик. Второй и третий пункты требовали что-то сделать, а вот четвертый был для меня самым легким. Я отправил запрос на восстановление пароля через мейл, взятый из whois.

На дворе 21 век, и я ожидал получить письмо со ссылкой на восстановление или сброс пароля. Ну или хотя бы временный пароль или специальную ссылку, которые я мог использовать, чтобы сменить пароль на свой, но я получил письмо следующего содержания:

Здравствуйте!

В сервисе LiveInternet на странице напоминания пароля
http://www.liveinternet.ru/stat/ваш.домен/?what=reminder
было запрошено получение пароля к статистике
сайта ваш.домен.ру на адрес "адрес из whois"


http://www.liveinternet.ru/stat/ваш.домен/
пароль: тут был пароль, установленный предыдущим пользователем


Изменить описание сайта вы можете на странице
http://www.liveinternet.ru/stat/ваш.домен/edit.html

HTML-код счетчика, который нужно вставить на страницах сайта,
вы можете получить на странице
http://www.liveinternet.ru/code?nick=ваш.домен

IP-адрес, с которого был запрошен пароль: мой.ip

По всем вопросам, связанным с работой счетчика и рейтинга
LiveInternet, обращайтесь по адресу counter@corp.liveinternet.ru

Успехов!



Успехов! — тут должна быть ироничная улыбка и причин для этого не мало!

Во-первых, письмо было отправлено на мой почтовый ящик и на ящик, указанный при регистрации счетчика (в данном случае он еще и отличался от доменного имени).
Во-вторых, мне прислали не новый, а старый пароль, указанный предыдущим владельцем!!!

Таким образом, я узнал комбинацию мейл/пароль, придуманную бывшим хозяином счетчика. Допустим большинство из нас пользуется разными паролями на новых ресурсах, но если копнуть поглубже, то, признайтесь, и у вас есть такой пароль, который вы используете на форумах, регистрация на которых вам не так важна… да и лень запускать программку генерации паролей. А счетчик… Ну пусть все счетчики будут с одним сложным паролем?

Хорошо, скажете вы, проблема не выдумана и ей можно воспользоваться при условии регистрации домена, оставленного нужным вам человеком. Но что будет, если базу паролей каким-то образом выкрадут с этого сервиса, то опасность грозит не только тем, кто теряет интерес к своим доменам, а всем тем, кто пользуется их счетчиками!

Перед тем, как написать эту статью я, конечно, поставил в известность администрацию liveinternet.ru, но они молчат в ответ и не делали никаких изменений в процедуре восстановления пароля. Я на всякий случай подождал пару дней и даже на их форуме попытался найти хоть кого-то связанного с администрацией, но, наверное, у них есть дела важнее, чем сохранность личных данных пользователей.

habrahabr.ru
Погода, Новости, загрузка...