{"id":860,"title":"\u041f\u043e\u043b\u0451\u0442 \u043a \u042e\u043f\u0438\u0442\u0435\u0440\u0443 \u0432 \u043d\u043e\u0432\u043e\u043c \u0440\u0435\u043b\u0438\u0437\u0435 \u0412\u0430\u043d\u0433\u0435\u043b\u0438\u0441\u0430. \u041a\u043e\u0434\u0437\u0438\u043c\u0430 \u0443\u0436\u0435 \u0437\u0430\u0446\u0435\u043d\u0438\u043b","url":"\/redirect?component=advertising&id=860&url=https:\/\/tjournal.ru\/umg\/450423-poslushat-novoe-kosmicheskaya-opera-ot-sozdatelya-saundtreka-k-begushchemu-po-lezviyu&placeBit=1&hash=d7cf24ebd26468490c3963a5f0d2007e10183cc7470e797c409220708a49a72a","isPaidAndBannersEnabled":false}
Офтоп
Просто Хэнк

Почему я вывожу все свои домены из Ru-Center

Крупнейший российский регистратор доменов на протяжении 7 лет хранит пароли в открытом виде.

Пару лет назад мне достался во владение один из RU доменов, зарегистрированных на nic.ru. Цены на продление домена у данного регистратора не самые низкие, но мне было лень ради экономии в 200-300 рублей заниматься переносом домена к другому регистратору.

В сентябре этого года нужно было продлить домен, и я забыл пароль от своего аккаунта. Отправил запрос на восстановление доступа, а также продолжил наводить порядок в своих файлах, чтобы больше не терять данные для продления доменов. Чаще всего интернет-сервисы присылают на почту письмо с временной ссылкой, пройдя по которой можно ввести новый пароль. Но в данном случае был прислан старый пароль.

Обычному человеку без особых познаний в сфере компьютерной безопасности может показаться удобным данный способ. Восстановил пароль, получил его на почту и не нужно каждый раз придумывать новый набор символов.

На практике сайты не хранят копию вашего пароля. После регистрации ваш любимый «qwerty123» превращается в хеш-строку, которую нельзя расшифровать. Хеш сохраняется в базе и становится «отпечатком» для вашего пароля. При повторной авторизации введенный пароль шифруется и сравнивается два отпечатка. Совпадение хеша означает, что пользователь ввел корректные данные.

Если пароль пользователя хранится в открытом виде, злоумышленнику достаточно своровать базу данных, чтобы он смог получить доступ к закрытой части сайта. Часто пользователи используют один и тот же пароль для разных сервисов, что позволяет получить доступ к почте, социальным сетям и другим ресурсам.

Ru-Center достаточно давно хранит пароли в открытом виде. Еще в 2010 году на Хабрхабре возмущались подобным поведением регистратора. С тех пор ничего не поменялось, а на мой запрос техническая поддержка сообщила, что новую систему авторизации скоро внедрят, но неизвестно когда.

К сожалению, в настоящий момент система восстановления пароля работает только так (при восстановлении пароля на e-mail он отправляется в открытом виде). Разработчики работают над внедрением новой системы по восстановлению пароля в «закрытом» виде. На данный момент, мы можем порекомендовать Вам установить запрет на отправку пароля по e-mail, в Личном кабинете.Точных сроков её реализации мы пока не можем Вам сообщить.

Светлана Пустовая
Служба контроля качества RU-CENTER Group

На секунду представьте, что кто-то из технического персонала сможет скопировать базу данных с паролями. Это позволит перехватить контроль над большим количеством русскоязычных доменов. Например можно подменить сайт kremlin.ru и разместить на нем фейковый пресс-релиз о начале войны с каким-либо государством.

Обновлено в 17:00: представитель Ru-Center в разговоре с vc.ru рассказал о проблеме хранения паролей клиентов в незашифрованном виде, но отметил, что доступ к информационным системам имеют только некоторые сотрудники. По его словам, дело в устаревших технологических возможностях регистратора.

В ближайшее время мы полностью обновим логику авторизации и восстановления доступа — новая система сейчас тестируется. Также наши клиенты в любой момент могут настроить уведомления по SMS о любых операциях с услугами и аккаунтом, ограничить доступ к операциям с аккаунтом по IP-адресу, установить запрет на получение пароля по email и запретить любые операции с доменом без личного присутствия в офисе регистратора.

Андрей Кузьмичев
директор по продуктам Ru-Center

Кстати TJournal и другие проекты ИД «Комитет» также зарегистрированы через Ru-Center.

Чтобы не ждать ситуации, когда база паролей утечет, придется заняться процессом перевода домена к другому регистратору.

{ "author_name": "Просто Хэнк", "author_type": "self", "tags": [], "comments": 43, "likes": 76, "favorites": 6, "is_advertisement": false, "subsite_label": "flood", "id": 60874, "is_wide": true, "is_ugc": true, "date": "Mon, 23 Oct 2017 12:07:00 +0300", "is_special": false }
0
43 комментария
Популярные
По порядку
Написать комментарий...
Алюминиевый Данила

OZON тоже хранит в открытом виде.
ЕМНИП, Читай-Город аналогично, тут не могу с уверенностью сказать уже подзабыл сейчас у меня там вообще лютейший рандом.

Вообще, такие сайты что присылают после регистрации пароль на почту, даже сгенерированный их системой я стараюсь избегать. Это просто недопустимо. Если я палю сервис на хранении моего реально пароля и если он может быть полезным как ozon, я буду пользоваться только в read only режиме. Это просто зашквар, хранить в открытом виде пароли таким компаниям. У них там что, программисты до сих пор не понимают как работают авторизации через зашифрованные пароли? Перевести всех юзеров, зная их исходные пароли, на зашифрованные, дело пустяковое, но они продолжают хранить в открытом виде.

С недавних пор завел менеджер паролей и вообще на всех сайтах лютый рандом вместо пароля, я его вижу один раз при генерации, и всё, забываю. Но даже при этом я продолжаю игнорировать подобные сайты. Это же какая безответственность и непрофессионализм, что даже пароль нормально защитить не могут.

Недавно был в отделении Сбербанка, девушка забирала перевыпуск карты, но так как она ей не пользуется, забыла пин. Мы сразу и спросили, а можно пин поменять? Диалог вышел примерно следующего содержания:

- К: Для смены пин-кода надо заказывать перевыпуск карты.
- Я: Зачем? Вы же сейчас прямо выдаете новую карту, в чем проблема? Паспорт при себе, она физически здесь.
- К: У нас только через перевыпуск.
- Я: Вы точно ничего не путаете? Пин-код меняется перевыпуском карты? Вы серьезно?
- К: Да, мы же не храним пин-коды карт клиентов.
- Я: А как это вообще связано? Даже если сейчас напишим письменное заявление пин-код не смените?
- К: Нет.

Это ещё к слову о том, что Греф заявлял на днях что программисты не нужны.

11
Вынужденный чувак

Вообще, такие сайты что присылают после регистрации пароль на почту, даже сгенерированный их системой я стараюсь избегать. Это просто недопустимо.

Сайт может пароль сгенерировать, послать, после этого зашифровать и сохранить. Т.е. если при регистрации на почту пришел пароль, это еще не значит что он хранится незашифрованным. Если при восстановлении пароля, как указано в посте, то это уже да.

5
Дешевый пришелец

Может да, а может и нет, но это плохой признак.

0
Алюминиевый Данила

И высылают простые пароли. Человек со стороны увидев письмо, спокойно сможет запомнить подобные пароли.

Если не хочется при регистрации запрашивать пароль, то есть более нейтральные решения. Например, можно высылать вместо пароля ссылку для одноразового входа (скрин 2). Перейдя по которой он будет авторизован и сразу направлен на страницу смены\установки пароля, а ссылка станет недействительной. Такую ссылку увидив случайный человек не запомнит при всём своем желании. Перехватив письмо и поздно спохватившись, ссылка окажется недействительной. А это хоть какая-то забота о безопасности пользователя.

0
Понятный паук например

Недавно был в отделении Сбербанка, девушка забирала перевыпуск карты, но так как она ей не пользуется, забыла пин. Мы сразу и спросили, а можно пин поменять?

так и есть, новая карта идет с пинкодом в конверте, банк не хранит пинкоды - политика безопасности, постановить пинкод нельзя, только новую карту запросить
сменить ПИН можно лишь зная действующий, и это не в банке делается, а в банкомате.
ну по крайней мере в цивилизованном мире.

0
Алюминиевый Данила

Я все равно не понимаю как это вяжется с её словами.

Я уверен на 100% что банк хранит хэш пин-кода каждого клиента. Иначе как бы они сверяли введен корректный пин-код или нет. В открытом виде, я очень надеюсь что не хранят, но хэши просто должны быть.

Соответственно для банка сменить пин не проблема, достаточно обновить хэш. Для этого достаточно ввести новый пин, прогнать через их алгоритм, получить новый хэш и записать. При следующем вводе нового пин-кода в терминале, БД сравнит хэши, они совпадут - операции над картой откроются.

Я понимаю что это может быть связано с политикой сбербанка о какой-то безопасности, что нет простого пути смены пина если ты его забыл. Но перевыпускать карту то зачем? Человек лично пришел в отделение, если им так важно снять с себя ответственность, напишит заявление на смену пинкода. На их кассах обычно стоят соответствующие терминалы которые позволяют для карты ввести пин-код, который они могут захэшить и записать хэш как новый пин-код. Я не вижу никаких технических сложностей.

Так что на основании такого вот мнения, считаю, что смена пин-кода перевыпуском карты — это тупо лишний повод подзаработать, потому что перевыпуск платный. Никаких технических сложностей за этим не стоит вообще. И я не понимаю как ответ "что они не хранят" пин-коды отвечает на данный вопрос. Хэши хранят, в открытом виде нет, ну и что, как это меняет ситуацию.

0
Понятный паук например

хеш пинкода храниться на карте, выдрать можно, но зачем это банку? банк не благотворительная организация, они идут самым простым и прибыльным для банка путем - перевыпуск карты
интересы клиента не входят в сферу интересов банка. Хороший клиент - приносит деньги в банк переводом, больше никаких операций не делает и вообще не проявляет себя никак, идеальный - вкинул деньги и помер не оставив наследников

0
Алюминиевый Данила

хеш пинкода храниться на карте

Тогда каким образом другие банки позволяют менять пин из приложения не ходя к банкоматам? Я догадывался что хэш может быть на карте, но как тогда работает смена пина онлайн я не понимаю.

0
Понятный паук например

когда вставляете карту в терминал/банкомат видимо сервер банка отправляет обновленную информацию, новый хеш летит на микрочип карты.
Это всего лишь мои догадки, я не работаю в банковской сфере
у нас перевыпуск карты стоит €10, так, что банк с удовольствием хоть ежедневно будет вам перевыпускать карты, ведь себестоимость наверняка меньше €1
я уже писал банку не интересно восстанавливать пинкод, банку интересно получить денег

1
Алюминиевый Данила

Ну да. Как я изначально и написал. Технически они имеют все средства сделать так, но не делают ибо им выгоднее перевыпустить за кэш.

У меня 2 из 3ех карт имеют возможность менять пин онлайн, и 1 что не может - сбер.

1
Банальный браслет

Кому было критично, вывели домены еще после истории с торрентс.ру, регистрацию которого отозвали просто потому что пошли вы нахуй, вот почему.

11
Спортивный пёс_анон

Кому было критично, вывели домены еще после истории с торрентс.ру ...и перевели к партнёру РуЦентра

0
Полный рак

Я так понимаю такое распиздяйство много где происходит. Помню какой-то год произошла утечка данных по информаторам Госнаркоконтроля с именами адресами проживания и расшифровкой телефонных сообщений. То есть человек, совершая свой гражданский долг, рисковал своей безопасностью, государство просто не смогло элементарно защитить эту информацию.

5
Интеллигентный рак

И после подобной хуйни они ещё требуют бэкдоры и ключи от всего.

7
Банальный браслет

Была ведь недавно еще история с налоговой, когда организациям рассылали по почте экселевский файл с закрытыми данными херовой тучи юрлиц с указанием найти себя там и вписать недостающее.

1
Интеллигентный рак

Напомните ссылкой, если можно

0
Банальный браслет

Ойвей, память меня малость подвела, там пенсионный фонд, а не налоговая.
https://geektimes.ru/post/290957/

2
Зимний Орзэмэс

T████████████████████████ q

Хороший пароль. Надежный

6
Лесной кофе

Комментарий удален по просьбе пользователя

1
Алюминиевый калькулятор

Комментарий удален по просьбе пользователя

4
Вынужденный чувак

Что посоветуете вместо руцентра?

2
Процессуальный блик

beget неплох, он мне напоминает apple в области хостинга.
Все сделано для людей
P.s. ssl сертификаты на домен ставит бесплатно в автоматическом режиме.
Радость

3
Интеллигентный рак

Техподдержка у них отличная. Отвечают моментально.

0
Бурный теркин30см

А мне думалось, что timeweb.com это Apple в области хостинга

0
Исторический парфюмер

Ни разу у них не срабатывала ни одна оповещалка о том, что деньги на аккаунте кончились. Без объявления войны просто останавливали виртуалки.
Среди ночи нереально подумать, что стоп обусловлен что тупо денег нет на счете, а не авария, сбой или еще что... Поубывав бы.

0
Интеллигентный рак

Это Вы ещё с Гоудэди не сталкивались. С Ру-центром неудивительно. А Рег-ру так вообще светит всеми твоими личными данными в интернете, пока не заплатишь, чтобы их скрыть.

2
Жесткий чайник

А что с godaddy?

2
Литературный завод

С годадди. Купил домен на аукционе, хочу перенести к другому регистратору.
Чтобы получить код переноса надо отключить прайвеси протект. Отключил, запрашиваю код, нельзя перенести домен сразу после покупки, нужно ждать 5 месяцев. Ок, подожду, включаю назад прайвеси протект, а оно платно.
Не важно что при покупке уже оплатил, если отключил и потом включаю, то плати заново.

У неймчип паранойя, каждый раз как захожу ему все не нравится, начинает срать кодами проверки на почту, спрашивать кто такой и тому подобное. Надоедает.

На рег.ру получить код для переноса домена из самой панели нельзя. Надо писать в поддержку и прикладывать скан паспорта. Для одного домена выдавали неверный код переноса, в итоге хер забил на этот домен, устал переписываться.

Интернет.бс мой выбор. Всё работает как часы. И нет дополнительной херни, вроде платного прайвеси, всё включено в цену. И в поддержку ни разу не приходилось писать.

1
Интеллигентный рак

Ярые спамеры: сами пишут по пять писем на каждое действие. Из-за них, видимо, продают личные данные сразу, тоже каждый день пишет по десять левых адресов о какой-то хуйне про твой домен: что его уже заняли, что хотят купить за бешенные деньги, что его украли и т. д.

Кроме того, сам Гоудэди, хотя ты точно хранишь сложный пароль, постоянно при входе на сайт либо просит его сменить, потому что якобы взломали, либо пишет, что это неправильный пароль.

На этом безумие первых дней не закончилось. Они разделегировали домен через неделю, сославшись на какую-то хуйню, хотя он уже застолбился за мной. Подробностей особых уже не помню, было с года два назад. Убежал оттуда.

Вот еще в Википедии почитайте, за что их заслуженно ненавидят: https://ru.wikipedia.org/wiki/Go_Daddy

0
Смешной Мурод

Плюсую. С Go-Daddy связываться нельзя ни при каких обстоятельствах. Используйте лучше namecheap

1
Равный Никита

Здравствуйте! Пожалуйста, уточните о чем идёт речь в случае компанией REG.RU? Для доменов .RU/.РФ данные скрыты по умолчанию. Что касается .COM, .NET и других, то при регистрации можно подключить услугу Private Person совершенно бесплатно.

0
Интеллигентный рак

Как я помню, эта услуга не была бесплатной, когда держал домен. Хорошо, чуть позже напишу подробности.

0
Равный Никита

Спасибо, буду ждать. Просьба уточнить доменную зону, о которой идёт речь. Если не хотите публично называть домен, можно в ЛС отправить.

0
Интеллигентный рак

Всё-таки, это не бесплатно. Плюс, когда я регистрировался, а это было давно, такой возможности не было предусмотрено (точно, я проверял): https://www.reg.ru/support/domains/skrytie-personalnyh-dannyh/Skrytiye-personalnykh-dannykh-dlya-domenov-v-mezhdunarodnykh-zonakh-lya-roznichnykh-kliyentov-kompanii-REG.RU

В результате сервис whois на Рег-ру ныне выдаёт меня с потрохами :-) В принципе, я уже потерял интерес к этому домену, поэтому сейчас жду его разделегирования. Приобрету другой чуть позже.

Также:

0
Равный Никита

Михаил, попробуйте ещё раз. При регистрации возможность выбора Private Person присутствует. В той же справке указано, что PP становится платной лишь со второго года: cтоимость услуги 199 рублей/год. А по поводу скриншота: можете назвать домен? Возможно, он у партнёра?

0
Интеллигентный рак

В целом, к Рег-ру и Бегету у меня меньше всего претензий.

0
Довольный якорь

Открытие пароли - полбеды этого ебаного руцентра.

2
Киевский супер_стар

Все согласно пакету Яровой. Ключи переданы в ФСБ.

1
Прошедший магнит

Зато в рекламу вливают килобаксы (во всяком случае раньше). Хостинг у них, если что, тоже довольно пакостный.

1
Милицейский рак

вот по этому, у меня в руцентре ничего не лежит

0
Рыночный магнит

Разработчики работают над внедрением новой системы по восстановлению пароля в "закрытом" виде

Надеюсь, это только Светлана не врубается в чем смысл претензии

0
Родной Мика

Не понятно зачем вообще туда "вводят".

0
Удивленный звук
0
Читать все 43 комментария
null