Офтоп
Просто Хэнк
22 434

Почему я вывожу все свои домены из Ru-Center

Крупнейший российский регистратор доменов на протяжении 7 лет хранит пароли в открытом виде.

В закладки

Пару лет назад мне достался во владение один из RU доменов, зарегистрированных на nic.ru. Цены на продление домена у данного регистратора не самые низкие, но мне было лень ради экономии в 200-300 рублей заниматься переносом домена к другому регистратору.

В сентябре этого года нужно было продлить домен, и я забыл пароль от своего аккаунта. Отправил запрос на восстановление доступа, а также продолжил наводить порядок в своих файлах, чтобы больше не терять данные для продления доменов. Чаще всего интернет-сервисы присылают на почту письмо с временной ссылкой, пройдя по которой можно ввести новый пароль. Но в данном случае был прислан старый пароль.

Обычному человеку без особых познаний в сфере компьютерной безопасности может показаться удобным данный способ. Восстановил пароль, получил его на почту и не нужно каждый раз придумывать новый набор символов.

На практике сайты не хранят копию вашего пароля. После регистрации ваш любимый «qwerty123» превращается в хеш-строку, которую нельзя расшифровать. Хеш сохраняется в базе и становится «отпечатком» для вашего пароля. При повторной авторизации введенный пароль шифруется и сравнивается два отпечатка. Совпадение хеша означает, что пользователь ввел корректные данные.

Если пароль пользователя хранится в открытом виде, злоумышленнику достаточно своровать базу данных, чтобы он смог получить доступ к закрытой части сайта. Часто пользователи используют один и тот же пароль для разных сервисов, что позволяет получить доступ к почте, социальным сетям и другим ресурсам.

Ru-Center достаточно давно хранит пароли в открытом виде. Еще в 2010 году на Хабрхабре возмущались подобным поведением регистратора. С тех пор ничего не поменялось, а на мой запрос техническая поддержка сообщила, что новую систему авторизации скоро внедрят, но неизвестно когда.

К сожалению, в настоящий момент система восстановления пароля работает только так (при восстановлении пароля на e-mail он отправляется в открытом виде). Разработчики работают над внедрением новой системы по восстановлению пароля в «закрытом» виде. На данный момент, мы можем порекомендовать Вам установить запрет на отправку пароля по e-mail, в Личном кабинете.Точных сроков её реализации мы пока не можем Вам сообщить.

Светлана Пустовая
Служба контроля качества RU-CENTER Group

На секунду представьте, что кто-то из технического персонала сможет скопировать базу данных с паролями. Это позволит перехватить контроль над большим количеством русскоязычных доменов. Например можно подменить сайт kremlin.ru и разместить на нем фейковый пресс-релиз о начале войны с каким-либо государством.

Обновлено в 17:00: представитель Ru-Center в разговоре с vc.ru рассказал о проблеме хранения паролей клиентов в незашифрованном виде, но отметил, что доступ к информационным системам имеют только некоторые сотрудники. По его словам, дело в устаревших технологических возможностях регистратора.

В ближайшее время мы полностью обновим логику авторизации и восстановления доступа — новая система сейчас тестируется. Также наши клиенты в любой момент могут настроить уведомления по SMS о любых операциях с услугами и аккаунтом, ограничить доступ к операциям с аккаунтом по IP-адресу, установить запрет на получение пароля по email и запретить любые операции с доменом без личного присутствия в офисе регистратора.

Андрей Кузьмичев
директор по продуктам Ru-Center

Кстати TJournal и другие проекты ИД «Комитет» также зарегистрированы через Ru-Center.

Чтобы не ждать ситуации, когда база паролей утечет, придется заняться процессом перевода домена к другому регистратору.

{ "author_name": "Просто Хэнк", "author_type": "self", "tags": [], "comments": 43, "likes": 76, "favorites": 6, "is_advertisement": false, "subsite_label": "flood", "id": 60874, "is_wide": false, "is_ugc": true, "date": "Mon, 23 Oct 2017 12:07:00 +0300", "is_special": false }
Объявление на TJ
Комментарии

Стандартный единорожек88

4

Колхоз-Центр

Энергичный ключ

2

Открытие пароли - полбеды этого ебаного руцентра.

Слышный клуб

2

Что посоветуете вместо руцентра?

Офтоп
дискуссии в сообществе доступны только владельцам клубного аккаунта
С клубным аккаунтом вы сможете
создавать записи и вести дискуссии в закрытых сообществах
наслаждаться нашим сайтом без рекламы
помочь проекту и почувствовать себя лучше
Купить за 75₽
Обсуждаемое
Наука
Первый корабль SpaceX с людьми на борту успешно вернулся на Землю
Теперь капсулу используют повторно для одного из следующих полётов к МКС.
Интернет
Пользовательница Твиттера общалась фразами «Алисы» в Tinder. Её собеседники не поняли, что разговаривают с ИИ
Голосового помощника «Алису» называют «интересной» и «забавной», а некоторые даже зовут на свидание.
Новости
Комиссия Сейма Польши: Самолет Качинського в 2010-м взорвали изнутри
Парламентская комиссия, которая изучала обстоятельства трагедии, выяснила, что на борту лайнера произошли два взрыва – в районе левого крыла и в центральном отсеке самолета.
Популярное за три дня
Интернет
«Служба в армии — это узаконенное рабство»: тред сержанта ВДВ, который не празднует день ВДВ
Изменения в психике, проблемы со здоровьем и «ауешная» культура — как год в армии сказался на солдате-срочнике.
Интернет
Пользовательница Твиттера общалась фразами «Алисы» в Tinder. Её собеседники не поняли, что разговаривают с ИИ
Голосового помощника «Алису» называют «интересной» и «забавной», а некоторые даже зовут на свидание.
Дизайн и архитектура
Фото: Арт-объект «Скажи это делом» в память о митингах против строительства храма в Екатеринбурге
На прошлогодних протестных акциях местные жители сносили возведенный вокруг парка забор, где власти хотели начать строительство.

Комментарии