Техдиректор Ozon.ru в комментариях на «Хабре» проговорился, что сервис впервые перестал присылать пароли в открытом виде Материал редакции

До этого компания на протяжении 20 лет отправляла пароли при восстановлении профиля обычным текстом.

В закладки

Обновлено в 18:00: Техдиректор Ozon.ru рассказал TJ, что пароли пользователей всегда хранились в зашифрованном виде.

Технический директор Ozon.ru Анатолий Орлов в комментариях на «Хабре» рассказал, что интернет-магазин впервые за 20 лет работы перестал присылать пароли в открытом виде. По словам топ-менеджера, это было первое, что он попросил «починить к **** [хренам]», когда вышел на работу в апреле 2018 года. На это обратили внимание в Telegram-канале G33ks.

Anatolix — Анатолий Орлов Скриншот Telegram-канала G33ks

Техдиректор проговорился о переходе на новую систему восстановления паролей под одним из материалов компании. На момент написания заметки комментарии уже удалили, вероятно, из-за мата, который запрещён в обсуждениях на «Хабре». Аккаунт пользователя Anatolix (под таким же ником Орлов зарегистрирован на Фейсбуке) перевели в статус read-only.

В пресс-службе Ozon.ru пояснили, что комментарии на скриншоте вырваны из контекста. Анатолий Орлов рассказал TJ, что пароли пользователей всегда хранились в зашифрованном виде в базе данных. По его словам, доступ к ним могли получить лишь сотрудники «да и то, теоретически». Он пояснил, что в 2018 году сервис впервые начал использовать шифрование с использованием хэшей, которое гарантирует невозможность расшифровки пароля из базы данных.

Раньше, если пользователь восстанавливал пароль с привязанной к аккаунту почты, OZON ему этот пароль присылал ответным письмом. При этом в базе пароли хранились в кодированном виде. Не в открытом доступе Эксель-табличке, а в виде кода. Это означает, что получить эти пароли мог — да и то теоретически — сотрудник компании, у которого был доступ в базу и ключ кодирования.

В 2018 году пришла новая команда, которая сделала серьезную работу для усиления безопасности. Сейчас все пароли пользователей хранятся в хэшированном виде (aka “закодированные необратимым образом”) — от пароля вычисляется необратимая функция, в результате проверить его можно, вычислив от него такую же функцию, но восстановить его невозможно. Лучше всего оберегаются те секреты, которые ты сам не знаешь.

Анатолий Орлов
технический директор Ozon.ru

На момент написания заметки сервис действительно перестал присылать пароли в открытом виде. Редактор TJ попытался восстановить пароль и получил от интернет-магазина сообщение со ссылкой на смену пароля.

Ещё в 2012 году пользователи «Хабра» раскритиковали Ozon.ru за хранение паролей в открытом виде. Один из них попытался восстановить доступ к профилю и получил старый пароль в письме.

Как тогда отмечали пользователи, хранение пароля в открытом виде может представлять угрозу для пользователей, так как злоумышленнику достаточно будет украсть базу данных один раз, чтобы получить доступ сразу ко всем аккаунтам. Кроме того, в случае использования одних и тех же паролей появляется риск взлома профилей на других сервисах.

{ "author_name": "Дамир Камалетдинов", "author_type": "editor", "tags": ["\u0442\u0435\u0445\u043d\u043e\u043b\u043e\u0433\u0438\u0438","\u043f\u0430\u0440\u043e\u043b\u0438","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","\u0432\u0437\u043b\u043e\u043c\u044b","\u0431\u0438\u0437\u043d\u0435\u0441"], "comments": 76, "likes": 50, "favorites": 5, "is_advertisement": false, "subsite_label": "tech", "id": 83024, "is_wide": false, "is_ugc": false, "date": "Wed, 26 Dec 2018 17:25:30 +0300", "is_special": false }
0
{ "id": 83024, "author_id": 50011, "diff_limit": 1000, "urls": {"diff":"\/comments\/83024\/get","add":"\/comments\/83024\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/83024"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 214344, "last_count_and_date": null }
76 комментариев
Популярные
По порядку
Написать комментарий...
9

f

Ответить
21

Комментарий удален по просьбе пользователя

Ответить
5

ctrl+F

Ответить
2

Обожаю эту пикчу

Ответить
2

Им надо запилить поддержку  Pay в приложении и с мака.

Ответить
26

квадрат пей

Ответить
1

В приложении оно есть.

Ответить
0

Это уже есть в приложении, в скором времени добавим и на сайт

Ответить
0

В приложении есть

Ответить
9

комментарии уже удалили, вероятно, из-за мата, который запрещён в обсуждениях на «Хабре»

Откуда вообще эта мода пошла на правила в комментах вводить официоз, запрещать мат ̷и̷ ̷о̷т̷с̷а̷с̷ы̷в̷а̷т̷ь̷ ̷д̷р̷у̷г̷ ̷д̷р̷у̷г̷у̷. Зачастую - это самые мерзкие сайты, с самой мерзкой аудиторией.

Ответить
9

хз, знаю один сайт, где мат разрешен, так вот самая мерзкая аудитория именно там, то есть здесь

Ответить
11

не знаю, о чём ты, котик

Ответить
0

люблю тебя, желаю тебе счастья, беги отсюда

Ответить
1

*жиденькая аудитория

Ответить
2

На хабре зато комменты значительно содержательней чем тжшное школоло

Ответить
–3

Комментарий удален по просьбе пользователя

Ответить
17

Блять Меглин, ты иногда выдаешь чем-нибудь гениальное, но все чаще несёшь такую хуйню как сейчас.
Как будто блять сменщика по объявлению в газете взяли

Ответить

Комментарий удален

0

Комментарий удален по просьбе пользователя

Ответить
0

И деньги Комитету, за что весьма признательны.

Ответить
2

Чё ты злой такой сегодня?

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
13

Корпускулярно-волновой дуализм

Ответить
2

Комментарий удален по просьбе пользователя

Ответить
6

На самом деле я описала свойство света, так что да, скорее всего причина в плохом настроении

Ответить
3

Он узнал, что ты Юлий, а не Юрий.

Ответить
1

Я тоже был в бешенстве…

Ответить
0

Ну выложи тогда сюда административный пароль от своего сайта.

Ответить
2

Комментарий удален по просьбе пользователя

Ответить
0

Так ты даже негроальпак ненавидишь.

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
2

Так приятно

Ответить
0

И за что ты меня ненавидишь?

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
5

ахтыжсука помогите, а я так тебя любил

Ответить
2

А почему я хитровыебанный? Я довольно-таки прямолинейный.

Ответить
6

Комментарий удален по просьбе пользователя

Ответить
0

Ну ок, буду ждать.

А мне вообще всегда казалось, что ты очень хитрый и с двойным дном, как это говорится. Но ненависти к тебе нет, да и к кому-то другому тоже. Ненависть, чаще всего, — неприятие в других каких-то своих черт, развитых в разной степени.

Ответить
0

Ты же понимаешь что между нами и Илюхером пропасть?

Ответить
1

Похоже, мышление о нас у него сосредоточено в стереотипах о пятой колонне, впервые рождённых в недрах одной из пропагандистских организаций ещё в середине нулевых. Когда появляются какие-то дополнительные оттенки и факты, этому стереотипу противоречащие, ход суждений путается и легче просто прекратить диалог, чем выставить себя неправым. Упрощать до понятных и ярких образов для любого человеческого мозга легче, так меньше тратишь энергии (в мнемонике это, например, вполне полезный механизм). Это нормально. Но, к сожалению, стратегически такой способ восприятия мира во всех его проявлениях приводит к росту и накоплению ошибок уже по цепной реакции в геометрической прогрессии.

Ответить
0

Почему не повезло? Им повезло: их этот цвет кожи защищает от солнца там, где любой светлокожий получит рак через несколько лет.

Ответить
1

Комментарий удален по просьбе пользователя

Ответить
3

А вы мастер в шакальстве картинок. 10/10

Ответить
2

Комментарий удален по просьбе пользователя

Ответить
1

Как будто это единственная причина не пользоваться Ozon.
Маркетплейсов и так достаточно много (но обычно узкоспециализированных - как Wildberries с одеждой), плюс после полноценного захода Aliexpress в лице Tmall все крупные компании внезапно захотели себе такой же.
Уникальных фишек типа быстрой доставки у него давно нет - тот же Tmall везет товары день в день (проверено для Москвы), да еще и бесплатно.

Ответить
0

Нипаверите, роисся это не только масква

Ответить
0

Я помню анатоликса по эпичному срачу 2010 года, когда рамблер объявил о переводе всех своих почтовых серверов с фряхи на убунту. Там была жаришка) Только анатоликс тогда в яндексе работал, если мне память не изменяет.

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
6

Жаришка

Ответить
3

Ворвались мейнтейнеры Фряхи и начали хуесосить техдиректора рамблера, что он просто не умеет пользоваться Фряхой и криворукий, а тот в стиле Лебедева посылал комментаторов на хуй и в целом неплохо так хохмил. В итоге всё вылилось в огромный пост мейнтейнера Фряхи в РФ о том, что хоть в рамблере и дебилы, но это очень серьёзный звоночек, что с их системой что-то не так и надо что-то делать с политикой ответов фанатов фряхи в стиле Джобса "Просто не держите его так больше".

Ответить
0

Больше напрягает, что все сервисы хранят переписку в незашифрованном виде, я не говорю про все соцсети, но например и сервис по продаже машин, вещей. В переписке бывает много интересных разговоров, при этом прямой доступ к ним имеют владельцы сайтов

Ответить
2

Во-первых, тут нужно учитывать что даже то, что заявляется зашифрованным, может таковым не являться. Во-вторых, шифрование всего и вся накладывает много дополнительных технических и административных проблем)

Ответить
0

В пинципе взаимодействие физлица с бизнесом строится на доверии первого последним, потому что узнать что исполняется на конечном сервере невозможно и любые заявления о том, что "у нас все зашифровано" непроверяемы в большинстве случаев

Ответить
0

Не важно в каком виде они хранят переписку, владельцы всегда могут получить к ней доступ.

Ответить
0

Дуров не разделяет твои взгляды, говорит, что они не могут

Ответить
0

Дуров намеренно создал сервис, где он не может читать сообщения, я же говорю о том, что в случае недобросовестного владельца ты ничего не сможешь сделать как пользователь.

Ответить
0

именно, а как Дуров никто делать не будет

Ответить
0

Сейчас все пароли пользователей хранятся в хэшированном виде... , но восстановить его невозможно.

Хешированные алгоритмом мд5, базы хешей которого вы легко найдёте в открытом доступе

Ответить
1

Очевидно, что хешированы они с солью, и ничего никогда по базам не найдется.

Ответить
1

Которая хранится в соседней колонке бд. Можно локальный параметр навернуть, но если я скомпрометировал бд разве можно быть уверенным за конфиги и сорцы?

Ответить
1

Даже если он хранится в соседней колонке, ничего ты с ним не сделаешь, кроме полного перебора, открытые готовые базы не помогут.

Ответить
0

Уже проще, перебор не будет полным

Ответить
1

Он будет полным по пользовательскому паролю.

Ответить
1

Таки да, но предположение о том что все сделано по науке примерно аналогично моему набросу про мд5 тем, что нами оно непроверяемо без собственно компрометации

Ответить
0

Ничего не мешает сначала прислать пароль почтой, а потом захешировать и положить в базу

Ответить
1

При регистрации, а при восстановлении?

Ответить
0

при восстановлении так же, какая разница? Пароль в любом случае новый будет

Ответить
1

Если каждый раз новый, уже не так страшно, а когда тебе присылают при восстановлении твой пароль, который ты сам вводил, то пиздец просыпается.

Ответить
0

это да

Ответить
0

Комментарий удален по просьбе пользователя

Ответить
0

Вконтакте тоже долгое время присылал пароли в открытом виде

Ответить
1

Зато товарищ майор получает твою переписку обходя твой сложный пароль

Ответить
0

Это норма для многих компаний (нет)
P.S.: До недавнего времени веб-хостинг nic.ru хранил пароли в открытом виде и ничего

Ответить
0

Ну было и было

Ответить
0

У озона на самом деле много технических проблем, но я надеюсь, что они их решат. Потому что альтернатив то особо нет, а адекватный сервис типа амазона (с доставкой в тот же день) только в России хочется.

Ответить
0

Озон давно скатился. Посмотри отзывы на маркете.

Ответить
Обсуждаемое
Истории
Человек, который хотел исчезнуть: загадка жизни и смерти Питера Бергманна, которую не могут решить уже десять лет
В 2009 году тело мужчины нашли на пляже в Ирландии. С помощью камер удалось восстановить его последние дни, но остальное прошлое будто «стёрто».
Интернет и мемы
Blizzard дисквалифицировала студенческую команду, которая на стриме показала плакат с призывом освободить Гонконг
Так студенты поддержали игрока, которого студия отстранила от соревнований за лозунг в поддержку протестов против Китая.
Наука
Парижский зоопарк представил новый организм — это «слизь» без мозга с 720 полами и способностью к самоисцелению
Таинственное одноклеточное существо назвали в честь хоррора 1958 года, где инопланетная слизь напала на американский городок.
Популярное за три дня
Наука
Парижский зоопарк представил новый организм — это «слизь» без мозга с 720 полами и способностью к самоисцелению
Таинственное одноклеточное существо назвали в честь хоррора 1958 года, где инопланетная слизь напала на американский городок.
Новости
В Красноярске начался народный сход после того, как двое знакомых избили человека до смерти и сняли это на видео
Местные жители считают, что родители одного из подозреваемых могут отгородить сына от правосудия.
Интернет и мемы
Це pain

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovy", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } }, { "id": 20, "label": "Кнопка в сайдбаре", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "chfbk", "p2": "gnwc" } } } ]