{"id":2156,"url":"\/distributions\/2156\/click?bit=1&hash=ad1a6078900684a980601542b190587487179ce522f665ff46f5ccadd43a6c26","title":"\u041d\u0430\u0443\u0447\u0438\u0442\u0435\u0441\u044c \u0434\u0435\u043b\u0430\u0442\u044c \u043c\u043e\u0431\u0438\u043b\u044c\u043d\u044b\u0435 \u043f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u044f","buttonText":"\u0413\u0434\u0435?","imageUuid":"7e88a728-4fdb-5e97-b104-ffcd8403934f","isPaidAndBannersEnabled":false}

Техдиректор Ozon.ru в комментариях на «Хабре» проговорился, что сервис впервые перестал присылать пароли в открытом виде Статьи редакции

До этого компания на протяжении 20 лет отправляла пароли при восстановлении профиля обычным текстом.

Обновлено в 18:00: Техдиректор Ozon.ru рассказал TJ, что пароли пользователей всегда хранились в зашифрованном виде.

Технический директор Ozon.ru Анатолий Орлов в комментариях на «Хабре» рассказал, что интернет-магазин впервые за 20 лет работы перестал присылать пароли в открытом виде. По словам топ-менеджера, это было первое, что он попросил «починить к **** [хренам]», когда вышел на работу в апреле 2018 года. На это обратили внимание в Telegram-канале G33ks.

Anatolix — Анатолий Орлов Скриншот Telegram-канала G33ks

Техдиректор проговорился о переходе на новую систему восстановления паролей под одним из материалов компании. На момент написания заметки комментарии уже удалили, вероятно, из-за мата, который запрещён в обсуждениях на «Хабре». Аккаунт пользователя Anatolix (под таким же ником Орлов зарегистрирован на Фейсбуке) перевели в статус read-only.

В пресс-службе Ozon.ru пояснили, что комментарии на скриншоте вырваны из контекста. Анатолий Орлов рассказал TJ, что пароли пользователей всегда хранились в зашифрованном виде в базе данных. По его словам, доступ к ним могли получить лишь сотрудники «да и то, теоретически». Он пояснил, что в 2018 году сервис впервые начал использовать шифрование с использованием хэшей, которое гарантирует невозможность расшифровки пароля из базы данных.

Раньше, если пользователь восстанавливал пароль с привязанной к аккаунту почты, OZON ему этот пароль присылал ответным письмом. При этом в базе пароли хранились в кодированном виде. Не в открытом доступе Эксель-табличке, а в виде кода. Это означает, что получить эти пароли мог — да и то теоретически — сотрудник компании, у которого был доступ в базу и ключ кодирования.

В 2018 году пришла новая команда, которая сделала серьезную работу для усиления безопасности. Сейчас все пароли пользователей хранятся в хэшированном виде (aka “закодированные необратимым образом”) — от пароля вычисляется необратимая функция, в результате проверить его можно, вычислив от него такую же функцию, но восстановить его невозможно. Лучше всего оберегаются те секреты, которые ты сам не знаешь.

Анатолий Орлов

На момент написания заметки сервис действительно перестал присылать пароли в открытом виде. Редактор TJ попытался восстановить пароль и получил от интернет-магазина сообщение со ссылкой на смену пароля.

Ещё в 2012 году пользователи «Хабра» раскритиковали Ozon.ru за хранение паролей в открытом виде. Один из них попытался восстановить доступ к профилю и получил старый пароль в письме.

Как тогда отмечали пользователи, хранение пароля в открытом виде может представлять угрозу для пользователей, так как злоумышленнику достаточно будет украсть базу данных один раз, чтобы получить доступ сразу ко всем аккаунтам. Кроме того, в случае использования одних и тех же паролей появляется риск взлома профилей на других сервисах.

0
76 комментариев
Написать комментарий...
Длинный паркур

f

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
1 комментарий
Sundaymaybe

Обожаю эту пикчу

Ответить
Развернуть ветку
German Times

Им надо запилить поддержку  Pay в приложении и с мака.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Саша Липин

В приложении оно есть.

Ответить
Развернуть ветку
Alexey Lutokhin

Это уже есть в приложении, в скором времени добавим и на сайт

Ответить
Развернуть ветку
Gre

В приложении есть

Ответить
Развернуть ветку
Александр Корнеев
комментарии уже удалили, вероятно, из-за мата, который запрещён в обсуждениях на «Хабре»

Откуда вообще эта мода пошла на правила в комментах вводить официоз, запрещать мат ̷и̷ ̷о̷т̷с̷а̷с̷ы̷в̷а̷т̷ь̷ ̷д̷р̷у̷г̷ ̷д̷р̷у̷г̷у̷. Зачастую - это самые мерзкие сайты, с самой мерзкой аудиторией.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
3 комментария
Волшебный супер_стар

На хабре зато комменты значительно содержательней чем тжшное школоло

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Что происходит.

Блять Меглин, ты иногда выдаешь чем-нибудь гениальное, но все чаще несёшь такую хуйню как сейчас.
Как будто блять сменщика по объявлению в газете взяли

Ответить
Развернуть ветку
3 комментария
Yuliy Galkin

Чё ты злой такой сегодня?

Ответить
Развернуть ветку
6 комментариев
Иной паук например

Ну выложи тогда сюда административный пароль от своего сайта.

Ответить
Развернуть ветку
14 комментариев
Меньший Орзэмэс

А вы мастер в шакальстве картинок. 10/10

Ответить
Развернуть ветку
Новогодний кран

Передаю привет Nic.ru. Надо будет еще раз перепроверить как у них там с паролями.

https://tjournal.ru/flood/60874-pochemu-ya-vyvozhu-vse-svoi-domeny-iz-ru-center

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Semyon Bochkaryov

Как будто это единственная причина не пользоваться Ozon.
Маркетплейсов и так достаточно много (но обычно узкоспециализированных - как Wildberries с одеждой), плюс после полноценного захода Aliexpress в лице Tmall все крупные компании внезапно захотели себе такой же.
Уникальных фишек типа быстрой доставки у него давно нет - тот же Tmall везет товары день в день (проверено для Москвы), да еще и бесплатно.

Ответить
Развернуть ветку
Gre

Нипаверите, роисся это не только масква

Ответить
Развернуть ветку
Названый татарин

Я помню анатоликса по эпичному срачу 2010 года, когда рамблер объявил о переводе всех своих почтовых серверов с фряхи на убунту. Там была жаришка) Только анатоликс тогда в яндексе работал, если мне память не изменяет.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
2 комментария
Ложный динозавр

Комментарий недоступен

Ответить
Развернуть ветку
Названый татарин

Во-первых, тут нужно учитывать что даже то, что заявляется зашифрованным, может таковым не являться. Во-вторых, шифрование всего и вся накладывает много дополнительных технических и административных проблем)

Ответить
Развернуть ветку
Названый татарин

В пинципе взаимодействие физлица с бизнесом строится на доверии первого последним, потому что узнать что исполняется на конечном сервере невозможно и любые заявления о том, что "у нас все зашифровано" непроверяемы в большинстве случаев

Ответить
Развернуть ветку
Жалкий фонарь

Не важно в каком виде они хранят переписку, владельцы всегда могут получить к ней доступ.

Ответить
Развернуть ветку
3 комментария
Pavel Averyanov
Сейчас все пароли пользователей хранятся в хэшированном виде... , но восстановить его невозможно.

Хешированные алгоритмом мд5, базы хешей которого вы легко найдёте в открытом доступе

Ответить
Развернуть ветку
Princess Milana

Очевидно, что хешированы они с солью, и ничего никогда по базам не найдется.

Ответить
Развернуть ветку
5 комментариев
Повседневный пёс_анон

Ничего не мешает сначала прислать пароль почтой, а потом захешировать и положить в базу

Ответить
Развернуть ветку
Информационный украинец

Комментарий недоступен

Ответить
Развернуть ветку
4 комментария
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Ложный динозавр

Комментарий недоступен

Ответить
Развернуть ветку
Закомплексованная Душа

Это норма для многих компаний (нет)
P.S.: До недавнего времени веб-хостинг nic.ru хранил пароли в открытом виде и ничего

Ответить
Развернуть ветку
Грузинский Валера

Ну было и было

Ответить
Развернуть ветку
Princess Milana

У озона на самом деле много технических проблем, но я надеюсь, что они их решат. Потому что альтернатив то особо нет, а адекватный сервис типа амазона (с доставкой в тот же день) только в России хочется.

Ответить
Развернуть ветку
Близкий дебаркадер

Озон давно скатился. Посмотри отзывы на маркете.

Ответить
Развернуть ветку
Читать все 76 комментариев
null