Популярное
Свежее
Моя лента
Сообщения
Обзор
Курсы
Темы
Маркетинг
Деньги
Сервисы
Крипто
Личный опыт
Маркетплейсы
AI
Образование
Карьера
Путешествия
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Лера Михайлова
Сервисы

Ozon.ru перестал присылать старые пароли пользователям в открытом виде

Пользователи впервые заметили эту проблему в 2012 году.

Онлайн-ритейлер Ozon.ru прекратил присылать старые пароли пользователям в открытом виде. Об этом со ссылкой на слова техдиректора компании Анатолия Орлова пишет TJ.

Орлов рассказал о новой системе хранения паролей в ответ на комментарий одного из пользователей «Хабра». По словам Орлова, он попросил исправить проблему с паролями в апреле 2018 года, когда приступил к работе в Ozon.ru.

Ветка <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fhabr.com%2Fcompany%2Fozontech%2Fblog%2F434158%2F%23comment_19543164&postId=54419" rel="nofollow noopener" target="_blank">находилась</a> в комментариях под материалом об Ozon.ru <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Ft.me%2Fg33ks%2F514&postId=54419" rel="nofollow noopener" target="_blank">Скриншот</a> Telegram-канала G33ks
Ветка находилась в комментариях под материалом об Ozon.ru Скриншот Telegram-канала G33ks

Сейчас ветка с этими комментариями удалена: возможно, из-за мата, который нарушает правила «Хабра». Представитель компании сообщила, что слова Орлова на скриншоте вырваны из контекста.

Редактор TJ попробовал восстановить пароль от Ozon.ru и получил ссылку на сброс пароля. С 2012 года пользователи «Хабра» и «Пикабу» жаловались, что ответ на попытку восстановить пароль Ozon.ru присылал старый пароль в незашифрованном виде.

Обновлено: Анатолий Орлов уточнил, что речь в комментариях шла только о передаче, а не о хранении паролей.

На «Хабре» обсуждалось следующее: как Ozon раньше отправлял (а не хранил) пользователям пароли при их сбросе. Так вот раньше, если пользователь восстанавливал пароль с привязанной к аккаунту почты, Ozon ему этот пароль присылал ответным письмом. При этом если пароль не восстанавливали, а пользователь регистрировался или менял пароль сам, то Ozon ему ничего не высылал, естественно.

При этом в базе пароли хранились в кодированном виде. Не в открытом доступе Excel-табличке, а в виде кода. Это означает, что получить эти пароли мог — да и то теоретически — сотрудник компании, у которого был доступ в базу и ключ кодирования. Отслеживание поведения таких сотрудников с доступами — это отдельная история, не будем вдаваться в подробности, чтобы никого не провоцировать.

В 2018 году пришла новая команда, которая сделала серьезную работу для усиления безопасности. Сами понимаете, интернет-мошенники все изобретательнее, а пользователей у компании все больше. Сейчас все пароли пользователей хранятся в хэшированном виде (aka «закодированные необратимым образом») — от пароля вычисляется необратимая функция, в результате проверить его можно, вычислив от него такую же функцию, но восстановить его невозможно. Лучше всего оберегаются те секреты, которые ты сам не знаешь.

Анатолий Орлов, техдиреткор Ozon.ru

#новость #ozon

1414
58 комментариев
Sam Beckett

Просто невероятно! 6+ лет, сотни новых ГОшников и офис в Москва-сити понадобились чтобы избавиться от стандартной ошибки начинающего веб-разработчика!

14
Ответить
Sam Beckett

Что следующее в ростере задач? Валидация входящих строк? Вырезание из входящих данный SQL-запросов?

7
Ответить
Sup Buddy

" 20лет писались в постель, а вот сейчас научились не писаться "

1
Ответить
Sam Beckett

Кажется, из коммента их техлида на хабре )

1
Ответить
Денис Качнов

Прекратил присылать != прекратил хранить ;-)

12
Ответить
Комментарий удалён модератором
Maria Skorik

Не равно же)

Ответить