|
| Дата |
|
USD/RUB | 88.6852 | BTC/USD | 68073.6087 |
|
|
|
Новости интернета Обсуждение самых разных интернет-новостей. |
03.06.2017, 21:10
|
#1
|
Senior Member
Регистрация: 15.03.2010
Сообщений: 1,555
Бабло: $223435
|
OneLogin снова взломали
"В официальном сообщении OneLogin говорится, что хакерам удалось получить доступ к платформе, на которой размещены все ресурсы компании. Как сервис сторонней аутентификации ставит на кон данные миллионов пользователей?
Сегодня ночью сервис авторизации OneLogin разослал клиентам и партерам сообщение о взломе, а также опубликовал в своем блоге сообщение об инциденте. OneLogin — это облачный сервис для аутентификации пользователей, а также для управления учетными записями. Как работают подобные сервисы? Они позволяют создателям приложений вместо того, чтобы вести учет пользователей и выполнять их аутентификацию на своей стороне, делегировать эту функцию стороннему сервису. Как мы видим, это делегирование не всегда оказывается безопасным.
Клиентами OneLogin являются более 2000 компаний из 44 стран мира, а партнерами — более 300 производителей приложений и около 70 производителей SaaS-сервисов. OneLogin можно по праву назвать одним из основных игроков рынка."
Не понимаю, как можно доверять свои учетки онлайн менеджерам паролей, не первая и не последняя ломка подобного сервиса
|
|
|
04.06.2017, 00:57
|
#2
|
Senior Member
Регистрация: 27.05.2015
Сообщений: 180
Бабло: $26105
|
а ты хочешь сам это делать? писать самому это все очень тяжело и слопает кучу человеком часов и где гарантия что твое не поимеют еще более простым способом?
я имею в виду если нормально писать, а не хуяк хуяк БД на файлах да на пэхапэ народными умельцами или "есть под вордпресс плагин"
ну т.е. чтобы можно было восстанавливать пароль, активация, чтобы была возможность social button логин, а для энтерпрайза интеграция еще всякие active directory, ws-federation, многфакторная авторизация и прочее говно - можно охуеть это все делать.
поэтому берут готовые решения зачастую, это экономически оправдано и позволяет сэкономить кучу человекочасов на поддержку и обслуживание своего решения которое навряд ли сможет тягаться по удобству и безопасности с специализированными сервисами.
|
|
|
04.06.2017, 01:01
|
#3
|
hustle
Регистрация: 02.05.2008
Адрес: 3d world
Сообщений: 12,890
Бабло: $1717315
|
KeePass спасёт отца русской демократии
|
|
|
04.06.2017, 15:13
|
#4
|
Senior Member
Регистрация: 15.03.2010
Сообщений: 1,555
Бабло: $223435
ТС -->
|
ТС
somtam, не, я ничего не хочу писать. Просто это отличный пример, что хранение своих данных от учеток в подобных сервисах удел домохозяек.
Кстати, у LastPass тоже недавно были подобные проблемы.
KeePass как вариант, просто заебись.
Нравится когда ответственность за мои данные лежит на мне - так не кого будет винить в случае проеба и волосы рвать на себе за пассивность в этом вопросе.
Да и кстати, браузерам тоже не доверяю хранения пассов.
Пока сидел на Опере (нормальной, не с движком хромиума) держал портативную на шифр диске и сохранял в ней пароли (они локально хранились).
Когда пересел на Хром, тоже какое-то время сохранял, потом отказался от подобного, сейчас даже не логинюсь в нем.
Помимо хацкеров, не стоит забывать, что эти все облачные сервисы сдадут с потрохами при первом запросе людей в пиджачках.
Последний раз редактировалось ogfox; 04.06.2017 в 15:19.
|
|
|
04.06.2017, 16:37
|
#5
|
Senior Member
Регистрация: 24.09.2009
Сообщений: 821
Бабло: $106455
|
Локальный Roboform с бэкапами и шифрованием.
|
|
|
04.06.2017, 16:49
|
#6
|
Senior Member
Регистрация: 27.05.2015
Сообщений: 180
Бабло: $26105
|
Цитата:
Сообщение от ogfox
somtam, не, я ничего не хочу писать. Просто это отличный пример, что хранение своих данных от учеток в подобных сервисах удел домохозяек.
Кстати, у LastPass тоже недавно были подобные проблемы.
KeePass как вариант, просто заебись.
Нравится когда ответственность за мои данные лежит на мне - так не кого будет винить в случае проеба и волосы рвать на себе за пассивность в этом вопросе.
Да и кстати, браузерам тоже не доверяю хранения пассов.
Пока сидел на Опере (нормальной, не с движком хромиума) держал портативную на шифр диске и сохранял в ней пароли (они локально хранились).
Когда пересел на Хром, тоже какое-то время сохранял, потом отказался от подобного, сейчас даже не логинюсь в нем.
Помимо хацкеров, не стоит забывать, что эти все облачные сервисы сдадут с потрохами при первом запросе людей в пиджачках.
|
KeePass, хром это вообще не то. То сервисы для реализации процесса регистрации/логина, а не для хранения и вставления паролей https://developers.onelogin.com/api-...on-login-token те в своем приложении ты используешь их апи для того чтобы аутентификацировать юзеров. Да и хули толку в этом доступе у них наверняка все пароли в виде хэшей хранились.
|
|
|
04.06.2017, 17:30
|
#7
|
Senior Member
Регистрация: 15.03.2010
Сообщений: 1,555
Бабло: $223435
ТС -->
|
ТС
Цитата:
Сообщение от somtam
KeePass, хром это вообще не то. То сервисы для реализации процесса регистрации/логина, а не для хранения и вставления паролей https://developers.onelogin.com/api-...on-login-token те в своем приложении ты используешь их апи для того чтобы аутентификацировать юзеров. Да и хули толку в этом доступе у них наверняка все пароли в виде хэшей хранились.
|
Вот блин, а я думал эти сервис типа ластпасса да и в новостях так осветили Сам не юзал.
Насчет доступа в другом источнике:
Цитата:
Как оказалось, неизвестные злоумышленники сумели получить неавторизованный доступ к данным по американскому региону. И хотя атакующие сразу же были заблокированы, компания предупреждает, что хакеры успели получить доступ к информации пользователей и теперь имеют возможность ее расшифровать.
Представители компании объясняют, что неизвестные взломщики каким-то образом сумели достать ключи от AWS, которыми и воспользовались для доступа к AWS API. После этого атакующим стали доступны таблицы базы данных, в которых содержалась информация о пользователях приложения, а также «различные типы ключей».
«Хотя мы шифруем определенные конфиденциальные данные, которых храним, на данный момент мы не можем полностью исключить вероятность того, что злоумышленники также получили возможность расшифровать информацию», — гласит официальное сообщение компании.
|
|
|
|
05.06.2017, 13:14
|
#8
|
Senior Member
Регистрация: 27.05.2015
Сообщений: 180
Бабло: $26105
|
если там норм. хэши использовали да еще с солью то сильно вероятно, что никто не будет изъебываться тратить кучу ресурсов на попытки дешифровки. продуктивнее будет крипту помайнить.
|
|
|
|