А тем временем..

[vitus_wagner]

Пока внимание народа приковано к вирусной самоизоляции и бспорядка в США, происходит очередная атака на свободное распространение информации.

1. МТИ не смог догковорится с Elsevier и не продлил контракт на доступ к их журналам

2. Очередная попытка, на этот раз в американском суде, акционеров Рамблера наложить лапу на NGINX.

3. Попытка по суду прикрыть archive.org как пиратский сайт. Которая предсказуемо кончилась закрытием National Emergency Digital Library

Copyright delendum est.

Comments

[nataraj]

Offtopic...

Я давно не постил в DW, скажи репост в ЖЖ у всех поломался, или просто проставлятель ссылки отвалился?

[vitus_wagner]

Многие жалуются.

Насколько я понимаю, дело связано с утечкой парольной базы ЖЖ и массовой сменой пароляей там.

В результате получилось что многие пользователи пароль в ЖЖ поменяли (а может им его даже насильно поменяли, не в курсе - я-то поменял на всякий случай сам, хотя по-моему последний раз я его менял уже после утечки этой базы), а в кросспостер DW-шный новый пароль не прописали.

Поэтому ЖЖ получает с адреса DW-шного кросспостера слишком много неудачных попыток авторизаии и банит этот адрес.

[dzz]

> и массовой сменой пароляей там

Меня, кстати, всегда удивляли эти парольные утечки. Хэши, вроде, не вчера придумали.
Если кто-то хранит пароли в плэйнтексте, то это просто у кого-то мозга нет :)

[vitus_wagner]

Ну во-первых, хэши - не панацея. Те хэши, которые казались надежными 20 лет назад, когда Фицпатрик выбирал способ хранения пароля в ЖЖ, нынче ломаются чуть ли не на смартфоне.

Во-вторых, тогда, 20 лет назад с лично меня ailev требовал чтобы пароли хранилиись в таком виде, чтобы можно было плейнтекст восстановить. Ибо как же иначе посылать пользователю письмо с напоминанием о забытом пароле. Идея однеоразовой ссылки, дающей возможность пароль поменять, тогда казалась жутко user-unfriendly.

И это не только у нас позиия менеджмента такая была. Когда я десять лет назад пришел в параллельс, там в Parallels Automation тоже пароли шифровались обратимо. Хотя десять лет назад это уже казалось анахронизмом, который "пора бы исправить, да руки не доходят".

[dzz]

Лучше хэша может быть только длинный хэш :)

Ну или глобальная замена паролей на асимметричные ключи, но эта идея сейчас кажется жутко user-unfriendly.

[vitus_wagner]

Ага.Хотя играться с авторизацией по клиентским сертификатам https мы пробовали как раз тогда, 20 лет назадэ

[dzz]

Дык, технология давнишняя, но рядовой пользователь так и не возгорел желанием использовать клиентские сертификаты для аутентикации. Ибо запредельно сложно для понимания "альтернативно одарённым специалистом в другой области".

[fhunter]

Проблема ещё в том, что usability там совсем жуткая. По личному опыту, когда оно у нас использовалось в связке сертификат + логин/пароль - сертификаты "протухали" с завидной регулярностью. вспоминали об этом, естественно, когда они протухали. + к этому, в firefox были проблемы при авторизации - если промазал сертификатом при выборе (а UI и добавления и выбора сертификата там тоже не очень очевидный) - то до перезапуска браузера это запоминалось и с ходу не очень понятно как этот выбор сбросить.

И это я даже не задаю вопросов о том, как делить авторизацию при нескольких устройствах (с паролями как раз всё понятно), что делать при утере сертификата (пароль всё же явно короче и его можно запомнить, в отличие от). Ну и соответственно как этим пользоваться с мобильными устройствами и консольными утилитами.

[vitus_wagner]

А вообще лучше хэша может быть PBKDF на баэе этого хэша.

[filin]

Если в DW хранить только хэш от пароля ЖЖ, то он кросспост не сможет. Для кросспоста авторизоваться в ЖЖ должен он. Для этого он должен знать пароль.

[dzz]

Или API должен поддерживать аутентикацию по хэшу с известным алгоритмом формирования.

[vitus_wagner]

Но тогда утечка хэша будет эквивалентна утечке пароля.

[dmarck]

нет, это не про пароли

я пароль вбиваю всякий раз руками, и он точно правильный

не кросспостит.

[vitus_wagner]

Так это ты. А другие люди не вбивают пароль каждый раз руками. И если десять тысяч человек не поменяли пароль в кросспостере и что-то написали в DW,то ЖЖ видит с одного и того же адреса 10000 неудачных попыток авторизации за короткий промежуток времени и банит этот адрес совсем.
Собственно сообщение об ошибке именно так и выглядит "Ваш IP-адрес забанен потому что с него было слишком много неудачных попыток авторизации".

[dmarck]

да, ты прав, конечно.

почему DW не использует для этого репоста пул -- вопрос отдельный, но и это лишь отсрочило б бан, если специально не вайтлистить со стороны LJ

[vitus_wagner]

А может и использует пул. Если бы был один IP, договориться с ЖЖ о whitelisting-е было б проще.

[dzz]

Ну, копирастия никогда не оставляет попыток срубить ещё немного денег на "типа защите прав".

По п.2 я тоже слежу за ситуацией. Тут не столько борьба со свободой информации, сколько особая разновидность патентного троллинга, только без патента.

[kincajou]

прааально, Архив.Орг давно надо закрыть - уж слишком много там интересного накопилось, там история, там иногда можно найти то, чего уже больше нигде нет... а такого допустить никак нельзя. Человечья память коротка, такой же и память интернета должна быть!

(чтоб они все сдохли, копирасты хреновы)

[xou]

Я правильно помню что NEDL состояла преимущественно из книг 19го века?

[vitus_wagner]

Я туда, к сожалению, не успел заглянуть и порыться. Те книги, которые я качал с archive.org ДО national emergency были и XIX и XX века, но вышедшие из-под копирайта.