Правила безопасности в ЖЖ - часть 1

Анатолий Воробьев (avva) опубликовал в своем дневнике краткое введение в систему security ЖЖ: о паролях, адресах, и о том, как восстановить контроль над своим дневником в случае взлома. Краткое введение в систему security ЖЖ: о паролях, адресах, и о том, как восстановить контроль над своим дневником в случае взлома.

1. Информация, хранящаяся в LiveJournal.

Для каждого дневника в LiveJournal хранится следующая информация, связанная с защитой доступа:
- Текущий пароль. Первоначальный пароль юзер выбирает во время создания дневника. Впоследствии его всегда можно поменять на странице https://www.livejournal.com/changepassword.bml (обратите внимание на https:// в начале этой ссылки — это означает, что ваш новый пароль будет передан серверу в зашифрованном виде и никто не сможет его по дороге ‘подслушать’). Для того, чтобы изменить пароль на новый, необходимо знать текущий пароль. LiveJournal не сохраняет нигде предыдущие значения пароля после его смены. Если пароль сменили на новый, то старый пароль теряет всякое значение и ни для чего более не может пригодиться.
- Текущий адрес (email address). Первоначальный адрес юзер выбирает во время создания дневника. Впоследствии его всегда можно поменять на странице http://www.livejournal.com/editinfo.bml . Для того, чтобы изменить адрес, достаточно знать текущий пароль (чтобы войти в систему), или даже просто контролировать какую-то сессию работы в LiveJournal (например, если вы зашли в LiveJournal в интернет-кафе, а потом ушли оттуда, забыв выйти из системы — сделать logout — и не закрыли браузер, или при входе в систему указали опцию перманентной сессии, то севший за этот компьютер после вас человек сможет работать в ЖЖ от вашего имени, и в том числе сменить адрес, даже если он не знает пароль).
- Текущий адрес может быть подтверждённым или неподтверждённым (по-английски это называется validated и non-validated). Когда вы меняете адрес на новый (или когда вносите первый адрес при создании дневника), на новый адрес приходит письмо от LiveJournal, в котором есть ссылка для подтверждения. По этой ссылке нужно пойти, чтобы сделать новый адрес подтверждённым. Если этого не сделать, он останется неподтверждённым. Адрес всегда следует подтверждать после его смены.
- Список старых адресов. Каждый раз, когда вы меняете адрес на странице http://www.livejournal.com/editinfo.bml на новый, старый адрес не удаляется полностью и навсегда, а заносится в специальный список старых адресов.
- Список старых адресов своего дневника можно увидеть на странице http://www.livejournal.com/tools/emailmanage.bml . Там показывают только те адреса, которые были подтверждёнными в момент перехода в этот список (т.к. неподтверждённые совершенно бесполезны). На те адреса, которые показываются на этой странице, можно всегда выслать текущий пароль от дневника (как именно — объясняется ниже). Этот список можно редактировать, удаляя из него некоторые адреса, но не все — зачем это делать и как, тоже объяснено ниже.

Для защиты доступа к вашему дневнику важно знать и помнить о всех этих видах информации: текущий пароль, текущий адрес и список старых адресов.