August 14th, 2007

me, default, computer

О краже авторизации

Мне искренне жаль людей, не понимающих, что у  компании, предоставляющей некий сервис, НЕТ НИКАКОГО ПРАВА заходить на этот или партнерский сервис под именем пользователя. До глубины души жаль. Дело не в конкретном убожеском СУПе, не в дураке-администраторе и не в горе-программерах, оставляющих plain-text пароли в базах. Дело не в жалких потугах создать бизнес-пузырь на блогах и overpriced значении "тысячнегов". Дело в том, что если мы не стоим насмерть за правило  "авторизация пользователя -- это весьма личный акт и исключительно его прерогатива", если не считаем преступлением нарушение этого правила, то Интернет превратится не только в бесполезную, но и опасную среду. Есть вещи, с которыми нельзя мириться ни в коем случае, особенно если кража авторизации произошла с "благими целями" вроде техподдержки, проверки и т.п. А ну как Verisign или Microsoft или Google захотят чего "проверить"...