|
December 10
|
Security policy changes |
To improve the security level, Hosting Ukraine is annually certified for compliance with the PCI DSS security policy. One of the requirements of this policy states that all passwords must be encrypted as an irreversible hash sum. We fully agree with this requirement, but we also understand that for some of our clients this will create some inconvenience, since many regularly look at the passwords for the database, FTP, mailbox in the hosting control panel. However, when it comes to choosing between safety and convenience, safety should be preferred. We hope for understanding from customers that we will gradually remove the ability to view passwords in the control panel and convert them into hash sums.
First of all, passwords for mailboxes will be disabled. If you forgot your password, you can create a new one. It will be impossible to recover old passwords.
а как мне получать почту с сайта (не настраивая другой почтовый сервис)?
В плане отпарвки и получения почты ничего не меняется.
Спасибо.
А если, как вариант, хранить пароль в открытом виде в отдельной таблице, чисто для просмотра?:)
Пароль, который хранится в открытом виде рано или поздно попадет в чужие руки. Представляете насколько ценная база с паролями к миллиону почтовых ящиков.
неудобно стало(
Да, мы сопротивлялись до последнего, но нам дали срок - один год. Пришлось выбирать между удобством и безопасностью. Но скажу честно использую корпоративную почту gmail - там никогда нельзя было посмотреть чужой пароль и это правильно.
Безопасность это хорошо, но и про удобство забывать не стоит.
Теперь чтоб смотреть почту через браузер это каждый раз нужно танцы с бубном выполнять.
открой страничку вэбмодры почты.
из панели скопируй логин для входа
вставь его в вэбморду.
заполни пароль. и о чудо с 2 или 3го раза заходит
Теперь чтоб смотреть почту через браузер это каждый раз нужно танцы с бубном выполнять.
открой страничку вэбмодры почты.
из панели скопируй логин для входа
вставь его в вэбморду.
заполни пароль. и о чудо с 2 или 3го раза заходит
Заходить должно с первого раза. В браузере можно запоминание пароля включить и не вводить каждый раз пароль.
Представьте себе - вы программируете, затем вам нужно просто подключиться к базе данных - вы заходите и УПС, о боже мой - никто не записал для вас пароль к БД? да не проблема - возьми и перегенерируй новый? Да вы что? это прямо 80 уровень. А ничего что это может быть это не ваш личный сайт а вам просто с ним нужно работать и есть другие команды что работают с сайтом и просто взять и перегенерировать пароль для тебя одного означает следующее:
1 Всем другим командам нужно будет у себя сменить пароли к БД.
2 В CMS тоже нужно будет перезаписать пароль, например в WP wp-config, и если люди на сайте - то это проблема, так как в этот момент кто-то может отвалиться.
3 Все то-же самое если у вас дотуп к емейлу есть у разных машин - в головном офисе, на планшете, на телефонах нескольких сотрудников - и чего, всем менять пароль на всех устройствах только потому что ты купил новый планшет и хочешь добавить эту учетную запись?
Кто у вас такой грамотный и создает такие изменения? Вы наняли нового человека под это дело? Увольте его, ваши решения совсем не дружат с логикой. Изменения ради изменений не делаются, делается все ради клиентов и их удобства, а это решение не ведет к этому удобству.
1 Всем другим командам нужно будет у себя сменить пароли к БД.
2 В CMS тоже нужно будет перезаписать пароль, например в WP wp-config, и если люди на сайте - то это проблема, так как в этот момент кто-то может отвалиться.
3 Все то-же самое если у вас дотуп к емейлу есть у разных машин - в головном офисе, на планшете, на телефонах нескольких сотрудников - и чего, всем менять пароль на всех устройствах только потому что ты купил новый планшет и хочешь добавить эту учетную запись?
Кто у вас такой грамотный и создает такие изменения? Вы наняли нового человека под это дело? Увольте его, ваши решения совсем не дружат с логикой. Изменения ради изменений не делаются, делается все ради клиентов и их удобства, а это решение не ведет к этому удобству.
Так делать нельзя, обычно пароль смотрят в исходном коде. А то вдруг не в ту БД зайдете и внесете изменения.
Это было удобно. Но если они будут шифроваться правильно, можно тогда ставить свои и не парится. Единственное, в FTP и БД так и остались открытые пароли.
Пока в FTP и БД открытые пароли. FTP ограничивается по умолчанию IP адресами, с БД все немного сложнее. Но думаю решим вопрос и с FTP и MySQL.
Отличные новости, очень давно этого у вас ждал. Хранить пароли в открытом виде это чистая цукербергщина...
Как по мне, это очень удобная функция управления из админ панели, а насчет политик безопасности, то вроде как это перебор, авторизация по смс, по паролю по подтверждению по email. Не знаю но в последнее время такой уровень безопасности мешает больше жить, чем оберегает от взлома. Зато вот бд и сайты как ломали, так и ломают при помощи например sql инъекций. Вообще кого то за все время ломали по тому, что пароли можно увидеть в админ панели. А если кто то получит доступ от панели, так нет проблем сменит. Логики я не понимаю, а вот проблем от этого ощущаю уже пару дней при работе с почтой. И еще одно многие пользуются услугами как веб студии, и получается если даешь клиенту доступы например к почте, надо еще где то все это отдельно хранить, если вдруг клиент попросил зайти и посмотреть в чем проблема, то ты сбрасываешь пароль, потом клиент жалуется что пароль не подходит, короче сорян за много букв, считаю что это больше проблем создаст, чем обезопасит меня от "прыступникаф".
Блин, одновременно и хорошая и плохая новость. Жаль было удобно. Теперь придется записывать пароли. А ленивые будут сохранять в браузере, что автоматически сводит безопасность ниже чем было )))
Плохо, было удобно контролировать корпоративные почты
верните как было, хотя бы интерфейс, было всё удобно ,нет, потомали и зделали через задницу
Пользуюсь еще двумя хостингами.
Согласен с тем что пароли в открытом доступе может и не нужны.
Но прямой вход на почту с хостинга есть везде !!!
Огромные неудобства из-за того что его убрали !!!
Согласен с тем что пароли в открытом доступе может и не нужны.
Но прямой вход на почту с хостинга есть везде !!!
Огромные неудобства из-за того что его убрали !!!
Кстати, где посоветуете хранить пароли?
Не будем считать варианты: в голове, на бумажке, на флешке и т.д.
Не будем считать варианты: в голове, на бумажке, на флешке и т.д.
Можно использовать менеджеры паролей. Например, бесплатный опенсорсный Bitwarden https://bitwarden.com/ или KeePass https://keepass.info/
Все правильно. Пароли можно и у себя хранить где-то)
а как заходить?
нельзя ли добавить галочку для тех кому пофиг на безопасность?
Only registered users can leave comments
Спасибо что заботитесь об этом!