Очень интересная информация, спасибо, Леонид! К сожалению, в репутацию подкинуть не могу из-за программистов Финтезы.
Что-то пока никуда не летит, скорее топчется на одном месте.
Информации о каких-то принципиальных изменениях не увидел, только догадки. Асессоры все таки не играют такую сильную роль в Гугле, как в Яндексе.
Мне кажется на каком-то этапе ваших рассуждений пошла путаница, ниже объясню свой взгляд на вещи.
Все достаточно просто: отправка любых паролей плейн текстом - это зло. В первую очередь это зло, когда пользователь восстанавливает пароль и ему приходит его текущий пароль. О чем это говорит? О том, что пароль хранится в базе в текстовом виде (а не хэшем, не говоря уже о соли). В интернетах есть даже сайт, т.н. "доска позора" таких компаний: https://plaintextoffenders.com/
Другой вопрос - временный пароль, который генерируется при восстановлении. На мой взгляд, лучше одноразовая ссылка с возможностью пользователю установить свой пароль. И сброс пароля только через двухфакторную аутентификацию. Но тогда встает вопрос входа через двухфакторку тоже :) Двухфакторка через смс - это не настоящая двухфакторка, куда безопаснее реализовывать через oAuth и аналоги. Потому что сим-карты сейчас воруются и не сильно сложнее емэйлов.
По вопросу ТС, ответ такой: пользователь не должен получать пароль ни по смс, ни по емэйлу. Он должен его устанавливать сам в процессе регистрации, либо предложите аутентифицироваться через приложение с социалками. Если речь о восстановлении пароля: то мой совет через одноразовые ссылки и двухфакторку, на крайняк можно через рассылку временного пароля. Если вы рассылаете текущий пароль (и храните его в базе в открытом виде): рано или поздно это закончиться дампом пользователей где-то в интернетах.
Странное утверждение. Это же не работа асессоров, которых можно куда-то склоачить. Рано или поздно все равно домены уйдут в блок-лист. Речь только о техническом обходе блокировки и все. Раньше вполне справлялся с РКН domain fronting, еще раньше отлично работал этот способ, я это все настраивал, поэтому и написал об этом.
Я на основе эксперимента написал, название эксперимента - личный опыт. Если не брать HugeDomains и какие-то сильно крутые домены (ключевики, короткие, гео), которых безусловно какие-то малые проценты от общего количества на руках у домейнеров, торг может доходить до смешных сумм. Поищите историю про продажу "sputnik.com", потом расскажите, почему так получилось.
Это возможное свидетельство того, что пароль хранится в базе в текстовом виде, а не хэшем.
Программист здесь не нужен, а в компетентных для таких задач сисадминах у нас недостатка на форуме нет: /ru/forum/webmasters-jobs/websites-servers-administration
Меня это всегда умиляет в контексте разговоров про развитие нейросетей и как искуственный интеллект непременно нас всех захватит и что разработчикам уже сегодня нужно быть предельно этичными.
Это все из-за этого: https://en.wikipedia.org/wiki/Technical_support_scam
Я думаю, что возможен откат, как это было с криптой. Или после того, как в Индии прикроют крупные колл-центры с этой темой, как уже было в том году: https://nakedsecurity.sophos.com/2018/12/03/microsoft-cracks-down-on-tech-support-scams-16-call-centers-raided/
Кстати, нашим соотечественникам тоже можно сказать спасибо, т.к. например вот эта партнерка работает именно с темой tech support разводов: пример и у многи крупных CPA сетей (не буду показывать пальцем) тоже есть эти офферы. Так что наши арбитражники вполне могли отработать тему до ее полного запрета в Google Ads :) Но скорее всего все связано с каким-нибудь крупным расследованием в США.
