syarzhuk: SUP-fighting

Дзюндзя (

syarzhuk) wrote,
@ 2007-05-29 17:50:00

SUP-fighting
Support Request #751724
When I open the web site kommersant.ru , I can see that the site recognizes my LiveJournal username. I believe they use OpenID to retrieve my LiveJournal username from LJ. Since kommersant.ru is not one of the sites which I marked as trusted (as shown on
http://www.livejournal.com/openid/options.bml ), I consider this is a security breach.

Please fix LiveJournal's OpenID server so that it only authorizes the sites that I marked as trusted.

(Post a new comment)

	panarchist 2007-05-29 10:55 pm UTC (link)
	A как узнать, что коммерсант узнаёт твоё username? (Reply to this) (Thread)

	ex_annutka256 2007-05-29 11:17 pm UTC (link)
	зайдите на любую статью там позволяет делать комментарии под вашим именем (Reply to this) (Parent)(Thread)

	julcik 2007-05-30 06:08 am UTC (link)
	у сэнсе па-замаўчаньні дазваляе? У мяне там бачныя палі для юзернэйма і пароля (Reply to this) (Parent)

	maksa 2007-05-29 11:10 pm UTC (link)
	А вот это правильно. Поддерживаю. (Reply to this)

	ex_annutka256 2007-05-29 11:14 pm UTC (link)
	куда посылать запросы? (Reply to this) (Thread)

	ex_annutka256 2007-05-29 11:25 pm UTC (link)
	сделано (Reply to this) (Parent)

	ex_annutka256 2007-05-29 11:16 pm UTC (link)
	может имеет сиысл продублировать в сообщества http://www.livejournal.com/feedback/ ? (Reply to this)

bagira
2007-05-30 04:16 am UTC (link)

Сяржук, я им о том же написала (правда, в моем случае не kommersant.ru, а livejournal.ru).

Мне ответили вот что:

"Your account is not eligible to access any extra services provided by our partner SUP. Please understand that you may continue to see static files, such as images and ads, served from a Russian-based IP.

LiveJournal whitelists specific partner sites, so that it is not necessary for you to authorize them via OpenID. These sites do not have access to your LiveJournal account, nor do they receive any of your private information. You are simply authenticated as a username. If you do not want to allow OpenID authorization to these sites, you can log out of your LiveJournal account before visiting these sites.

This is in accordance with LiveJournal's privacy policy, http://www.livejournal.com/legal/privacy.bml, which specifically indicates that LiveJournal may share information with partners in order to provide service. Again, none of your personal information is being sent; this is simply a single-signon across the network of our partner sites.

Regards,

LiveJournal Support Team

Did this answer your question?"

(Reply to this) (Thread)

syarzhuk
2007-05-30 04:24 am UTC (link)

LiveJournal whitelists specific partner sites, so that it is not necessary for you to authorize them via OpenID
Это очень серьёзная фигня. По моим понятиям - нарушение privacy.
Сам факт того, что человек А читал статью Б, может быть использован в суде в качестве доказательства (помню, был случай, когда мужика судили за убийство жены, и в качестве доказательства приводили его поиски способов убийств в Гугле). Одно дело - "IP number такой-то заходил на сайт", тут ещё нужно попотеть, доказывать, что это именно мой IP. Другое дело - "компьютер, авторизованный в LiveJournal как юзер Х". Это, на мой дилетантский взгляд, намного опаснее. Поэтому, если я не хочу распространения моей информации, известной LiveJournal, другим, у меня должен быть способ такое распространение отменить. И если его нет, это сродни разглашению моей личной информации. Если они не пойдут на попятный, нужно будет попытаться их судить. Что скажешь?

(Reply to this) (Parent)(Thread)

	krolechka 2007-05-30 04:52 am UTC (link)
	> нужно будет попытаться их судить Или просто не искать "способы убийств в Гугле". :) (Reply to this) (Parent)(Thread)

syarzhuk
2007-05-30 01:05 pm UTC (link)

А ты в курсе, что в разных странах разное законодательство? Тебе понравится, если ты, скажем, поедешь по работе в какую-нибудь сильно арабскую страну, а тебя там вдруг начнут судить, потому что ты публично вошваляешь Ису, а не Аллаха, и твои жена с дочкой ходят с открытыми лицами? А доказательством будут логи какого-нибудь kommersant.arab, на который ты зашёл по работе.

(Reply to this) (Parent)(Thread)

	krolechka 2007-05-30 01:15 pm UTC (link)
	Вообще-то, думаю, что да - буду рад. Но я тебя понял. :) (Reply to this) (Parent)

	syarzhuk 2007-05-30 01:06 pm UTC (link)
	вошваляешь = воcxваляешь (Reply to this) (Parent)

	antanian 2007-05-30 05:13 am UTC (link)
	там у іх бізьніс саўместны. а твая прыватнасьць ім не рупіць. (Reply to this) (Parent)

syarzhuk
2007-05-30 11:59 pm UTC (link)

They told me the same.
My answer:
It is very easy to link a LiveJournal username to a real person's identity.
The mere fact that someone visited a web page could be and already was used in court.
There might be people who do now wish their identity disclosed to some sites, yet still want to visit those sites.
This especially concerns sites outside United States, as they may be governed by different laws.
The http://www.livejournal.com/openid/options.bml page clearly shows the sites that the LiveJournal user trusts. You are saying that LJ whitelists 'specific partner sites', which would be fine if a) the list of these sites was made public; b) each user had an option to distrust specific sites. Without these two options this becomes a privacy issue.

Can you add some nasty-sounding legalese to it?

(Reply to this) (Parent)

	maksa 2007-05-30 07:24 am UTC (link)
	Ожидание ответа с www.livejournal.com… Ожидание ответа с account.livejournal.com… Ожидание ответа с lj.kommersant.ru… (Reply to this)

Username:		Create an Account Forgot your login or password? Login w/ OpenID
Password:
	Remember Me
	English • Español • Deutsch • Русский…

About

Help

Get Involved

Legal

Store

LJ Labs