Strona 1 z 2 12 OstatniOstatni
Pokaż wyniki 1 do 10 z 17

Temat: Co o tym myslicie?

  1. #1
    Zarejestrowany
    Jun 2009
    Postów
    9

    Domyślnie Co o tym myslicie?


  2. #2
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    system poruwnan
    ja bym uwazal :O
    tak na powaznie, skoro tylko ty widzisz swoje haslo a inni nie, zagrozenie jest znikome?
    War, war never changes.

  3. #3
    Zarejestrowany
    Jun 2009
    Postów
    9

    Domyślnie

    To administrator pisze o przechwytywaniu. Autorowi watku chodzi raczej o to czy hasla sa przechowywane otwartym tekstem. Administrator moze je czytac?

    Jak myslcie?

  4. #4
    Zarejestrowany
    Sep 2006
    Postów
    1,227

    Domyślnie

    Jeżeli hasło nie zostało wpisane przez użytkownika (podczas bieżącej sesji), a występuje w plaintext, to musi być zapisane planitext:
    • na serwerze (baza danych),
    • w sesji,
    • w cookies

    Sprawdź zawartość swojego ciastka.

    hasła mogą zobaczyc tylko ich właściciele .. i tak powinno pozostać
    Nikt nigdy nie powinien mieć możliwości podglądu hasła. Nie ma żadnych powodów, aby wprowadzać taką opcję.
    "Zapomniał"? Od tego są systemy przypominania.

    Myślę, że rację ma użytkownik. Słusznie zwrócono uwagę na "gołe" występowanie hasła. Nie stosuje się takich metod do ich zamiany (patrz wszystkie aplikacje webowe open-source).

    Natomiast administracja może mieć asa w rękawie, który gwarantuje bezpieczeństwo użytkownika. Zdradzenie tej tajemnicy by się równało z kompromitacją systemu, więc nigdy by nie zdradzili tej metody.

  5. #5
    Zarejestrowany
    Jun 2009
    Postów
    9

    Domyślnie

    Pisze w imieniu kolegi ktory nie chce sie w tym babrac. Powiedzial mi tylko ze w ciastku nie ma hasla otwartym tekstem. Mowi mi ze sa tylko jakies dziwne cyferki.

    Logowanie jest tutaj: www.extraserv.pl

    Gdy zaloguje sie tym formularzem w lewym gornym logu - trzeba przeklikac kilka opcji zeby dostac sie do tej strony z "zagwiazdkowanym haslem".

  6. #6
    Zarejestrowany
    May 2008
    Skąd
    Katowice
    Postów
    59

    Domyślnie

    Administrator moze je czytac?
    Jak myslcie?
    Adminstrator, tak czy inaczej moze miec dostep do hasla. Moze je "podejzec" tuz przed wyliczeniem skrotu. Glowny problem to konsekwencje potencjalnej kompromitacji systemu. Hasla przechowywane w postaci plain text + czesta praktyka, jaka jest uzywanie tego samego hasla w kliku miejscach = klopoty!

  7. #7
    Zarejestrowany
    Jun 2009
    Postów
    9

    Domyślnie

    Mnie zdumila ta zmiana. Mieli zabezpieczyc hasla i co? Dodali gwiazdki?

    To wyglada bardzo podejrzanie.

    Kolega stwierdzil ze "pier to" bo haslo ma indywidualne dla tej firmy. Ale podejrzewam ze jest to wyjatek. Ja tez mam serwer u nich i przyznam ze moje allegro + mail + gra maja identyczne hasla.

    Na dodatek na moim serwerze jest zarejestrowanych ok 90 kont. Firma dziala w dziwny sposob. Jeszcze nigdy nie dostalem zadnej faktury albo rachunku. Nie wiem co o tym myslec.

  8. #8
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Stary trik... jesli dasz "zapomnialem hasla" i przysla Ci haslo ktore miales to wtopa - przechowuja je plain-text
    Druga wskazowka co do tego jak przekazywane sa hasla to informacja czy sa jakies ograniczenia dotyczace dlugosci hasel - np jesli firma mowi ze 6-12 znakow to znaczy ze na 99% ma plaintext i pole w bazie danych ma dlugosc 12 znakow (albo skracaja dluzsze hasla do 12 znakow). Gdyby przechowywali hash'e to dlugosc hasla nie ma znaczenia - hash bedzie zawsze mial tyle samo znakow.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

  9. #9
    Zarejestrowany
    Jun 2009
    Postów
    9

    Domyślnie

    Wlasnie przetestowalismy z kolega. Haslo przychodzi zwyklym tekstem na maila.

    Czyli nic nie koduja? No to ladnie.

  10. #10
    Zarejestrowany
    Jun 2006
    Skąd
    rand(.eu)
    Postów
    8,748

    Domyślnie

    Oczywiscie ze nie koduja bo inaczej jak mogliby wyslac Ci haslo ktore masz ustawione? Gdyby mieli w bazie hash hasla to musieliby wyslac mailem link albo nowe, tymczasowe haslo, ktore bedziesz musial zmienic przy pierwszym logowaniu.
    ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)

Strona 1 z 2 12 OstatniOstatni

Podobne wątki

  1. Co o tym sądzicie?
    By lukasz6547 in forum Off Topic
    Odpowiedzi: 19
    Autor: 05-28-2008, 16:12
  2. Co o tym myslicie?
    By lukasson in forum Off Topic
    Odpowiedzi: 16
    Autor: 03-24-2008, 13:30
  3. Zacznijmy rozmawiać w tym dziale
    By I_v0 in forum AIX/HP-UX/IRIX/SUN/SCO
    Odpowiedzi: 4
    Autor: 07-18-2007, 13:32
  4. Co można z tym zrobic
    By Guzik1252 in forum Hacking
    Odpowiedzi: 2
    Autor: 01-27-2007, 19:32

Tagi

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52