» »

Bizaren hrošč pri Amazonu omogoča prijavo z napačnim geslom

Bizaren hrošč pri Amazonu omogoča prijavo z napačnim geslom

Heise - Na Redditu so odkrili bizaren hrošč v Amazonovem sistemu za prijavo, ki omogoča prijavo tudi z variantami gesla. Hrošč se pojavi le v primeru, da uporabnik svojega gesla v zadnjih letih ni spremenil. Takrat se upošteva le prvih osem črk gesla, ostanek pa je lahko povsem naključen, pa bo Amazon še vedno pustil prijavo. Hrošč tudi pokvari razlikovanje med velikimi in malimi črkami, tako da je prijava mogoča s poljubno kombinacijo. Testi na Heise so pokazali, da so ranljiva gesla, ki so bila starejša od enega leta, čeprav nekateri problema niso mogli ponoviti niti s starejšimi gesli. Rešitev je zelo enostavna: ob zamenjavi gesla, četudi ga zamenjate z istim, hrošč izgine.

14 komentarjev

lurker ::

To pomeni, da gesla hranijo v originalni obliki in imajo vklopljen 'grandma' mode?

techfreak :) ::

So zakodirani, ampak očitno samo prvih 8 znakov, ostale pa ne upošteva.

Osprey ::

Če bi bili zakodirani, ne bi bilo možno, da naenkrat več ne razlikuje med velikimi in malimi črkami in da v prvih letih upošteva vse znake gesla, kasneje pa ne.

techfreak :) ::

Kje pa piše, da je upoštevalo te stvari v prvih letih?

Osprey ::

Jaz sem tako razumel novico. Dobro preberi.

arjan_t ::

techfreak :) je izjavil:

Kje pa piše, da je upoštevalo te stvari v prvih letih?


em?

ob zamenjavi gesla, četudi ga zamenjate z istim, hrošč izgine

ender ::

techfreak :) je izjavil:

So zakodirani, ampak očitno samo prvih 8 znakov, ostale pa ne upošteva.
To se sliši kot stari crypt DES hash.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

kanzyani ::

zanimivo, vendar na amazonk.co.uk ta stvar ne dela..

techfreak :) ::

kanzyani je izjavil:

zanimivo, vendar na amazonk.co.uk ta stvar ne dela..

Seveda deluje. Kdaj si ga nazadnje spremenil?

Zgodovina sprememb…

Jst ::

Nikoli, registriral sem se že kar nekaj let nazaj (mogoče 2007?) in če vnesem samo prvih osem znakov, me ne spusti naprej.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Uros!no ::

Če je kaj bizaren.. je to naslov novice.

IvoJan ::

Naslov si pobral iz 24ur.com? Tako je napisano da si clovek misli da dela vsaka random beseda namesto gesla.
|TUF X670E plus WIFI|7900X3D|arctic LF2 360mm|
|64gb 6000 CL30 ddr5|Manli RTX4090 Gallardo|P5+ 2TB nvme|
|P3+ 2TB nvme|Corsair HX1000i|Meshify 2|

c3p0 ::

24kur virus se širi, samo da se nabira klike. Pusti povezavo z resničnostjo in vsebino...

matejdro ::

Ne vem no, tale hrošč se mi ne zdi tako kritičen:

1. Vpliva samo na manjšino ljudi, ki imajo geslo daljše od 8 znakov in ga niso zamenjali že celo leto (ponavadi tisti, ki imajo tako dolga gesla, hočejo biti kar dobro zavarovani, zato gesla tudi redno menjavajo).
2. Če ne veš gesla, dvomim da boš vedel ravno prvih 8 znakov.

Zgodovina sprememb…

  • spremenil: matejdro ()

Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Gmail android app - problem

Oddelek: Programska oprema		142830 (1456) zuz3k
»

OS X Lion v poslovnih okoljih omogoča prijavo brez gesla

Oddelek: Novice / Varnost		4011400 (9267) Bistri007
»

Slaba varnost sistema MacOS X (strani: 1 2 3 )

Oddelek: Novice / Varnost		10027482 (23398) Bistri007
»

Bizaren hrošč pri Amazonu omogoča prijavo z napačnim geslom

Oddelek: Novice / Varnost		145594 (4530) matejdro

Več podobnih tem