Forum » Izdelava spletišč » Gambit trade in enaa.com - varnostni fail?
Gambit trade in enaa.com - varnostni fail?
MisterR ::
Enaa.com shranjuje gesla uporabnikov v plain text obliki! In ker za to trgovino stoji priznano in uspešno podjetje me zanima ali se res niso ničesar naučili v letu 2010 in 2011?
Čemu so objavljali novice o vdorih v sony in ostala podjetja ter o tem kako so slabo poskrbeli za varnost, če pa sami shranujejo gesla v plain text!?!
Čemu so objavljali novice o vdorih v sony in ostala podjetja ter o tem kako so slabo poskrbeli za varnost, če pa sami shranujejo gesla v plain text!?!
KoMar- ::
FrEaKmAn, uporabiš funkcijo Pozabljeno geslo in če na mejl dobiš pravo geslo, jih očitno nimajo shranjenih v hash obliki...
Sej Bolha je ista. Sem si takoj dal eno drugo geslo.
Sej Bolha je ista. Sem si takoj dal eno drugo geslo.
dolegar ::
Ni nujno, da je plain tekst. Lahko revimo uporabijo dvosmerno kriptiranje. Kar je recimo varno dolker se kdo ne dokoplje do fajla, ki kriptira podatke.
ThinkPad T60 (intel Core2duo T7400 @ 2.16GHz)
15.4" 1680×1050 FlexView
Ram: 2GB Disk: Hitachi 120GB
15.4" 1680×1050 FlexView
Ram: 2GB Disk: Hitachi 120GB
MisterR ::
dolegar definitivno ne uporabljajo dvosmernega kriptiranja, ker tudi če bi ga, je 99% verjetnosti da bi uporabili javno dostopno in brezplačno funkcijo.
DiTi si jih povprašal na kak način?
DiTi si jih povprašal na kak način?
overlord_tm ::
Daj jih vprasaj za podrobnosti zascite. Drugace slovenske spletne trgovine niso ravno perla. Sploh tiste, ki so plod domacega (ne)znanja.
Jaz ne vidim nobene prednosti pri uporabi enkripcije za shranjevanje gesel v primerjavi z enosmernimi hash funkcijami ... anyone?
Jaz ne vidim nobene prednosti pri uporabi enkripcije za shranjevanje gesel v primerjavi z enosmernimi hash funkcijami ... anyone?
MisterR ::
Nikoli ne veš kdo je na drugi strani linije (maila) :) In glede nato, da spremljajo forum bodo malo razmislili.
BigWhale ::
Geslo, ki je zasciteno z dvosmernim kriptiranjem je priblizno tako, kot ce bi imel na vratih univerzalno kljucavnico. ;>
DiTi ::
največji problem je pa da ne moreš odstranit računa, pa tudi spremembo gesla nisem našel nikjer.
Furbo ::
A če bom jaz zdaj priletel na en forum pa z velikimi napisal SIOL, NLB, SKB.. IMAJO GLESLA V .TXT, brez kakršnekoli utemeljitve in niti D od dokaza, bo folk kar verjel in panično odreagiral?
i5-13600K, Noctua NH-D15, STRIX Z790-F, 32GB DDR5, 2TB Samsung 990PRO,
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
Toughpower GF3 1000W, RTX3070, ALIENWARE AW3423DWF, Dell S2722QC
KoMar- ::
RejZoR ::
A če bom jaz zdaj priletel na en forum pa z velikimi napisal SIOL, NLB, SKB.. IMAJO GLESLA V .TXT, brez kakršnekoli utemeljitve in niti D od dokaza, bo folk kar verjel in panično odreagiral?
Siol je imel ne tko hudo dolgo nazaj omejena gesla na maksimalno 8 znakov. Kateri debil gre omejit zgornjo mejo? Omejuje se spodnjo, da si folk ne daje prekratkih gesel lol...
Angry Sheep Blog @ www.rejzor.com
dolegar ::
Geslo, ki je zasciteno z dvosmernim kriptiranjem je priblizno tako, kot ce bi imel na vratih univerzalno kljucavnico. ;>
ker? osebno mislim, da ni dosti razlike. V obeh primerih, če pridejo do baze (ne pa do fajlov, ki kriptirajo/hashirajo), si ne morejo dosti pomagati z gesli.
Če pa pridejo do kode pa je problem pri obeh, pri hashiranih lahko recimo spremenijo hash v bazi in se prijavijo in delajo probleme uporabniku. Pri kriptiranih geslih pa vidijo osnovno geslo in se tako prijavijo v sistem... Pri kriptiranih pa je v tem primeru še dodaten problem, ker ponavadi uporabniki uporabljajo enako geslo še za druge servise... maili in pdobno, in lahko na lahek način pridejo še do kakih drugih podatkov oz.
malo sem posplošil zadevo, da ne dolgovezim preveč.
lp
ThinkPad T60 (intel Core2duo T7400 @ 2.16GHz)
15.4" 1680×1050 FlexView
Ram: 2GB Disk: Hitachi 120GB
15.4" 1680×1050 FlexView
Ram: 2GB Disk: Hitachi 120GB
BigWhale ::
Ce nekdo pride do baze, potem precej verjetno pride tudi do kode. Ce pride do kode, potem pride tudi do dvosmernega kljuca s katerimi so gesla kriptirana. Pride tudi do emailov uporabnikov in ravno zaradi tega, ker ima marsikdo enako geslo na vec razlicnih servisih lahko pride do zlorabe tudi drugje.
Ce so gesla kriptirana z enosmernim kljucem, potem do zgoraj opisanega problema ne pride.
Tezava pa nastane tudi takrat, ce nekdo dobi dostop do kaksne varnostne kopije, kjer je kaksna malo starejsa baza in so v njej se vedno povsem veljavna gesla.
Ce so gesla kriptirana z enosmernim kljucem, potem do zgoraj opisanega problema ne pride.
Tezava pa nastane tudi takrat, ce nekdo dobi dostop do kaksne varnostne kopije, kjer je kaksna malo starejsa baza in so v njej se vedno povsem veljavna gesla.
Vredno ogleda ...
| Tema | Ogledi | Zadnje sporočilo | |
|---|---|---|---|
| Tema | Ogledi | Zadnje sporočilo | |
| » | Kako deluje Salt kriptiranje gesla?Oddelek: Programiranje | 2655 (2294) | MrStein |
| » | Hotmail gesla kar po domače rezal na 16 znakov (strani: 1 2 )Oddelek: Novice / Varnost | 18747 (15425) | BaToCarx |
| » | Sony PlayStation Network nazaj prihodnji teden, številke kreditnih kartic so bile šifOddelek: Novice / Zasebnost | 15371 (14031) | opeter |
| » | Ja ja spet "Pozabljeno geslo" (strani: 1 2 )Oddelek: Pomoč in nasveti | 6791 (5236) | bosmla |
| » | Skrivanje geselOddelek: Izdelava spletišč | 3159 (2399) | Tr0n |