CNet - Prejšnji mesec smo pisali o malomarnosti skrbnikov strani RockYou, ki so uporabniška imena in gesla hranili kar v tekstovni obliki v bazi, ki je bila povrhu še občutljiva na napad SQL injection. Kdor izziva nesrečo, si je kriv sam, in tudi v tem primeru se je našel nepridiprav, ki je izkoristil na stežaj odprta vrata in odtujil 30 milijonov uporabniških podatkov. RockYou je reagiral slabo, saj so najprej poskusili vse skupaj zamolčati, nato pa so uporabnike obvestili z veliko zamudo.
Alan Claridge iz Indiane je mnenja, da je takšno varovanje podatkov nedopustno, zato podjetje RockYou toži, ker niso uspeli zagotoviti zaščite podatkov. Tožbo je vložil v ponedeljek na sodišču v San Franciscu, prizadeva pa si, da bi dobila status skupinske tožbe (class action). V tožbi piše, da je RockYou lahkomiselno in zavedno opustil najosnovnejše korake za zaščito podatkov, uporabnike pa obvestil šele 12 dni po vdoru. V devetih točkah jim očita malomarnost, kršitev pogodbe, kršitev kalifornijskih Computer Crime Law in Security Breach Information Act itn. Wendy Zaas, predstavnica podjetja RockYou za stike z javnostmi, je dejala, da so s tožbo seznanjeni in da se bodo srdito branili. Dodala je, da podjetje varnost uporabniških podatkov jemlje zelo resno.
Novice » Varnost » RockYou tožen zaradi izgube gesel
ALT ::
edino prav, naj se kar prelevi v class action. bo marsikatera stran premislila o svoji politiki glede varnosti.
arjan_t ::
Lahko jemljejo zelo resno, ampak so pač nesposobni.
da to zamolčiš težko šteješ pod nesposobnost
techfreak :) ::
Še dobro da nimajo kar preko javascripta gesla pa imena shranjena ...
Edit: Kje so sploh dobili PHP programerje brez znanja o nevarnosti SQL injection? Oz. kje so se ti programerji učili? Ker povsod opozarjajo na SQL injection nevarnosti, v knjigah, v tutorialih itd.
Edit: Kje so sploh dobili PHP programerje brez znanja o nevarnosti SQL injection? Oz. kje so se ti programerji učili? Ker povsod opozarjajo na SQL injection nevarnosti, v knjigah, v tutorialih itd.
Zgodovina sprememb…
- spremenil: techfreak :) ()
drola ::
Khm... jaz sem prvič slišal za sql injection kar precej časa po tem, ko sem naletel na prvi tutorial. Posledično sem napisal kar precej nevarne kode... (k sreči ni ničesar od tega več na netu).
Vsaj par let nazaj ni bilo o XSS in o sql injection ničesar v literaturi.
Vsaj par let nazaj ni bilo o XSS in o sql injection ničesar v literaturi.
https://drola.si
BlueRunner ::
Za LINQ vem, da "iz škatle" dobiš LINQ to SQL, ki podpira MSSQL, ne vem pa za podporo drugim RDBMS-jem.
linq provider se da obesit praktično na vse , celo na grafično(btw ja obstaja za mysql).
Poudaril to, kar sem rekel. 3rd party ni iz škatle.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Rdečelaske izbirajo najbolje, moški so za raznolikost, ženske za dolžino (strani: 1 2 )Oddelek: Novice / Varnost | 25838 (21638) | MrStein |
» | Novi varni pristan, tretjič: Youtube Content IDOddelek: Novice / Avtorsko pravo | 14767 (12099) | jype |
» | RockYou zaradi malomarnega ravnanja z uporabniškimi podatki oglobljen z 250 tisoč dolOddelek: Novice / Zasebnost | 4756 (3743) | hruske |
» | PHP vs. ASP.NET vs. $OTHER (strani: 1 2 3 4 )Oddelek: Programiranje | 13942 (11297) | Spura |
» | Večina gesel ni varnihOddelek: Novice / Zasebnost | 5187 (3698) | Jst |