Prijavi se z GoogleID

» »

Bizaren hrošč pri Amazonu omogoča prijavo z napačnim geslom

Bizaren hrošč pri Amazonu omogoča prijavo z napačnim geslom

Heise - Na Redditu so odkrili bizaren hrošč v Amazonovem sistemu za prijavo, ki omogoča prijavo tudi z variantami gesla. Hrošč se pojavi le v primeru, da uporabnik svojega gesla v zadnjih letih ni spremenil. Takrat se upošteva le prvih osem črk gesla, ostanek pa je lahko povsem naključen, pa bo Amazon še vedno pustil prijavo. Hrošč tudi pokvari razlikovanje med velikimi in malimi črkami, tako da je prijava mogoča s poljubno kombinacijo. Testi na Heise so pokazali, da so ranljiva gesla, ki so bila starejša od enega leta, čeprav nekateri problema niso mogli ponoviti niti s starejšimi gesli. Rešitev je zelo enostavna: ob zamenjavi gesla, četudi ga zamenjate z istim, hrošč izgine.

14 komentarjev

lurker ::

To pomeni, da gesla hranijo v originalni obliki in imajo vklopljen 'grandma' mode?

techfreak :) ::

So zakodirani, ampak očitno samo prvih 8 znakov, ostale pa ne upošteva.

Osprey ::

Če bi bili zakodirani, ne bi bilo možno, da naenkrat več ne razlikuje med velikimi in malimi črkami in da v prvih letih upošteva vse znake gesla, kasneje pa ne.

techfreak :) ::

Kje pa piše, da je upoštevalo te stvari v prvih letih?

Osprey ::

Jaz sem tako razumel novico. Dobro preberi.

arjan_t ::

techfreak :) je izjavil:

Kje pa piše, da je upoštevalo te stvari v prvih letih?


em?

ob zamenjavi gesla, četudi ga zamenjate z istim, hrošč izgine

ender ::

techfreak :) je izjavil:

So zakodirani, ampak očitno samo prvih 8 znakov, ostale pa ne upošteva.
To se sliši kot stari crypt DES hash.
There are only two hard things in Computer Science:
cache invalidation, naming things and off-by-one errors.

kanzyani ::

zanimivo, vendar na amazonk.co.uk ta stvar ne dela..

techfreak :) ::

kanzyani je izjavil:

zanimivo, vendar na amazonk.co.uk ta stvar ne dela..

Seveda deluje. Kdaj si ga nazadnje spremenil?

Zgodovina sprememb…

Jst ::

Nikoli, registriral sem se že kar nekaj let nazaj (mogoče 2007?) in če vnesem samo prvih osem znakov, me ne spusti naprej.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|

Uros!no ::

Če je kaj bizaren.. je to naslov novice.

IvoJan ::

Naslov si pobral iz 24ur.com? Tako je napisano da si clovek misli da dela vsaka random beseda namesto gesla.
|MSI Z270 GAMING M3|7700k@5GHz|NZXT Kraken X62|
|16gb g.skill rgb ddr4|MSI RTX2080 x trio|850 evo 500gb|toshiba 3TB storage|
|Corsair HX1000i|lian-Li PC011 razer|

c3p0 ::

24kur virus se širi, samo da se nabira klike. Pusti povezavo z resničnostjo in vsebino...

matejdro ::

Ne vem no, tale hrošč se mi ne zdi tako kritičen:

1. Vpliva samo na manjšino ljudi, ki imajo geslo daljše od 8 znakov in ga niso zamenjali že celo leto (ponavadi tisti, ki imajo tako dolga gesla, hočejo biti kar dobro zavarovani, zato gesla tudi redno menjavajo).
2. Če ne veš gesla, dvomim da boš vedel ravno prvih 8 znakov.

Zgodovina sprememb…

  • spremenil: matejdro ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Bizaren hrošč pri Amazonu omogoča prijavo z napačnim geslom

Oddelek: Novice / Varnost
143963 (2899) matejdro
»

Preverjenje username v HTML

Oddelek: Izdelava spletišč
5569 (569) Volk|
»

Win Xp mreža

Oddelek: Programska oprema
161029 (791) ToniT
»

It's a bug but it's not a feature

Oddelek: Slo-Tech
7660 (507) Loki
»

Nov IE hrošč

Oddelek: Novice / Brskalniki
71605 (1605) jeti

Več podobnih tem