#1 2010-10-04 12:26:49

davidg
Endora uživatel
Registrován: 2010-09-23
Příspěvky: 208
Web

Re: Ukladanie hesiel na Endore

Uz ma unavuje neustale citat spravy typu "hack uctu" ci podobne ...
<!-- l --><a class="postlink-local" href="http://podpora.endora.cz/viewtopic.php?f=14&t=1717">viewtopic.php?f=14&t=1717</a><!-- l -->

Chcel by som sa pana admina spytat na par otazok ..

1.) Preco je maximalna dlzka prihlasovacieho mena obmedzena na 6 znakov ?
2.) Preco drzite prihlasovacie heslo vo vasej DB v nesifrovanej podobe ? - To mi je jasne lebo inak by ste mi ho nevedeli poslat keby ste pouzivali hash ako vsetci ostatny ...
3.) Ak obmedzujete prihlasovacie meno tak preco nedate minimalne poziadavky na heslo ? , akoto ze je mozne mat rovnake prihlasovacie meno a heslo ? LOL ....

Mna osobne stve ze drzite vo vasej db moje heslo nehashovane ...
keby ste to aspon hashovali , ked aj obycajnou MD5 a potom uzivatelovi poslali link na
generator noveho hesla ...
Ani nikde nedate vediet ze si heslo ukladate takto !!! To su sukromne data
[ ja osobne som si to aj myslel tak som si dake vymislel , ale voci ostatnym to nieje fer ]

Vzhladom na to ze vetsina uzivatelov pouziva heslo ktore ma na endore aj na email ci pod...
Doporucujem tymto uzivatelom zmenit heslo na endoru .. tolko minimalne mozu spravit ked uz endora
raci ukladat ich hesla bez akehokolvek sifrovania a pan Admin ma k nim pristup !!!

LOL nemam slov .. fakt ma uz zacinaju taketo temy typu "HACK" unavovat ...
Viem ze vetsinou za problemom su samotni uzivatelia ..
Ale aj endora by sa mohla posnazit o lepsie zabezpecenie svojich uzivatelov

A tym ze mate heslo uzivatela ulozene ako PLAIN TEXT !!! sa o to rozhodne nestarate ...

------------------------------PS--------------------------------
Tymto sa nechcem navazat do endory ale na toto musim upozornit
---------------------------------------------------------------------------------



//Edit by davidg - Upraveno 5.10.2010 , Odstranenie velkych fontov


----------PC Expert---------
Digital World Only ...           +
--------------------------------
Overenie ci je stranka bezpecna alebo nie : http://site.cekuj.net/

Offline

#2 2010-10-04 12:32:11

JF
Endora rádce
Místo: ....nice u Plzně
Registrován: 2010-06-22
Příspěvky: 11,938

Re: Ukladanie hesiel na Endore

1. 6 znakov? Moje priezvisko je má 8 a bez problémov sa s ním prihlasujem
2. je samozrejme že hashované heslo by sa nedalo zistiť, ale keď sa už niekto nabúra do databázy tak mu nebude problém to heslo vymeniť za nejaké iné
3. to že si dáš heslo rovnaké ako prihlasovacie meno tak to je tvoja chyba, máš si dať niečo iné čo sa nedá s prihlasovacieho mena odhadnúť

Ber do úvahy že sa jedná o freehosting kde si nemôže majiteľ dovoliť platiť programátora ktorý by hneď všetky nedostatky doprogramoval. Pokiaľ chceš niečo extra prečo nevyužiješ služieb plateného hostingu, napr Ignum, Active24 prípadne nejakého iného?


Ján Fačkovec - Endora.cz by Webglobe
Email, Web, Webadmin, Webmail, Nápověda, Ceník

Offline

#3 2010-10-04 12:44:11

davidg
Endora uživatel
Registrován: 2010-09-23
Příspěvky: 208
Web

Re: Ukladanie hesiel na Endore

Mno dovolim si nesuhlasit zo vsetkym .. napr :

2. je samozrejme že hashované heslo by sa nedalo zistiť, ale keď sa už niekto nabúra do databázy tak mu nebude problém to heslo vymeniť za nejaké iné

Iste , za predpokladu ze nepouzijete niaky system ktory by tomu aspon ciastocne branil
napr : Hash SHA1 metoda :

Co takto hashovat napr takto ?
<uzivatelske_meno>:<heslo>:<id_uctu_v_db>

Finta je v tom ze ten kdo sa nabura do DB o tomto samozrejme vediet nebude ...

Dalej nehashovat heslo je horsie ako pouzit klasicky hash .. nejde len o pristup k uctu
Ide aj o hesla ktore si pan admin moze citat !!! Ako s knihy !!!
Tieto hesla pouzivaju tisicky uzivatelov s najvetsou pravdepodobnostou aj na ine sluzby ako email , chat , facebook a pod ... UVEDOMUJETE SI TO RIZIKO !!! ( nielen admin ale aj vy uzivatelia ktory endore tieto data zverujete )

3. to že si dáš heslo rovnaké ako prihlasovacie meno tak to je tvoja chyba, máš si dať niečo iné čo sa nedá s prihlasovacieho mena odhadnúť

Ja rozhodne nepatrim medzi takych ludi big_smile big_smile big_smile big_smile ...

Ber do úvahy že sa jedná o freehosting kde si nemôže majiteľ dovoliť platiť programátora ktorý by hneď všetky nedostatky doprogramoval. Pokiaľ chceš niečo extra prečo nevyužiješ služieb plateného hostingu, napr Ignum, Active24 prípadne nejakého iného?

Chapem ze je to free .. A tiez chapem ze programatori daco stoja ...
Ale ked si to tak vezmes naco vlastne ? Ved je to len jedna funkcia .. to snad by sa este dalo aj bez
externych programatorov ( ktory si vypeckuju cenu do sameho neba istotne ... )

Co sa mna tyka tak som spokojny az na par nezrovnalosti v zabezpeceni a v moznostiach webadminu
Ostatne je viac ako luxus big_smile ...


----------PC Expert---------
Digital World Only ...           +
--------------------------------
Overenie ci je stranka bezpecna alebo nie : http://site.cekuj.net/

Offline

#4 2010-10-04 13:16:05

admin
Administrátor
Registrován: 2009-05-15
Příspěvky: 4,294

Re: Ukladanie hesiel na Endore

Sem rad ze jste tu spokojen a ze tu tak trochu vyvolavate paniku smile.

1) Uzivatelske jmeno je omezeno na 8 znaku a nemyslim si ze to ma neco spolecneho s bezpecnosti.
2) toto je dlouhodoby problem, pri puvodni verzi administrace. Bohuzel jeho odstraneni neni tak jednoduche jak se muze zdat. Kazdopadne pokud si nekdo dava heslo na endoru stejne jako na jine ucty tak je nezodpovedny. Stejne tak jako kdyz si dava stejne hesklo na jine dva ucty.

Tento problem se bude v nejblizsi dobe resit. Nesouhlasim ale s vasim nazorem ze diky tomu pada svet. Mnoho spolecnosti, napr eshopu udrzuje vsechny hesla v plaintextu.

3) minimalni delka hesla je 6 znaku.

Priste se prosim omezte na vykriky Zabezpecenie endory je slabe !!! a opakovani jiz jednou receneho.

Heslo je v plaintextu - to je fakt a nikdy nebyl tvrzen opak. Jestli se vam to nezda doporucuju hledat jinde. Jste si 100% jist ze na ic.cz tomu tak neni?

Offline

#5 2010-10-04 13:31:50

davidg
Endora uživatel
Registrován: 2010-09-23
Příspěvky: 208
Web

Re: Ukladanie hesiel na Endore

Tento problem se bude v nejblizsi dobe resit. Nesouhlasim ale s vasim nazorem ze diky tomu pada svet. Mnoho spolecnosti, napr eshopu udrzuje vsechny hesla v plaintextu.

O tych eshopech mi daco hovorte ... omg ... to su mantaci podaktory a to uz je fakt vrchol ked ma tento problem eshop. Napr taka alza ma tiez podobne ... skoro som zo stolicky zletel ked som to zistil ...

Co sa tyka tej paniky tak priamoumerne zavaznosti ...
Je pravda ze je nezodpovedne od uzivatelov davat si sem rovnake heslo ako inkde , ale prosim
uvedomte si ze vetsina to tak robi .. nemozete nehashovat hesla a vystavovat tychto ludi bezpecnostnemu riziku
a to ani ked su nerozumny ...

Ja osobne som moc alergicky ked si dakdo moze moje heslo citat .. ovsem inim to je jedno az do chvile
ked im niekdo nenabura account .. Preto rozhodne doporucujem aspon MD5 minimalne aby boli hesla v DB hashovane
ak sa okrem vas (Admina) dakdo dostane do tej DB tak by si ich nevedel len tak precitat ...

1) Uzivatelske jmeno je omezeno na 8 znaku a nemyslim si ze to ma neco spolecneho s bezpecnosti.

To teda ma .. povodne som si chcel dat dlhsie meno a v podstate cim dlhsie je tym je mensia pravdepodobnost
uhadnutia pri ptipadnom utoku + samozrejme fakt ze dany uzivatel moze mat ine prihlasovacie meno ako meno domeny .. coz ide jedine u vas .. na wz, ci ic to nejde ...


Heslo je v plaintextu - to je fakt a nikdy nebyl tvrzen opak. Jestli se vam to nezda doporucuju hledat jinde. Jste si 100% jist ze na ic.cz tomu tak neni?

Nespomynam si ze som dakedy tvrdil ze na ic tomu tak nieje .. to sa mi zial nepodarilo potvrdit ale ani vyvratit ...

Priste se prosim omezte na vykriky Zabezpecenie endory je slabe !!! a opakovani jiz jednou receneho.

To je len varovanie pre uzivatelov ktori sem davaju rovnake heslo ako inkde ... a takych tu mate zrejme vetsinu..

---------------PS-------------------
Samozrejme toto prosim neberte ako dake navazovanie sa do endory ... skvor sa jedna o to
co sa este da zlepsit a co je alarmujuco zle ... skladovanie hesiel takymto sposobom .. mno
neviem ...


----------PC Expert---------
Digital World Only ...           +
--------------------------------
Overenie ci je stranka bezpecna alebo nie : http://site.cekuj.net/

Offline

#6 2010-10-04 13:40:49

admin
Administrátor
Registrován: 2009-05-15
Příspěvky: 4,294

Re: Ukladanie hesiel na Endore

At to uzavru. Zaheshovani hesel je v planu. Je to bezpecnosti problem, ale nemyslim si ze tak velky jak tu prezentujete. Uz dle toho ze tak stale jede 1/4 ceskeho internetu.

Offline

#7 2010-10-04 13:48:21

davidg
Endora uživatel
Registrován: 2010-09-23
Příspěvky: 208
Web

Re: Ukladanie hesiel na Endore

admin napsal:

At to uzavru. Zaheshovani hesel je v planu. Je to bezpecnosti problem, ale nemyslim si ze tak velky jak tu prezentujete. Uz dle toho ze tak stale jede 1/4 ceskeho internetu.

Ok diki .. tato odpoved mi staci.
Dajte mi vediet az to budete mat hotove ..

O velkosti bezpecnostnej chyby netreba hadam diskutovat , o tom viem dost
aby som to mohol posudzovat .. ajked uznam si ze som v tom zabezpeceni kapanek Paranoidny ...
( teda kazda aj mensia chyba je velkou - uznajte vsak ze ked podcenite malu chybu moze sa vam to vymstit
, minimalne kopec spolocnosti doplatilo na male chyby v zabezpeceni ... take maaaaaaaalicccke ... smile )


----------PC Expert---------
Digital World Only ...           +
--------------------------------
Overenie ci je stranka bezpecna alebo nie : http://site.cekuj.net/

Offline

#8 2010-10-04 14:33:18

Dizzy
Člen
Registrován: 2009-06-24
Příspěvky: 102

Re: Ukladanie hesiel na Endore

Milý uživateli davidg,

uvědomte si laskavě, že necháte-li si zaslat emailem Vaše heslo, už pouze tím se vystavujete riziku. Co se týče ukládání hesel, nemůžete vědět, zda-li endora nepoužívá nějaký kryptovací mechanismus (souhlasím s tím, že ty jednosměrné jsou bezpečnější) buď svůj nebo jakýkoliv jiný a jak majitel poukazoval, toto je free hosting. Můžete přejít na placený a začit si platit za Vaše bezpečnostní požadavky. HF

Offline

#9 2010-10-04 15:48:22

Destroyer
Endora rádce
Registrován: 2009-11-01
Příspěvky: 2,097
Web

Re: Ukladanie hesiel na Endore

davidg napsal:

1) Uzivatelske jmeno je omezeno na 8 znaku a nemyslim si ze to ma neco spolecneho s bezpecnosti.

To teda ma .. povodne som si chcel dat dlhsie meno a v podstate cim dlhsie je tym je mensia pravdepodobnost
uhadnutia pri ptipadnom utoku + samozrejme fakt ze dany uzivatel moze mat ine prihlasovacie meno ako meno domeny .. coz ide jedine u vas .. na wz, ci ic to nejde ...

to máš jako u her, když někomu chceš psát přes celou hru používá se email ... aneb známe realid blizzardu kde musíš tomu člověku poslat celý email takže vlastně 1/2 už zná a chybí mu jen heslo

davidg napsal:

O velkosti bezpecnostnej chyby netreba hadam diskutovat , o tom viem dost
aby som to mohol posudzovat .. ajked uznam si ze som v tom zabezpeceni kapanek Paranoidny ...
( teda kazda aj mensia chyba je velkou - uznajte vsak ze ked podcenite malu chybu moze sa vam to vymstit
, minimalne kopec spolocnosti doplatilo na male chyby v zabezpeceni ... take maaaaaaaalicccke ... smile )

tak to abychom si pořídli všichni ty autentifikátory a kromě zadávání hesla bychom museli generovat ještě náhodný kód který se mění každých 30vteřin... bude to otrava ale nebude to možné žádným způsobem obejít, že?  :ugeek:

details_battle.net-mobile-authenticator-1.0.2_233506718.jpg

myslím že kdo chce mít web opravdu na profesionální urovni nebo má velký projekt tak si stejně takový hosting nevybere a koupí si radši virtual nebo něco takového  wink

Offline

#10 2010-10-05 13:58:52

davidg
Endora uživatel
Registrován: 2010-09-23
Příspěvky: 208
Web

Re: Ukladanie hesiel na Endore

Dizzy napsal:

Milý uživateli davidg,

uvědomte si laskavě, že necháte-li si zaslat emailem Vaše heslo, už pouze tím se vystavujete riziku. Co se týče ukládání hesel, nemůžete vědět, zda-li endora nepoužívá nějaký kryptovací mechanismus (souhlasím s tím, že ty jednosměrné jsou bezpečnější) buď svůj nebo jakýkoliv jiný a jak majitel poukazoval, toto je free hosting. Můžete přejít na placený a začit si platit za Vaše bezpečnostní požadavky. HF

Keby endora moje heslo sifrovala nebolo by mozne mi ho emailom zaslat ..
Staci sa trocha zamyslet ... okrem toho admin vravel ze sa hesla nesifruju ...

Destroyer napsal:

to máš jako u her, když někomu chceš psát .....

Precital som si cely tvoj prispevok ... co dodat .. Len tolko ze toto by bolo na free hostingu prehnane ..
maximalne by som to uvital na placenych (aj to len drahych) hostingoch ...


----------PC Expert---------
Digital World Only ...           +
--------------------------------
Overenie ci je stranka bezpecna alebo nie : http://site.cekuj.net/

Offline

#11 2010-10-05 16:00:12

Dizzy
Člen
Registrován: 2009-06-24
Příspěvky: 102

Re: Ukladanie hesiel na Endore

davidg napsal:

Keby endora moje heslo sifrovala nebolo by mozne mi ho emailom zaslat ..
Staci sa trocha zamyslet ... okrem toho admin vravel ze sa hesla nesifruju ...

Připadámi, že tu plácáš své doměnky, aniž bys měl sebemenší přehled o problematice kryptografie. Samozřejmě, že je možné ti zaslat dešifrované heslo ze zašifrovaného uložiště. To, že sis někde na internetu přečetl jak zahashovat v php pomocí md5 řetězec je opravdu pěkné, ale nedostačující  wink

Netvrdím, že admin psal opak...pouze jsem ti objasňoval fakt, že jako koncový uživatel nemáš ani páru, co se s informacemi děje.  roll

Offline

#12 2010-10-06 14:13:03

davidg
Endora uživatel
Registrován: 2010-09-23
Příspěvky: 208
Web

Re: Ukladanie hesiel na Endore

Dizzy napsal:
davidg napsal:

Keby endora moje heslo sifrovala nebolo by mozne mi ho emailom zaslat ..
Staci sa trocha zamyslet ... okrem toho admin vravel ze sa hesla nesifruju ...

Připadámi, že tu plácáš své doměnky, aniž bys měl sebemenší přehled o problematice kryptografie. Samozřejmě, že je možné ti zaslat dešifrované heslo ze zašifrovaného uložiště. To, že sis někde na internetu přečetl jak zahashovat v php pomocí md5 řetězec je opravdu pěkné, ale nedostačující  wink

Netvrdím, že admin psal opak...pouze jsem ti objasňoval fakt, že jako koncový uživatel nemáš ani páru, co se s informacemi děje.  roll

Lol roll tak tohle je uz vrchol .. ak si myslis ze nemam paru co sa s informaci deje tak si na omyle ...
1.) Nepatrim medzi amaterov  :!:
2.) Neuznavam take sifrovanie hesiel ktore sa da akokolvek spetne desifrovat ...
3.) Mam dost dobry prehlad o problematike kryptografie a zabezpeceni dat ci celych systemov
4.) Nikdo tu neplace ak si si nevsimol , pouze ukazujem na mozne bezpecnostne chyby coz ja rad ..

No comment na tvoj post Dizzy  :!:  ...


----------PC Expert---------
Digital World Only ...           +
--------------------------------
Overenie ci je stranka bezpecna alebo nie : http://site.cekuj.net/

Offline

#13 2010-10-06 18:34:42

Dizzy
Člen
Registrován: 2009-06-24
Příspěvky: 102

Re: Ukladanie hesiel na Endore

davidg napsal:

Lol roll tak tohle je uz vrchol .. ak si myslis ze nemam paru co sa s informaci deje tak si na omyle ...
1.) Nepatrim medzi amaterov  :!:
2.) Neuznavam take sifrovanie hesiel ktore sa da akokolvek spetne desifrovat ...
3.) Mam dost dobry prehlad o problematike kryptografie a zabezpeceni dat ci celych systemov
4.) Nikdo tu neplace ak si si nevsimol , pouze ukazujem na mozne bezpecnostne chyby coz ja rad ..

No comment na tvoj post Dizzy  :!:  ...

Stručně jasně...

1/ Promiň, ale prezentuješ se tak.
2/ To je tvá teze. Navíc dosti pokroucená a dalo by se o ní diskutovat.
3/ Patrně nikoliv.
4/ Zvolil jsi geniální způsob poukazování.

// No comment = bez komentáře ... nechápu tedy, proč si sám protiřečíš -> nepoužívej angličtinu, když neznáš význam slov  wink

Offline

Zápatí

Založeno na FluxBB | CZ a SK