Olimpo Informatico

Zeus News · Ospite

Commenti all'articolo YouPorn, oltre 6.000 utenti alla berlina
Indirizzi e password di migliaia di utenti della chat di YouPorn sono stati trafugati e resi pubblici.

Foto di Scott Griessel

spacexplorer · Dio minore Registrato: 08/10/09 10:22 Messaggi: 610

La prima regola quando si gestisce un servizio protetto da password è NON
MEMORIZZARE le password ma solo i loro hash, poi mi chiaman talebano quando
classifico certi scribacchia-codice e/o loro prodotti come "spazzatura",
questo quando c'è da essere politically correct eh!

Per i non tecnici l'hash è una funzione (una famiglia di funzioni) matematiche
che dato un certo input di qualsivoglia lunghezza ritorna una piccola serie di
lettere e numeri di lunghezza fissa dalla quale è praticamente impossibile
risalire all'input originale ma che identifica univocamente questo. Un es.
veloce se usate GNU/ Linux, dal terminale:
echo "La mia super password" | md5sum
che restituisce
5efec5be3d5200982cd2d6aaf5c0e6f9 -

se si cambia qualsiasi cosa, anche un bit su un miliardo l'hash sarà diverso,
es:
echo "la mia super password" | md5sum
64871e09c8c59ba94cec263d0372bb46 -
se salvate l'hash anche se questo viene preso chi lo prende non è in grado di
risalire alle password originali né di accedere tramite gli hash al servizio.

Per i tecnici, si lo so che l'md5 non è il migliore degli esempi ma rende bene
l'idea ed è presente in ogni install GNU/Linux desktop che abbia mai visto...

mda · Inviato: 24 Feb 2012 03:48 Oggetto:

VERISSIMO!

Ma anche conservare le email senza un redirect ad un servizio che le faceva diventare anonime e i nomi/cognomi non crittografati (se non assenti) è una grossa pecca.

Infatti cosa serve avere le email e nomi e cognomi in un database di quel genere? Dopo la registrazione, di solito 24ore dopo, vanno scaricati e passati ad altro server per eventuali servizi e si tiene solo un riferimento al DB.

Questo è ABC della sicurezza!!!

Ciao

Blind Guardian · Inviato: 24 Feb 2012 10:11 Oggetto:

Non credo siano poi così tanti quelli che usano "youporn123456789" o "anal" per la propria posta elettronica...

Zorro · Inviato: 24 Feb 2012 10:52 Oggetto:

Tremo all'idea di cosa succederebbe se venissero trafugate le vero identità degli utenti dell'Olimpo Embarassed

ilcoro · Eroe Registrato: 30/10/06 17:52 Messaggi: 43

leggendo i dati "trafugati", questi sembrerebbero essere non tanto i dati registrati sul db (e quindi realmente forniti dall'utente), quanto piuttosto il log dei tentativi accesso.

male aver conservato il passaggio di dati in chiaro.
e terribile (!!!) aver lasciato i log in una cartella pubblica.

però non è detto che quei dati siano veri (e quindi riutilizzabili). o meglio: solo chi ha messo le mani sull'intero log potrebbe saperlo (dal'esito: errore o login ok).

altrimenti non si spiegherebbero alcune righe, con lo indirizzo email ripetuto ma password diversa (non posso credere non facciano neanche il controllo dell'esistenza dell'indirizzo email...) e addirittura indirizzi email mal formati ("aaaaaaa").

se è come penso, la cosa è anche più grave: se infatti è vero che è stato loggato anche chi ha messo i dati veri, il quale quindi rischia qualcosina se usa la stessa password per i suoi accessi in giro per la rete (ma di queste persone non ce ne frega nulla, giusto? fatti loro, se la son cercata), la cosa "divertente" e preoccupante è che chiunque avrebbe potuto (o potrebbe ancora, chi lo sa... :->) lanciare uno script per tentare l'accesso al servizio con qualunque indirizzo email egli conosca. sputt*nando così inconsapevoli anime candide...

Kalandra · Dio minore Registrato: 17/10/05 09:58 Messaggi: 776

Stx · Inviato: 27 Feb 2012 15:29 Oggetto:

MaXXX eternal tiare · Inviato: 29 Feb 2012 21:53 Oggetto:

La cosa interessante sarebbe quella di sapere come mai youporn ha esternalizzato il servizio di chat e lo ha dato a terzi..per di più ad un azienda superficiale dato quello che è successo. Mi viene in mente la questione risparmio, in fondo la sicurezza costa tempo e denaro ma salva dalle figure di merda Wink