Precedente :: Successivo |
Autore |
Messaggio |
Zeus News Ospite
|
|
Top |
|
|
spacexplorer Dio minore
Registrato: 08/10/09 10:22 Messaggi: 610
|
Inviato: 23 Feb 2012 19:16 Oggetto: Password in chiaro, mi raccomando! |
|
|
La prima regola quando si gestisce un servizio protetto da password è NON
MEMORIZZARE le password ma solo i loro hash, poi mi chiaman talebano quando
classifico certi scribacchia-codice e/o loro prodotti come "spazzatura",
questo quando c'è da essere politically correct eh!
Per i non tecnici l'hash è una funzione (una famiglia di funzioni) matematiche
che dato un certo input di qualsivoglia lunghezza ritorna una piccola serie di
lettere e numeri di lunghezza fissa dalla quale è praticamente impossibile
risalire all'input originale ma che identifica univocamente questo. Un es.
veloce se usate GNU/ Linux, dal terminale:
echo "La mia super password" | md5sum
che restituisce
5efec5be3d5200982cd2d6aaf5c0e6f9 -
se si cambia qualsiasi cosa, anche un bit su un miliardo l'hash sarà diverso,
es:
echo "la mia super password" | md5sum
64871e09c8c59ba94cec263d0372bb46 -
se salvate l'hash anche se questo viene preso chi lo prende non è in grado di
risalire alle password originali né di accedere tramite gli hash al servizio.
Per i tecnici, si lo so che l'md5 non è il migliore degli esempi ma rende bene
l'idea ed è presente in ogni install GNU/Linux desktop che abbia mai visto... |
|
Top |
|
|
mda Dio maturo
Registrato: 01/11/06 09:39 Messaggi: 6648 Residenza: Figonia
|
Inviato: 24 Feb 2012 03:48 Oggetto: |
|
|
VERISSIMO!
Ma anche conservare le email senza un redirect ad un servizio che le faceva diventare anonime e i nomi/cognomi non crittografati (se non assenti) è una grossa pecca.
Infatti cosa serve avere le email e nomi e cognomi in un database di quel genere? Dopo la registrazione, di solito 24ore dopo, vanno scaricati e passati ad altro server per eventuali servizi e si tiene solo un riferimento al DB.
Questo è ABC della sicurezza!!!
Ciao |
|
Top |
|
|
Blind Guardian Semidio
Registrato: 26/07/07 14:23 Messaggi: 497 Residenza: Frankfurt
|
Inviato: 24 Feb 2012 10:11 Oggetto: |
|
|
Non credo siano poi così tanti quelli che usano "youporn123456789" o "anal" per la propria posta elettronica... |
|
Top |
|
|
Zorro Dio maturo
Registrato: 23/08/05 08:56 Messaggi: 1111 Residenza: Torino
|
Inviato: 24 Feb 2012 10:52 Oggetto: |
|
|
Tremo all'idea di cosa succederebbe se venissero trafugate le vero identità degli utenti dell'Olimpo
|
|
Top |
|
|
ilcoro Eroe
Registrato: 30/10/06 17:52 Messaggi: 43
|
Inviato: 24 Feb 2012 13:08 Oggetto: qualche speranza per i "tracciati" |
|
|
leggendo i dati "trafugati", questi sembrerebbero essere non tanto i dati registrati sul db (e quindi realmente forniti dall'utente), quanto piuttosto il log dei tentativi accesso.
male aver conservato il passaggio di dati in chiaro.
e terribile (!!!) aver lasciato i log in una cartella pubblica.
però non è detto che quei dati siano veri (e quindi riutilizzabili). o meglio: solo chi ha messo le mani sull'intero log potrebbe saperlo (dal'esito: errore o login ok).
altrimenti non si spiegherebbero alcune righe, con lo indirizzo email ripetuto ma password diversa (non posso credere non facciano neanche il controllo dell'esistenza dell'indirizzo email...) e addirittura indirizzi email mal formati ("aaaaaaa").
se è come penso, la cosa è anche più grave: se infatti è vero che è stato loggato anche chi ha messo i dati veri, il quale quindi rischia qualcosina se usa la stessa password per i suoi accessi in giro per la rete (ma di queste persone non ce ne frega nulla, giusto? fatti loro, se la son cercata), la cosa "divertente" e preoccupante è che chiunque avrebbe potuto (o potrebbe ancora, chi lo sa... :->) lanciare uno script per tentare l'accesso al servizio con qualunque indirizzo email egli conosca. sputt*nando così inconsapevoli anime candide... |
|
Top |
|
|
Kalandra Dio minore
Registrato: 17/10/05 09:58 Messaggi: 776
|
Inviato: 25 Feb 2012 08:41 Oggetto: |
|
|
Zorro ha scritto: | Tremo all'idea di cosa succederebbe se venissero trafugate le vero identità degli utenti dell'Olimpo
|
incomincia a tremare.. c'è troppa gente che ha bisogno di dar un volto alle idee per dar valore al proprio portafoglio.
e gli basta anche solo collegarti una mail. |
|
Top |
|
|
Stx Dio minore
Registrato: 07/07/08 13:38 Messaggi: 730 Residenza: In coda sulla Tangenziale Est
|
Inviato: 27 Feb 2012 15:29 Oggetto: |
|
|
Blind Guardian ha scritto: | Non credo siano poi così tanti quelli che usano "youporn123456789" o "anal" per la propria posta elettronica... |
Oh.. chi ti ha dato le mie password?!?!? |
|
Top |
|
|
MaXXX eternal tiare Dio maturo
Registrato: 18/02/09 11:13 Messaggi: 2290 Residenza: Dreamland
|
Inviato: 29 Feb 2012 21:53 Oggetto: |
|
|
La cosa interessante sarebbe quella di sapere come mai youporn ha esternalizzato il servizio di chat e lo ha dato a terzi..per di più ad un azienda superficiale dato quello che è successo. Mi viene in mente la questione risparmio, in fondo la sicurezza costa tempo e denaro ma salva dalle figure di merda |
|
Top |
|
|
|