ugrás a tartalomhoz

Jelszó tárolás plain textben - flame, panasz, siránkozás...

H.Z. · 2013. Júl. 31. (Sze), 09.14
Kínos meglepetés ért ma reggel.
Egy szolgáltatónál kaptam hozzáférést (ügyfélként :) ) az egyik rendszerhez.
Mivel egy szabvány jelszóval indítanak, első a jelszócsere.
OK. De mi van, ha elfelejtem, mert ezt tuti el fogom...
Hibás jelszóval belépési kísérlet, hibaüzenet, mellette egy link, hogy emlékeztető küldés.
Lássuk! Jön az e-mail, benne a jelszó amit megadtam, tehát vagy plain text vagy visszafejthető kódolással van az tárolva.
Az adatbázisukban épp csak az nincs benne, hogy mit reggeliztem.

Ilyenkor mit csináljak? Tehetetlennek érzem magam. Kis cég, külső fejlesztés. Nem is értenek hozzá, meg egyébként is ez a fejlesztő sara...
Keressem meg a fejlesztőt és említsem meg neki, hogy a PHP-ben már hosszú ideje van crypt függvény? :(
A felületet elnézve, annyira nem lehet régi darab, hogy a készítésekor ne lett volna lehetőség kódolni a jelszót.
 
1

Kis cég

Hidvégi Gábor · 2013. Júl. 31. (Sze), 09.22
A kulcsszó a "kis cég", így nem kell annyira félned tőlük, hogy ők lesznek a feketekalaposok célpontjai.
3

Ja, nem félelem, csak

H.Z. · 2013. Júl. 31. (Sze), 09.32
Ja, nem félelem, csak értetlenkedés. Mert ha kiskorú Szomszéd István az elkövető, akkor azt mondom, hogy rendben van, erre futotta. De a fejlesztő a nevét is adta hozzá, ebből él ki tudja mióta, tehát elvileg profinak számít. És még ilyenek is követnek el ekkora bakikat. Szomorú volt látni, na...
2

Melyik az a cég? :D

szabo.b.gabor · 2013. Júl. 31. (Sze), 09.32
Melyik az a cég? :D
4

nehogy megírd, mert még

szabo.b.gabor · 2013. Júl. 31. (Sze), 09.33
nehogy megírd, mert még valaki ellopja az jelszót..
6

Az egy dolog, de mocorgott

H.Z. · 2013. Júl. 31. (Sze), 09.34
Az egy dolog, de mocorgott bennem a kisördög (nem a BSD-s! ;) ), hogy kipróbáljam, vajon SQL injection ellen mennyire vannak védve, de ha kiszúrják, az már bűncselekmény kategória, úgyhogy inkább kihagytam. :)
7

Ha olyan sql injectiont írsz

Kubi · 2013. Júl. 31. (Sze), 12.47
Ha olyan sql injectiont írsz amivel nem törölsz adatot akkor is bűncselekmény? Pl. hibás sql utasítást adsz be, amitől nem fut le az adott query, a végeredményt, hogy lefuttot nem futtot a kód jó eséllyel látod.
8

Tudtommal a kísérlet is az,

H.Z. · 2013. Júl. 31. (Sze), 12.49
Tudtommal a kísérlet is az, de nem vagyok jogász.
Mindenesetre igyekszem szándékosan nem elkövetni ilyesmit.
5

Szerinted véletlenül nem

H.Z. · 2013. Júl. 31. (Sze), 09.33
Szerinted véletlenül nem írtam le? :D
(nem akarom őket bántani, a vezető meg elég érzékeny lelkűnek tűnik amúgy is)
9

Ilyenkor mit csináljak?

Pepita · 2013. Aug. 2. (P), 02.48
Lécelj onnan.

Nem mondom, én is évek óta töröm a fejem egy csak általam visszafejthető titkosításon, de ezt matematikai képtelenség 100%ban megvalósítani. De olyat már csináltam, amit nem törtek fel, de nem tudom, hogy egyáltalán próbálták-e.

Az is elképzelhető - bár szerintem erkölcstelen -, hogy amikor megadod az új jelszót, mentik egy jól eldugott (kvázi hozzáférhetetlen) fájlba is, innét "mondják meg". De ez is erősen etikátlan. Miért nem lehet generált kóddal, URL-ből elfelejtett jelszózni? Lusta volt a fejlesztő.

Tényleg menj onnan, ez nem frankó.
10

:D ilyenkor már aludni kell

szabo.b.gabor · 2013. Aug. 2. (P), 06.13
:D ilyenkor már aludni kell
11

Nem IT szolgálató, nem

H.Z. · 2013. Aug. 2. (P), 07.39
Nem IT szolgálató, nem mehetnék, ha akarnék sem, de nem is akarok, mert a tényleges szolgáltatásaikkal többé-kevésbé elégedett vagyok. Ez csak amolyan kapcsolattartó rendszer ügyfél és a cég között.
12

Kiderült?

Pepita · 2013. Aug. 3. (Szo), 03.42
Azért ha kiderülne a megoldás, megoszthatnád, ha publikus is lehet. Érdekelne. :)
13

Milyen megoldás? Csak azon

H.Z. · 2013. Aug. 3. (Szo), 07.45
Milyen megoldás? Csak azon problémáztam, hogy keressem-e meg ezt a majdnempistikét, hogy valami nagyon gázos az oldalával vagy hagyjam a fenébe az egészet. :)
14

Ahogy a klasszikus mondja,

tgr · 2013. Aug. 3. (Szo), 13.01
Ahogy a klasszikus mondja, mindenki tud olyan titkosítást kitalálni, amit ő maga nem tud feltörni. Nem az a baj, hogy a 100%-os titkosítás matematikai lehetetlenség, hanem hogy amiről te azt gondolod, hogy 99%-os, az valószínűleg inkább az 1% környékén van.
15

+1

Pepita · 2013. Aug. 3. (Szo), 15.45
Na pont ezért nem álltam neki, csak néha fejembe jut, és szíjja le azt a kevés CPU-powert, ami még van...
SZERK.: amit nem törtek fel az nem webes, hanem windowsos "játék" volt, ott azért jobb lehetőségek vannak, főként hétköznapi felhasználókkal szemben. Egyszerű másolásvédelemre használtam.
16

Én a minap találkoztam

szjanihu · 2013. Aug. 4. (V), 11.19
Én a minap találkoztam ugyanezzel a prog.hu-n. Szánalmas.
17

???????????? Már úgy érted,

H.Z. · 2013. Aug. 4. (V), 11.35
????????????
Már úgy érted, simán elküldi a jelszavadat? :DDD
(mondjuk belőlük ki is nézem - arra van eszük, hogy a nemkívánatos egyénektől még egy browser fingerprintet is megtartsanak, nehogy akár privátban is tudjon üzenni a tagoknak, de hogy a trágyadombjukból normális oldalt készítsenek, arra már nem fussa :DDD)
18

Így van. Kedves

szjanihu · 2013. Aug. 4. (V), 11.41
Így van.

Kedves ***!

Oldalunkon jelszavad újraküldését kérted a ***##kukac##***.*** címre.

Jelszavad jelenleg a következő: "*****" (idézőjelek nélkül)

Mivel jelszavad most az Interneten keresztül titkosítás nélkül került elküldésre,
javasoljuk, azt minél előbb változtasd meg, hogy minimalizáld az ezzel járó biztonsági kockázatot.

A belépéshez használhatod az következő linket is:
http://prog.hu/belepes/?email=***%40***.***&password=*****&op=edit

Üdvözlettel: Prog.Hu
19

Eddig se tartottam sokra

H.Z. · 2013. Aug. 4. (V), 13.10
Eddig se tartottam sokra őket, ezek után...
(mondjuk én már ott kiakadtam, mikor felfedeztem, hogy az oldal kódjában rengeteg html taghez tartozik azonos ID)
20

Köszi srácok! :)

Pepita · 2013. Aug. 4. (V), 14.09
Hát most marhajókat nevettem - bár ezen talán sírni kéne... :)
A prog.hu-t Pistikék "fejlesztik"... Mondjuk a tagok nagyobb része is Pistike.