Wiewiórka 🐿️

Franklin Garamond · Post autor: **Franklin Garamond** » 23 sty 2022, 16:02

Ostatnia wiadomość z poprzedniej strony wątku

Przykład A - forum phpBB
Rejestrujemy się, podajemy hasło, z niego powstaje hash i tak jest zapisany w bazie danych. Kiedy się logujemy z podanego w formularzu hasła tworzony jest hash i porównywany z tym, co jest w bazie danych. Każde forum ma unikalną sól dodawaną do hasha. Nawet jeśli administrator sprawdzi w bazie danych hasła - widzi tylko hashe, więc nie może ich użyć gdzie indziej. Przy wycieku danych stanowi to też dodatkową barierę.

Przykład B - Rogatek
Rejestrujemy się, podajemy hasło, zostaje ono zaszyfrowane i zapisane do bazy. Mechanizm logowania może działać dwojako, zakładamy, że bezpieczniej - porównywane są zaszyfrowane hasła, analogicznie do przykładu A. Wchodząc do edycji profilu mamy tam hasło odszyfrowane w kodzie strony zapisane czystym tekstem. Może to odczytać dowolny skrypt JavaScript, ale nie o tym. Brak SSL też można przemilczeć. Jednakże, jeśli hasło jest szyfrowane i znany jest mechanizm tego szyfrowania, znaczy to tyle, że z perspektywy administratora są to hasła dostępne tak samo, jak gdyby były zapisane otwartym tekstem. Przy wycieku danych stanowi to pewną barierę, ale barierę do złamania, bo jak pisałem wcześniej - szyfrowanie jest procesem odwracalnym.

Helwetyk Romański · Post autor: **Helwetyk Romański** » 23 sty 2022, 16:10

Michał F. Lubomirski-Lisewicz pisze: ↑
23 sty 2022, 15:57
Proszę bardzo, choć przyznam, że sam jeszcze nie mam pewności, jak to jest.

Jeżeli wchodzę na stronę i widzę hasło w postaci czystego tekstu, i widzę je nadal w takiej postaci pomimo otwarcia strony w nowej zakładce, to znaczy, że hasło w postaci czystego tekstu jest najprawdopodobniej zachowane w pliku sesji na serwerze względnie jest możliwe do odszyfrowania przez serwer. Co nie jest bezpiecznym rozwiązaniem.

Sheldon Anszlus Robingren

Warto wspomnieć w tym momencie, że dlatego powinno się używać różnych haseł na każdej stronie.
Jeżeli hasła byłyby zapisane w czystym tekście, a używali byśmy go w różnych serwisach to administrator strony by mógł się pokusić o sprawdzenie go.

Karolina von Lichtenstein

Najdziwniejsze to, że sam autor się nie wypowiada w temacie, co tylko podsyca niepewność.

Sheldon Anszlus Robingren

Karolina von Lichtenstein pisze: ↑
23 sty 2022, 16:22
Najdziwniejsze to, że sam autor się nie wypowiada w temacie, co tylko podsyca niepewność.

Czy autor rogatka nie jest zablokowany ma forum?

Karolina von Lichtenstein

Chyba nie. Na Discordzie na pewno nie.

Helwetyk Romański · Post autor: **Helwetyk Romański** » 23 sty 2022, 16:25

Sheldon Anszlus Lovelace pisze: ↑
23 sty 2022, 16:12
Warto wspomnieć w tym momencie, że dlatego powinno się używać różnych haseł na każdej stronie.

Tak.

Sheldon Anszlus Lovelace pisze: ↑
23 sty 2022, 16:12
Jeżeli hasła byłyby zapisane w czystym tekście, a używali byśmy go w różnych serwisach to administrator strony by mógł się pokusić o sprawdzenie go.

Niezmiennie, zastrzeżenie z ramki. Nie sugerowałem, nie sugeruję i nie zamierzam sugerować, że mamy do czynienia z celowym działaniem. Prawdopodobieństwo luki bezpieczeństwa jest jednak na tyle wysokie, że moim zdaniem uzasadnia ostrzeżenia i rekomendację zmiany haseł.

Na marginesie, z tego samego powodu nie zalecałbym nikomu, aby wrażliwe rozmowy prywatne toczył za pośrednictwem prywatnych wiadomości gdziekolwiek w mikroświecie, także w Leocji. Silniki forów ich domyślnie nie szyfrują. Discord zapewne również ich nie szyfruje, ale administracja Discorda się nami nie interesuje. (Jeżeli jednak czyta te słowa, promocja byłaby mile widziana).

Sheldon Anszlus Lovelace pisze: ↑
23 sty 2022, 16:23

Karolina von Lichtenstein pisze: ↑
23 sty 2022, 16:22
Najdziwniejsze to, że sam autor się nie wypowiada w temacie, co tylko podsyca niepewność.
Czy autor rogatka nie jest zablokowany ma forum?

Nie. Zablokowaliśmy tylko konto drugiej tożsamości.

Benjamin · Post autor: **Benjamin** » 23 sty 2022, 16:31

Karolina von Lichtenstein pisze: ↑
23 sty 2022, 16:22
Najdziwniejsze to, że sam autor się nie wypowiada w temacie, co tylko podsyca niepewność.

Spokojnie, właśnie się pisze.

Karolina von Lichtenstein

Nasz mikronacyjny Janusz Piechociński nie doniósł jeszcze o tym, że służbom KS w końcu udało się wydalić obywatela Z., więc uzupełniam ten brak.

Helwetyk Romański · Post autor: **Helwetyk Romański** » 24 sty 2022, 14:11

Helwetyk Romański Obrazek

@Helwetyk

006. Do Księstwa Sarmacji, póki co ostrożnie, wrócił JKW Piotr II Grzegorz.

(@Karolina von Lichtenstein — dziękuję!).

Helwetyk Romański · Post autor: **Helwetyk Romański** » 29 sty 2022, 1:01

Helwetyk Romański Obrazek

@Helwetyk

007. Patriarcha Rotrii abdykował po trzech miesiącach, deklarując minimalną aktywność w przyszłości. Niezwłocznie zwołano konklawe. Z bliżej nieokreślonych powodów z funkcji w Rotrii zrezygnował JKW Andrew von Habsburg, Regent Monarchii Austro-Węgierskiej. W ostatnim wątku znowu oberwało się Santerze.