Palatynat Leocji

Przykład A - forum phpBB
Rejestrujemy się, podajemy hasło, z niego powstaje hash i tak jest zapisany w bazie danych. Kiedy się logujemy z podanego w formularzu hasła tworzony jest hash i porównywany z tym, co jest w bazie danych. Każde forum ma unikalną sól dodawaną do hasha. Nawet jeśli administrator sprawdzi w bazie danych hasła - widzi tylko hashe, więc nie może ich użyć gdzie indziej. Przy wycieku danych stanowi to też dodatkową barierę.

Przykład B - Rogatek
Rejestrujemy się, podajemy hasło, zostaje ono zaszyfrowane i zapisane do bazy. Mechanizm logowania może działać dwojako, zakładamy, że bezpieczniej - porównywane są zaszyfrowane hasła, analogicznie do przykładu A. Wchodząc do edycji profilu mamy tam hasło odszyfrowane w kodzie strony zapisane czystym tekstem. Może to odczytać dowolny skrypt JavaScript, ale nie o tym. Brak SSL też można przemilczeć. Jednakże, jeśli hasło jest szyfrowane i znany jest mechanizm tego szyfrowania, znaczy to tyle, że z perspektywy administratora są to hasła dostępne tak samo, jak gdyby były zapisane otwartym tekstem. Przy wycieku danych stanowi to pewną barierę, ale barierę do złamania, bo jak pisałem wcześniej - szyfrowanie jest procesem odwracalnym.

Michał F. Lubomirski-Lisewicz pisze: ↑

23 sty 2022, 15:57

Proszę bardzo, choć przyznam, że sam jeszcze nie mam pewności, jak to jest.

Jeżeli wchodzę na stronę i widzę hasło w postaci czystego tekstu, i widzę je nadal w takiej postaci pomimo otwarcia strony w nowej zakładce, to znaczy, że hasło w postaci czystego tekstu jest najprawdopodobniej zachowane w pliku sesji na serwerze względnie jest możliwe do odszyfrowania przez serwer. Co nie jest bezpiecznym rozwiązaniem.

Warto wspomnieć w tym momencie, że dlatego powinno się używać różnych haseł na każdej stronie.
Jeżeli hasła byłyby zapisane w czystym tekście, a używali byśmy go w różnych serwisach to administrator strony by mógł się pokusić o sprawdzenie go.

Najdziwniejsze to, że sam autor się nie wypowiada w temacie, co tylko podsyca niepewność.

Karolina von Lichtenstein pisze: ↑

23 sty 2022, 16:22

Najdziwniejsze to, że sam autor się nie wypowiada w temacie, co tylko podsyca niepewność.

Czy autor rogatka nie jest zablokowany ma forum?

Chyba nie. Na Discordzie na pewno nie.

Sheldon Anszlus Lovelace pisze: ↑

23 sty 2022, 16:12

Warto wspomnieć w tym momencie, że dlatego powinno się używać różnych haseł na każdej stronie.

Tak.

Sheldon Anszlus Lovelace pisze: ↑

23 sty 2022, 16:12

Jeżeli hasła byłyby zapisane w czystym tekście, a używali byśmy go w różnych serwisach to administrator strony by mógł się pokusić o sprawdzenie go.

Niezmiennie, zastrzeżenie z ramki. Nie sugerowałem, nie sugeruję i nie zamierzam sugerować, że mamy do czynienia z celowym działaniem. Prawdopodobieństwo luki bezpieczeństwa jest jednak na tyle wysokie, że moim zdaniem uzasadnia ostrzeżenia i rekomendację zmiany haseł.

Na marginesie, z tego samego powodu nie zalecałbym nikomu, aby wrażliwe rozmowy prywatne toczył za pośrednictwem prywatnych wiadomości gdziekolwiek w mikroświecie, także w Leocji. Silniki forów ich domyślnie nie szyfrują. Discord zapewne również ich nie szyfruje, ale administracja Discorda się nami nie interesuje. (Jeżeli jednak czyta te słowa, promocja byłaby mile widziana).

Sheldon Anszlus Lovelace pisze: ↑

23 sty 2022, 16:23

Karolina von Lichtenstein pisze: ↑

23 sty 2022, 16:22

Najdziwniejsze to, że sam autor się nie wypowiada w temacie, co tylko podsyca niepewność.

Czy autor rogatka nie jest zablokowany ma forum?

Nie. Zablokowaliśmy tylko konto drugiej tożsamości.

Karolina von Lichtenstein pisze: ↑

23 sty 2022, 16:22

Najdziwniejsze to, że sam autor się nie wypowiada w temacie, co tylko podsyca niepewność.

Spokojnie, właśnie się pisze.

Nasz mikronacyjny Janusz Piechociński nie doniósł jeszcze o tym, że służbom KS w końcu udało się wydalić obywatela Z., więc uzupełniam ten brak.