Upozorňuji ctěné publikum, že systém bike-fora uchovává hesla uživatelů v čitelné podobě a při žádosti o zapomenuté heslo Vám ho, v textové podobě, pošle.
Vzhledem k tomu, že jsem o zapomenuté heslo nežádal, tak zároveň zdravím uživatele IP adresy 89.239.62.114
Jak presne je mozne tu diru zneuzit? K mailu se pripojuju pres https, takze v tom tak tragickou diru nevidim.
Tak jen verme, ze jsou hesla na serveru dostatecne bezpecne.
lze to zneužít například tak, že většina lidí má stejné heslo na x systémů, když někdo zjistí heslo k bf má automaticky přístup i jinam, v lepším případě jen do bezvýznamných aplikací, v horším do mailu nebo ebankingu, ukládat hesla v plain textu je vážně blbost, zapomenuté heslo by nemělo jít zjistit, aplikace by měla vygenerovat náhodné nové a to mailem poslat, uživatel si ho potom má změnit
To je naprosto normální, že se heslo ukládá a pak ti to v případě zapomenutí pošle na e-mail který si uvedl při registraci.
Spravne by ti to melo poslat vygenerovane heslo. Skladovat tve heslo v textove forme neni rozhodne idealni. Melo by byt zahashovane aby ho admin nevidel. Pokud by nekdo mel stejne heslo na b-f a do bankovnictvi, tak by mohl mit celkem problem…
Pokud ma nekdo stejne heslo na bf a na bankovnictvi, tak ma zrejme problem v hlave.
Tim nechci rict, ze s tebou nesouhlasim, ale od bf taky necekam zadnou velkou bezpecnost.
Jen teoretizuju jak by se to dalo zneuzit. Ale cesticka to je – odsud nekam jinam a pak zas dal, az se k tomu bankovnictvi treba dostanes.
já mám heslo k internetovému bankovnictví zapsaný v hlavně, není moc problém zapamatovat si 16 znaků a IMHO je to nejbezpečnější způsob uchování hesla
mluvis ze spani? sam od sebe nebo az po seru pravdy? ale jinak teda vecne souhlas ze se to tu nejak prehani a nemysli na bezpecnost predevsim mezi klavesnici a zidli.
jen tak z hecu… nehce nekdo zkusit, jestli vic jak 5% uzivatelu ma jako heslo „heslo“ ?
Nevím, nezkoušel jsem :o))), ale k I-bankovnictví ještě potřebuješ další číslo + mobil, takže dobře zabezpečené .o)
uz sis zkousel presmerovat svoje mobilni cislo volanim operatorovi z jine simkarty s jinym cislem psanym na jinou osobu co vsechno bude chtit vedet? nebo tomu jeste slepe veris :)
jo dneska jde všechno, půjčka na cizí občanku, dobrá víra, osoba mě blízká a další chuťovky :o))))
Ale je to rychly, pohodlny a nemusis nikam chodit…
Aj to sa obísť, ale kým točíš na účte jednu výplatu, tak sa nemusíš báť:)
Jo to by mělo být… ale spoustu serverů jak prodejců tak to mají takhle a pokud máš heslo stejné jak na foru tak do bakingu, tak to jsi s prominutím něco, za co bych dostal ban! :-)))
Imperialista či rozvraceč dělnického lidu ?
chytrak jako ultrapravicaci v davu secteni.
stejny heslo na forum a do banky uz ale zada hodne vysokej level.
jestli je naky heslo na nakym forum nezabespeceny je mi celkem burt:)
Normální je, že se ukládá hash od hesla, ne jeho textová forma identická s heslem.
Pokud ho zapomeneš, tak by systém měl vygenerovat nové dočasné heslo a ne Ti poslat to původní.
Doufám, že to posílá pouze na mailovou adresu v profilu daného uživatele, protože pokud tam jde zadat jakoukoliv, tak je to uložení nešifrovaných hesel prkotina.
Ne posila to jen na tu prvni registrace, ktera je unikatni a jedina na foru. Jiny nick se stejnym mailem byt nemuze.
tak zas na BF člověk nemá žádné cenné údaje, takže to zas až tak nevadí … Maximálně tu někdo bude prudit tvým jménem
Ne že by bylo jediný, takovejch je )
Podle IP je to někdo z okruhu Jablonce, a ty jsi z Liberce, a přišlo to na tvůj mejl… to je nějaký divný…
já to nebyl
No, máš stejný začátek IP, to už jsem koukal :-)
ale teď jsem byl stejně od čtvrtka mimo a vrátil jsem se až teď večer a mám na to spoustu svědků :-))
a pripojuje ho/ji/to/je/(nas :) cabel media. co takhle priste naucit aspon mistni lidi jak se k temhle verejne dostupnym informacim, ktery musi poskytovat ten kdo je pripojuje dostanou, at zas nejde fama o spiclovani.
Jo, já vím, že je to adresa celé sítě, bohužel :-(
Z IT asi není, to by jel skrz nějakou hodně exotickou proxy …
Nj co kdyby někdo psal za tebe ve jménu ČEMBY ;o]
Ja jen teoretizuju, takovej cvok snad neni.
Tak to je objev hodný tvýho nicku :-)
:-D
:D Ten sednul..:)
Admin by tady na foru mohl pracovat na full-time jak to vidim, uprava hesel – hash + salt a prepsat odesilani mailu aby se heslo jen resetovalo, pak druhej zas bude chtit osobni ignore list, nekdo chce prekopat kategorie… schvalne co admin udela v dohledne dobe za zmeny :) Preju mu spis aby mel s bike-foruem co nejmin prace a aby si pekne uzil leto.
Tak což vo to, ten hash je věc tak 10min(jestli to neni teď napsaný ňák zbytečně složitě:-)), když to člověk dlouho nedělal. Takže bejt admin já, tak to tu tak do tří let máš jak na koni :-) Podle mě je dobrý, mít co zlepšovat, a tim že admin má určitě milion jinejch věcí na práci, tak je to naprosto pochopitelný, že to neni všecko najednou hned, aspoň se s tim čék nemusí moc rychle sžívat :-)
Ty tvrdis optimisticky 10 minut, ja se domnivam, ze se vsim bude 1MD jeste optimisticky odhad.
Kdyz vezmes ze to musis vymyslet jaky hash, kam to ukladat, jak overovat heslo, zasilani novych hesel na mail, otestovani jestli to opravdu funguje, zahashovani vsech dosavadnich hesel.
