|
Zaštita Virusi, anti-virus programi, firewall... |
|
Alatke vezane za temu | Vrste prikaza |
27.10.2016, 7:32 | #1 |
Član
Član od: 1.7.2014.
Lokacija: Bijeljina
Poruke: 228
Zahvalnice: 26
Zahvaljeno 59 puta na 46 poruka
|
Slanje generisane lozinke putem mejla
Ja zivim u BiH i malo koji gradjanin nase zemlje nije cuo za cuveni pik.ba sajt za online kupovinu i oglasavanje (ili danas: olx.ba). Ono sto sam juce saznao je da pik ima potencijalno opasan sigurosni propust. Elem, ukoliko ste zaboravili lozinku i idete na cuveni "reset", pik vam salje novu generisanu lozinku na vas mejl. Generisana lozinka je broj od 6 cifara. Ja sam developer, i ono sto znam jeste da nikada ne biste smjeli da saljete lozinke putem mejla. Saljete reset link koji sadrzi token kao jedan od parametara sa odredjenim rokom trajanja i koji se moze upotrijebiti samo jednom. Koliko je sve ovo bezbjedno sto radi pik i koji su potencijalni rizici?
|
27.10.2016, 11:28 | #2 |
Deo inventara foruma
Član od: 17.6.2011.
Poruke: 7.336
Zahvalnice: 94
Zahvaljeno 3.334 puta na 2.010 poruka
|
Re: Slanje generisane lozinke putem mejla
Naravno da nije bezbedno zato što je mail kao sistem za slanje i skladištenje podataka izuzetno nesiguran. Kao prvo, jako puno mail servera i dalje ne zahteva SSL za prenos, neki čak još uvek koriste POP before SMTP protokol a da ne govorim o tome da se mail skladišti na svim mail serverima kroz koje prolazi.
Zatim, lozinka sastavljena od šest cifara osnove deset ima užasno malu entropiju i kao takva je izuzetno pogodna za brute force napade, što opet može da se kompenzuje algoritmima koji su specifično dizajnirani da spreče taj tip napada (recimo bcrypt) ali to i dalje ne menja činjenicu da je entropija pomenute lozinke užasna. Standardna praksa za promenu lozinke je slanje linka sa privremenim autorizacionim tokenom koji ne traje duže od recimo sat vremena nakon čega se promena lozinke odvija u browseru koji je sa web aplikacijom povezan preko SSL-a (HTTPS). |
Sledeći korisnik se zahvaljuje korisniku Neutrino na korisnoj poruci: | ||
brano88 (27.10.2016) |
27.10.2016, 11:33 | #3 |
Deo inventara foruma
Član od: 29.1.2008.
Poruke: 20.469
Zahvalnice: 433
Zahvaljeno 4.003 puta na 3.725 poruka
|
Re: Slanje generisane lozinke putem mejla
što se tiče korisnika on treba odmah promeniti lozinku
|
27.10.2016, 11:46 | #4 |
Deo inventara foruma
|
Slanje generisane lozinke putem mejla
Pik ba je dio OLX mreže i koristi njihovu platformu za sve osim za sigurnost (oglasi, forum, cpanel, userpanel, teme, plugine itd.) a sugurnost je najvažnija na takvim sajtovima. Pogotovo što uvode PikPay (šatro bosanski pandan Paypalu, a uz takvu sigurnost - niđe veze). Pik ba ima i najgoru iOS aplikaciju ikada.
|
27.10.2016, 13:29 | #5 | ||
Član
Član od: 1.7.2014.
Lokacija: Bijeljina
Poruke: 228
Zahvalnice: 26
Zahvaljeno 59 puta na 46 poruka
|
Re: Slanje generisane lozinke putem mejla
Mislim da je Neutrino pogodio poentu. A poenta je da se mejlovi sa generisanim siframa skladiste. Dakle, da li ima smisla enkriptovati lozinke ukoliko imas masu istih skladistenih na drugom mjestu kao cist tekst. Druga stvar je ta slaba generisana lozinka. Recimo, relativno mali broj korisnika Ashley Madison-a je nakon proboja bio kompromitovan jer je Ashley Madison koristio BCrypt. U slucaju pik-a, posledice bi bilo znatno losije jer bi potencijalni napadac vec imao sablon za "brute force" napad.
Citat:
Poslednja stvar koju sam maloprije provjerio - mozete da promijenite lozinku bilo kome! Dovoljno je da ukucate njegov mejl i njegova stara lozinka vise ne vazi! To se meni dogodilo juce kada sam vidio dva pik-ova mejla u inboxu. Pitao sam ih da li je neka tehnicka greska. Odgovor je bio: Citat:
|
||
27.10.2016, 19:30 | #6 |
Deo inventara foruma
|
Slanje generisane lozinke putem mejla
Pik je smeće od postanka na ovamo.
|
Bookmarks sajtovi |
Alatke vezane za temu | |
Vrste prikaza | |
|
|
Slične teme | ||||
tema | temu započeo | forum | Odgovora | Poslednja poruka |
Php - slanje mejla sa atačmentom | dbaja | Serverske aplikacije i baze podataka | 2 | 20.10.2016 23:48 |
[PHP] Slanje feedback forme putem maila | Deusdies | Serverske aplikacije i baze podataka | 3 | 24.12.2006 4:15 |
[PHP] Slanje maila sa unosom podataka putem forme | Alex82 | Serverske aplikacije i baze podataka | 16 | 24.11.2006 21:49 |