Forum Sveta kompjutera

Nazad   Forum Sveta kompjutera > Test Run > Zaštita

Zaštita Virusi, anti-virus programi, firewall...

Odgovor
 
Alatke vezane za temu Vrste prikaza
Stara 27.10.2016, 7:32   #1
brano88
Član
 
Član od: 1.7.2014.
Lokacija: Bijeljina
Poruke: 228
Zahvalnice: 26
Zahvaljeno 59 puta na 46 poruka
Određen forumom Slanje generisane lozinke putem mejla

Ja zivim u BiH i malo koji gradjanin nase zemlje nije cuo za cuveni pik.ba sajt za online kupovinu i oglasavanje (ili danas: olx.ba). Ono sto sam juce saznao je da pik ima potencijalno opasan sigurosni propust. Elem, ukoliko ste zaboravili lozinku i idete na cuveni "reset", pik vam salje novu generisanu lozinku na vas mejl. Generisana lozinka je broj od 6 cifara. Ja sam developer, i ono sto znam jeste da nikada ne biste smjeli da saljete lozinke putem mejla. Saljete reset link koji sadrzi token kao jedan od parametara sa odredjenim rokom trajanja i koji se moze upotrijebiti samo jednom. Koliko je sve ovo bezbjedno sto radi pik i koji su potencijalni rizici?
brano88 je offline   Odgovor sa citatom ove poruke
Stara 27.10.2016, 11:28   #2
Neutrino
Deo inventara foruma
 
Član od: 17.6.2011.
Poruke: 7.336
Zahvalnice: 94
Zahvaljeno 3.334 puta na 2.010 poruka
Određen forumom Re: Slanje generisane lozinke putem mejla

Naravno da nije bezbedno zato što je mail kao sistem za slanje i skladištenje podataka izuzetno nesiguran. Kao prvo, jako puno mail servera i dalje ne zahteva SSL za prenos, neki čak još uvek koriste POP before SMTP protokol a da ne govorim o tome da se mail skladišti na svim mail serverima kroz koje prolazi.

Zatim, lozinka sastavljena od šest cifara osnove deset ima užasno malu entropiju i kao takva je izuzetno pogodna za brute force napade, što opet može da se kompenzuje algoritmima koji su specifično dizajnirani da spreče taj tip napada (recimo bcrypt) ali to i dalje ne menja činjenicu da je entropija pomenute lozinke užasna.

Standardna praksa za promenu lozinke je slanje linka sa privremenim autorizacionim tokenom koji ne traje duže od recimo sat vremena nakon čega se promena lozinke odvija u browseru koji je sa web aplikacijom povezan preko SSL-a (HTTPS).
Neutrino je offline   Odgovor sa citatom ove poruke
Sledeći korisnik se zahvaljuje korisniku Neutrino na korisnoj poruci:
brano88 (27.10.2016)
Stara 27.10.2016, 11:33   #3
water wizard
Deo inventara foruma
 
Član od: 29.1.2008.
Poruke: 20.468
Zahvalnice: 433
Zahvaljeno 4.002 puta na 3.724 poruka
Određen forumom Re: Slanje generisane lozinke putem mejla

što se tiče korisnika on treba odmah promeniti lozinku
water wizard je offline   Odgovor sa citatom ove poruke
Stara 27.10.2016, 11:46   #4
LoneWolf
Deo inventara foruma
 
Član od: 9.1.2006.
Lokacija: Kafana
Poruke: 7.665
Zahvalnice: 1.612
Zahvaljeno 2.006 puta na 1.418 poruka
Slanje poruke preko Skypea korisniku LoneWolf
Određen forumom Slanje generisane lozinke putem mejla

Pik ba je dio OLX mreže i koristi njihovu platformu za sve osim za sigurnost (oglasi, forum, cpanel, userpanel, teme, plugine itd.) a sugurnost je najvažnija na takvim sajtovima. Pogotovo što uvode PikPay (šatro bosanski pandan Paypalu, a uz takvu sigurnost - niđe veze). Pik ba ima i najgoru iOS aplikaciju ikada.
LoneWolf je offline   Odgovor sa citatom ove poruke
Stara 27.10.2016, 13:29   #5
brano88
Član
 
Član od: 1.7.2014.
Lokacija: Bijeljina
Poruke: 228
Zahvalnice: 26
Zahvaljeno 59 puta na 46 poruka
Određen forumom Re: Slanje generisane lozinke putem mejla

Mislim da je Neutrino pogodio poentu. A poenta je da se mejlovi sa generisanim siframa skladiste. Dakle, da li ima smisla enkriptovati lozinke ukoliko imas masu istih skladistenih na drugom mjestu kao cist tekst. Druga stvar je ta slaba generisana lozinka. Recimo, relativno mali broj korisnika Ashley Madison-a je nakon proboja bio kompromitovan jer je Ashley Madison koristio BCrypt. U slucaju pik-a, posledice bi bilo znatno losije jer bi potencijalni napadac vec imao sablon za "brute force" napad.

Citat:
što se tiče korisnika on treba odmah promeniti lozinku
To apsolutno nigdje ne napominju. Stavise, lozinka je permanentna. Moze se reci da bi cak i bilo ok ako bi lozinka imala rok trajanja. Ali ovako...
Poslednja stvar koju sam maloprije provjerio - mozete da promijenite lozinku bilo kome! Dovoljno je da ukucate njegov mejl i njegova stara lozinka vise ne vazi! To se meni dogodilo juce kada sam vidio dva pik-ova mejla u inboxu. Pitao sam ih da li je neka tehnicka greska. Odgovor je bio:

Citat:
Poštovani,

postoji mogućnost da je određeni korisnik, vjerovatno greškom unio Vašu email adresu umjesto svoje prilikom zahtjeva za reset šifre. Svakako savjetujemo da ponovo vratite Vašu šifru, u postavkama profila.
Mislim da pik cak TRENUTNO ima otvoren sigurosni propust.
brano88 je offline   Odgovor sa citatom ove poruke
Stara 27.10.2016, 19:30   #6
LoneWolf
Deo inventara foruma
 
Član od: 9.1.2006.
Lokacija: Kafana
Poruke: 7.665
Zahvalnice: 1.612
Zahvaljeno 2.006 puta na 1.418 poruka
Slanje poruke preko Skypea korisniku LoneWolf
Određen forumom Slanje generisane lozinke putem mejla

Pik je smeće od postanka na ovamo.
LoneWolf je offline   Odgovor sa citatom ove poruke
Odgovor

Bookmarks sajtovi

Alatke vezane za temu
Vrste prikaza

Vaš status
Ne možete postavljati teme
Ne možete odgovarati na poruke
Ne možete slati priloge uz poruke
Ne možete prepravljati svoje poruke

BB kod: uključeno
Smajliji: uključeno
[IMG] kod: uključeno
HTML kod: isključeno


Slične teme
tema temu započeo forum Odgovora Poslednja poruka
Php - slanje mejla sa atačmentom dbaja Serverske aplikacije i baze podataka 2 20.10.2016 23:48
[PHP] Slanje feedback forme putem maila Deusdies Serverske aplikacije i baze podataka 3 24.12.2006 4:15
[PHP] Slanje maila sa unosom podataka putem forme Alex82 Serverske aplikacije i baze podataka 16 24.11.2006 21:49


Sva vremena su po Griniču +2 h. Sada je 8:22.


Powered by vBulletin® verzija 3.8.7
Copyright ©2000–2024, vBulletin Solutions, Inc.
Hosted by Beograd.com