Ilgai nerašiau, bet… pasiruošimas egzaminams, egzaminai ir vasara + inercija neberašyti. Apie viską vėliau, bet jau greitai.
Iš tiesų noriu parašyti apie vieną LABAI GRUBŲ saugumo pažeidimą draugas.lt puslapyje. Anksčiau jį gyriau lygindmas su one.lt, ir funkcionalumo, patogumo bei kainos aspektais jis tikrai lenkia vuonę. Bet šitas atradimas rodo, kad jie dėjo ant vartotojų ir nesirūpina jų saugumu. Tad kas gi čia tokio nutiko? Štai kokį laišką iš jų gavau:
Laiške prie visų kitų gėrybių buvo mano slaptažodis. Tiesiog užrašytas. Šiaip visos sistemos (net mano pačio programuotos) slaptažodį užkoduoja registracijos metu (prieš tai išsiunčia vienintelį laišką su dar neužkoduotu slaptažodiu) ir vėliau jo neįmanoma atkoduoti. Vartotojo prisijungimo metu jo įvestas slaptažodis užkoduojamas tuo pačiu metodu ir jei registracijos ir bei įvestojo slaptažodžio užkodavimo rezultatai sutampa, vadinasi, slaptažodis įvestas teisingai.
Tuo tarpu draugas.lt man atsiųsdamas tokį laišką aiškiai parodė, kad jie slaptažodžių nekoduoja. Tai yra GRUBUS saugumo pažeidimas. Štai kodėl:
- Draugas.lt administratoriai gali ramiai nueiti į duomenų bazę, pasiknaisioti po neužkoduotus vartotojų slaptažodžius, tuomet pabandyti, ar jie veikia. Dauguma žmonių visur naudoja tuo pačius slaptažodžius (aš pats naudoju vos kokius 5 skirtingus), taigi jie gali prisijungti prie daaaugybės elektroninio pašto dėžučių. Not fun at all!
- Jeigu kokiam nors hakeriui pavyktų įsilaužti į duomenų bazę, jam nereikėtų vargti dienas ar mėnesius siekiant iškoduoti slaptažodius — viskas jam būtų gražiai pateikta ant lėkštutės ir paruošta greitam vartojimui.
- Nesinori apie tai galvoti, bet… vartotojų duomenų pardavimai? Oh my.
Gali nebandyti iššifruoti tų sujauktų raidelių, aš jau pasikeičiau slaptažodį ir išsitryniau draugas.lt anketą. LABAI rekomenduoju tau daryti tą patį. Po anketos ištrynimo jie klausia priežasties — būtų puiku, jei į laukelį įrašytum nuorodą į šį straipsnį. Jie turi suprasti, atsiprašyti, užkoduoti slaptažodžius, pakeisti sistemą, o tada saugumo žinovai turėtų patikrinti, ar jie tikrai viską padarė, kaip buvo prašyti.
Kas blogiausia — aš nežinau, ar kai pasikeičiau slaptažodį, jie kur nors neišsisaugojo mano seno, o kai ištryniau anketą, nesu tikras, ar ji tikrai ištrinta. Juk šito nepatikrinsi neįlindęs į duomenų bazę.
Jei turite draugų, kurie užsiregistravę tame puslapyje, persiųskite jiems šitą įrašą.
Žodžiu. Labai, labai negerai, drauge.lt. Beje, šį tinklaraščio įrašą nusiųsiu draugas.lt administracijai, tikiuosi jie galės ką nors pakomentuoti.
Draugas.lt atsakė:
Susipazinom su jusu pastabomis. Deja turime pripazinti, kad jos visiskai
teisingos. Tiesos delei noretume pazymeti, kad per 8 darbo metus nebuvo,
nera ir tikrai nebus atveju, kad administruojantys zmones galetu nutekinti
informacija apie vartotoju slaptazodzius, nes su sia informacija dirba vos
pora laiko patikrintu, visiskai patikimu ir 100% kompanijai lojaliu
darbuotoju. Zinoma, visada islieka teorine isilauzimo i svetaine galimybe,
bet si saugumo klausima sekmingai sprendzia musu hostingo paslaugu tiekejai
(nei vienas is gausybes bandymu isilauzti i svetaine per minetus 8 metus
nebuvo sekmingas).Neziurint i mano minimus argumentus mes imones viduje butinai svarstysime
jusu issakytas pastabas ir bandysime spresti jusu ivardintas problemas.
Tikimes supratimo, jog tai ne vienos dienos darbas, todel pilnam problemos
sprendimui konkretaus termino ivardinti nenoretume.Dar karta dekojame uz teisingas pastabas ir labai pasistengsime pateisinti
gera savo imones varda.
Turiu įtarimą, kad visai nemaža dalis interneto puslapių taip elgiasi – saugo ne slaptažodžių kontrolines sumas (taip, Jonai, terminas toks: ne kokie nors „kodai“ :)), o pačius slaptažodžius. Tai tikrai negerai, tačiau kodėl gi tu išskyrei būtent vargšą draugą.lt? – matyt, įsivaizdavai, kad visas likęs internetas elgiasi tvarkingai?..
Kalbėti apie tokius baubus verta, bet čia kažkoks dirbtinokas konkretaus puslapio išskyrimas :)
O, žiū, mano trumpas brūkšnys buvo automatiškai paverstas gražiu ilgu a la lietuviškuoju („-“) :)
Kostai, pirma, tai vadinu tą kodais/užšifruotais slaptažodžiais, nes taip paprasčiau perteikti idėją, o šitas skirtumas visiškai nekeičia jokios straipsnelio esmės.
O draugas.lt užsipuoliau, nes jis pirmas išsidavė – kiti puslapiai niekada neišduoda, kad turi slaptažodžius, o slaptažodžio priminimo puslapiuose leidžia tik pasikeisti ir neatskleidžia, kad jie jį turi ir gali tiesiog priminti.
Taigi išskyrimas ne dirbtinis – tiesiog neturiu pagrindo/įrodymų apie kitus.
Jap, paprastumas pateisina :) (grr, tiesiog iškart balselis iš vidaus sako: “čia ne kodavimas, čia sumavimas…”)
O apie dirbtinį išskyrimą aš, žinoma, nerimtai. Rašai, jog “kiti puslapiai niekada neišduoda, kad turi slaptažodžius,” – taigi tiesiog atrodytų natūralu straipsnio gale mestelti akmenuką visiems tiems “kitiems puslapiams”, nes kas iš to, kad neišsiduoda, jei vis tiek negražiai daro. Draugas.lt išeina toks kaip ir atpirkimo ožys, nors turbūt pelnytai.
Betgi čia tik šiaip. (Būna labai juokinga, kai paprasti nerimti pastebėjimai išauga į argumentuotus debatus.)
matai, o tu tikrai esi įsitikinęs, kad kokie ten labai rimti puslapiai kaip Google, YouTube ar Facebook taip elgiasi?
gal yra kokios gudrios saugumo komisijos, kurios kartais tikrina juos? (na, jei nėra ir negali būti, tada ką padarysi, matyt viską turi ir žino.)
Ne, nemanau, kad šitie trys taip elgiasi :)
O bet ką gali žinot.
Apie saugumo komisijas girdėt neteko (idėja graži), bet nežinau. Bet, manau, nėra. Ak, kada nors ateity žmonės kalbės apie šituos laikus kaip apie “wild wild internets”…
deja ne vienas nera apsaugotas o tu plius ydejai savo susikta pasta adresa nuorodas tavo anketa dbr prieinama kaip nzn kas :) durnelis nieko nepridursi :) o hackam galvoji idomu y jusu situos lysti sudus ???cia lenda ir nulauzineja tik kurie pradziamoksliai :) prisiiureja is youtube ir panasiu svetainiu :) patarciau paciam ta foto nusiimti nes tavo pasta gali nusvilpti :) gaila butu jai kokiu paypal accountu turetum susikures ir panasei va tada verktum :D kai saskaita tau ykistu kito zmogaus :DDD
P.S ziurekite ka keliate y interneta ,neskelbkite savo tikru duomenu jai tai nebutina :)nes vien per google galima parasius tavo varda ir pavarde atkapstyti viska :) pasvordus ir visus kitus duomenis :) poto per tavo emailus gauna visu kodus :) tad zekites ,nes jus ka rasote ,STEBETOJU PILNA ;)Nemyzkit y batus niekas jusu nelauzines tik jusu puslapius tai nukapolins 100% nes dbr paplite visame nete mokamosios programos ir duodami puslapiai skirti mokintis hachinti ir nuhackinti su apsauga puslapis :)
By
C===[:;:;:;:;:;:;:;:>