Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Copyright © 1998-2024 CDR server s.r.o.
Všechna práva vyhrazena.
ISSN 1804-5405.
Mě jenom fascinuje řekněme ta drzost Sony, držet si uživatelova hesla v nezašifrované (respektive nehashované) formě (ano, je mi jasné, že je to asi proto, aby mohla Sony ochotně práskat svoje uživatele US governmentu).
Osobně by se mi líbilo, kdyby třeba Google nabízel svoje služby v placené formě bez reklamy a všechna data zašifrovaná AES, kdy klíčem by bylo uživatelovo login heslo.
Uchovávat hesla v holém textu je bezostyšná lenost programátora :-(
Pánové svět není černobílý.
a) Ne vždy můžete hesla zaheshovat. Jsou situace, kdy to prostě nejde. Například musíte heslo posílat dále (do dalšího systému). Velké korporace musejí integrovat hromady různých systémů. Není možné si to představovat jako Hurvíkek válku.
b) Hashe absolutně nic neřeší v situaci, kdy uživatelé používají krátká nebo slabá (slovníková) hesla. A hodně velké procento uživatelů taková hesla má.
Každej "expert" co si přečetl o PHP a jeho funkci "md5" si neodpostí tyhlety poznámky. Snažme se to ale chápat v širším kontextu.
ps - tím absolutně neobhajuji žalostný stav ochrany u Sony, stejně jako jejich trapné reakce...
a) "Posilat heslo dale" je pekna pitomost. Heslo by melo byt pouzito k odemceni jakesi schranky na pristupove kody k ostatnim aplikacim.
b) To je bohuzel pravda. Ale muzes alespon v takovem pripade rict ze je to castecne vina tech uzivatelu.
c) Spis me desi ze nekdo pise program s databazi hesel a neprecte si ani takove zaklady jako funkce md5 u PHP.
a) není žádný důvod heslo uchovávat, stačí předat dál hash+salt, zadané heslo kdekoliv jinde bude stejným způsobem ověřeno
b) problém uživatele, ale systém může požadovat určitou složitost (což mimojiné vede ke snížení bezpečnosti, protože si to uživatel nebude schopen pamatovat a využije různých heslo-ukládačů nebo si to napíše na papír a někam nalepí)
c) md5 snad už nikdo kromě amatérských stránek nepoužívá, pokud ano, je to chyba firmy
Mě připadá, že to píšete z pohledu amatérského webu v PHP, kde nějaké zásady bezpečnosti neexistují a používá se kdejaký skript či framework, co kdo najde na netu
Pánové, jen krátce k bodu a)
Je mi naprosto jasné, jak funguje CHAP (challenge authentication protocol), případně jeho varianty. Že po drátech heslo prostě jít v otevřené formě nemusí. Jestli je pitomost heslo posílat přes SSL nebo není, to nechť posoudí někdo jiný. Bavíme se ale o __ukládání__ hesla na straně serveru.
Znovu opakuji že prostě občas se tomu nevyhnete. V tak velkém prostředí, jako je například Sony, případně mezinárodní mobilní operátor (kde jsem nějaký ten čas pracoval), ja tak velké množství rozličných systémů, že k tomuto (uložení hesla za účelem další autentikace) prostě může dojít. Nemůžete říct dodavateli určitého systému za miliardu, ať to celý přebuduje, protože váš e-shop prostě nebude heslo ukládat. Takhle to v businessu prostě nefunguje.
Naprosto stejná věc je s číslem kreditní karty. To taky nemůžete "zahešovat", protože jej posíláte na platební bránu. Dovedl bych si představit i jiné řešení (vůbec jej neukládat), ale z nějakých důvodů se inženýři rozhodli pro toto řešení...
Je to realita, takže odsuzujme Sony za to, jak chrání své systémy. Ne za to, že ukládá hesla. Naše hesla jsou uložená na tolika místech (bez šifrování/hashování), že by se nám asi protáčely panenky.
A proto: silná hesla, jiná hesla.
Pěkná blbost. Když mám rozličné systémy, které různorodě uchovávají hesla, tak snad použiju nějaký identity manager, ne? Buď něco vlastního, nebo nějaké komerční přiohlé řešení na míru. To, že někde musí být hesla v plaintextu neberu.
Zdar Max
Taky myslim ze soucasna situace s kreditnimi kartami je neudrzitelna a bude driv ci pozdeji nahrazena nejakym CHAP nebo one-time tokenem. Ale dokud jsou banky ochotne financovat kradeze ... (rozumej americanum) ...
sci-fi, na prvnim miste je busines. nejprve te musi nekdo okrast a potom mu muzes nabidnout nejakou ochranu.
Proto treba "pozarnici" hasici zakladaji ohne ktery se potom hasi. Proto zde mame nejaky nemoce ktry se pak leci. Proto jsou PC viry* (*vseobecne) na ktery jsou pak anti-virovy programy. Proto se delaji ruzna "kurvitka"(nejenom v elektronice) ktera zapricini rychlejsi nakup, nebo opravu, dalsiho.. atd.atd.
Tvůj názor se zakládá na víře, nikoli na faktech. Proto nemá žádnou hodnotu a nikdo s kritickým myšlením ti nemůže věřit.
Tak tak, a v noci chodi zelinari a reznici a vybiraji ti obsah zaludku, aby ti rano mohli zas prodat snidani!
Docela by me zajimalo, k cemu presne byla epidemie Cerne smrti ve 14. stoleti kdyz ji tehdy vicemene nikdo nebyl schopen lecit (natoz vylecit) ... o nestovicich, ktere zpusobovali epidemie uz 10,000 let pred nasim letopoctem nemluve.
Čím víc a čím zajímavějších dat bude v cloudech, tím víc se na ně budou hackeří soustřeďovat. Jen ta představa: Nabourám se do sítě jedné firmy, mám data jedné firmy. Nabourám se do velkého cloudu a mám najednou data stovky firem!
Pokud je to šifrovaný, tak ti to bude k ničemu
Když nešifruje gigant jako je SONY tak budou ostatní pečlivější?
Doufejme ze po tehle blamazi se SONY skutecne budou.
ha ha , zbozny prani. srat na to budou znovu dalsi a dalsi, protoze pohodlnost a cimdal vetsi nevzdelanost v oboru(hlavne ze diplom). skoda mluvit..
Snad si umíš vybrat, případně se zeptat než začneš využívat služby cloudu?
Jak poznáš „špatný“ cloud? No, že už měl nějaký takový problém. Jak poznáš „dobrý“? Nijak, můžeš se uklidňovat čtením markeťáckých žvástů a možná i nějakým dovětkem ve smlouvě zaručujícím náhradu škody při výpadku, ale stejně víš prd.
Funkce cloudu: Uložení a zpracování dat na jakémsi vzdáleném místě. Co se tam musí dít při práci s uloženými daty? No, Vomáčka? Musí se dešifrovat, pane profesore!
Jinými slovy, ukládat si šifrovaná data do internetového úložiště, proč ne. Ale jakékoli šifrování v cloudu je naprosto iluzorní, protože tam zákonitě existují i prostředky k dešifrování.
Ano, ale dešifrovacími klíči disponuji pouze já nebo moje PC/flashka apod. Bavíme se o úložišti soukromých dat nebo obyčejném web hostingu či veřejné záloze přístupné pro všechny?
Bavíme se o cloudu. Tedy ne o úložišti nebo webhostingu. Cloud, opakuji, je místo, kde se s uloženými daty i pracuje, a tedy tam musí být možnost je dešifrovat. Jak ty klíče dostanete do cloudu, abyste mohl dešifrovat data? Někde tam je prostě místo, kde stačí nasadit vhodný číhací prográmek a je to. Pokud budete data k dešifrování tahat do PC, tak to už je ptákovina a ne cloud - to už ty data a zpracování můžete rovnou mít doma, případně mít na netu jen úložiště, abyste nehonil data sem tam, jednou šifrovaná a jednou, hleďme, nešifrovaná...
Pro zruseni efektu "Nabourám se do velkého cloudu a mám najednou data stovky firem!" staci pokud jsou data sifrovana a kazda z te stovky firem ma jiny klic ulozeny ci pouzity jinym zpusobem.
Potíž bude v tom, že hacknutí velkého cloudu se bude tutlat.
- Takže je možné, že už dnes byly některé data z cloudu ukradeny... jen se o tom neví.
- Jako hacker bych něchtěl aby mě provozovatel cloudu chytl při činu, takže bych zametl stopy a nechal si zadní vrátka.
Špatné je, že bez průseru to zabezpečení prostě nejde. Když přijdete za manažerem, řeknete mu, že chcete zabezpečit server... a kolik to bude stát, tak se Vám vysměje a žádost zamítne s důvodem "kdo by nás chtěl háknout".
- Jedině až průser je přinutí vrazit peníze do zabezpečení. Takže hackeři mají mé sympatie a mou podporu.
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.