Diskusija na twitteru: https://twitter.com/simevidas/status/390146170527309824
Takodjer prilazem e-mail komunikaciju s vlasnikom Totohosta.
Volio bih da Bug On Line pise o ovome.
Neznas odgovor na sigurnosno pitanje i zbog toga su ti poslali novu lozinku neznam gdje je problem. Na koji drugi način će ti oni poslati lozinku ako neznas sigurnosno pitanje, kako si ti to zamislio?
Ne shvaćam te, pretpostavljam da ti password reset link dolazi na taj isti mail pa onaj tko može vidjeti password koji dođe mailom također može vidjeti i link. Šta oćeš od čovjeka da napravi? Iako im sistem nije savršen očito se trude ugoditi kljentu. Sinko moj očito imaš neki problem.
Apple, InfoHost, Origin i Facebook su samo neki od onih koji su mi poslali password u text obliku nakon sigurnosne forme.
U čemu je problem?
Najčešće se šalje password tipa 2nHr04FnY!3, kombinacija svega i svačega što ćeš ti logično promijenit.
Uopće ne vidim problem (osim što je odgovor možda malo neprofesionalan ,ali na takvo pitanje i ja bih isto odgovorio). Zaboravio si odgovor na tajno pitanje i oni su ti poslali lozinku, što si drugo mogao očekivati - tu jedino tko može biti kriv si ti jer si zaboravio odgovor na tajno pitanje. Prijaviš se sa tom lozinkom koju si dobio i promijeniš ju, jednostavno...
Problem je jedino ako oni spremaju lozinke na svom serveru u text formatu,no to ti ne možeš znati...
U takvoj situaciji (nepoznata lozinka i odg na sigurnosno pitanje), "najsigurniji" način (pod navodnicima jer je siguran koliko i mail) je da se na taj recovery mail pošalje nešto tipa blablabla.com/reset.asp?id=jnebui43gffqo3e tj. neki jedinstveni link preko kojeg primatelj maila može si sam postaviti novu lozinku.
Ali ne vidim ni veliki problem u rješenju od hosta. Kakav god drugi način se upotrijebio, može doć do zlouporabe. Jedini problem je u tome ako drže passworde negdje kao plain text tj. na recovery pošalju "pravi" password.
Drugi nacin koji vidim je da ti posalju link da resetiras lozinku i da te prebaci na njihov sajt i da tamo 2 puta potvrdis novu lozinku i da nakon toga dobijes mail da vam je lozinka uspjesno promjenjena.
To je isto kao i ovo moje gore i ima isti problem - ako netko ima pristup tom mailu, isto mu je jel dobio link za reset ili plaintext lozinku.
Neznas odgovor na sigurnosno pitanje i zbog toga su ti poslali novu lozinku neznam gdje je problem. Na koji drugi način će ti oni poslati lozinku ako neznas sigurnosno pitanje, kako si ti to zamislio?
Standardni postupak je slanje privremenog password reset linka preko e-maila. Ovime sigurnost nije kompromitirana.
Ne shvaćam te, pretpostavljam da ti password reset link dolazi na taj isti mail pa onaj tko može vidjeti password koji dođe mailom također može vidjeti i link. Šta oćeš od čovjeka da napravi? Iako im sistem nije savršen očito se trude ugoditi kljentu. Sinko moj očito imaš neki problem.
Ne. Password reset linkovi su samo privremeni. Tako da ako neovlastena osoba naknadno procita korisnikovu postu, taj link vise ne vrijedi.
Apple, InfoHost, Origin i Facebook su samo neki od onih koji su mi poslali password u text obliku nakon sigurnosne forme.
U čemu je problem?
Najčešće se šalje password tipa 2nHr04FnY!3, kombinacija svega i svačega što ćeš ti logično promijenit.
Nisam cuo za ove druge, ali Apple i Facebook to vise ne rade. Zasto su prestali to raditi? Zato sto je nesigurno.
Uopće ne vidim problem (osim što je odgovor možda malo neprofesionalan ,ali na takvo pitanje i ja bih isto odgovorio). Zaboravio si odgovor na tajno pitanje i oni su ti poslali lozinku, što si drugo mogao očekivati - tu jedino tko može biti kriv si ti jer si zaboravio odgovor na tajno pitanje. Prijaviš se sa tom lozinkom koju si dobio i promijeniš ju, jednostavno...
Problem je jedino ako oni spremaju lozinke na svom serveru u text formatu,no to ti ne možeš znati...
Cinjenica: Slanje plan text lozinke preko maila nije sigurno i takvu praksu treba izbjegavati. Siguran nacin je slanje privremenog password reset linka.
Cinjenica: Slanje plan text lozinke preko maila nije sigurno i takvu praksu treba izbjegavati. Siguran nacin je slanje privremenog password reset linka.
Ta činjenica stoji jedino ako samo ti imaš pristup tom mailu tj. siguran si da ga nitko nije vidio osim tebe (wireshark...).
A ako netko drugi može u tvoj mail, onda je totalno svejedno jel plaintext ili link.
U takvoj situaciji (nepoznata lozinka i odg na sigurnosno pitanje), "najsigurniji" način (pod navodnicima jer je siguran koliko i mail) je da se na taj recovery mail pošalje nešto tipa blablabla.com/reset.asp?id=jnebui43gffqo3e tj. neki jedinstveni link preko kojeg primatelj maila može si sam postaviti novu lozinku.
Ali ne vidim ni veliki problem u rješenju od hosta. Kakav god drugi način se upotrijebio, može doć do zlouporabe. Jedini problem je u tome ako drže passworde negdje kao plain text tj. na recovery pošalju "pravi" password.
Da. Privremeni password reset link. Razlika je u tome sto je ovaj link, kao sto sam rekao, samo privrmen tako da, ako neovlastena osoba u neko kasnije doba dobije ovlasti nad postanskim sanducicem korisinka, svi ovi password reset linkovi su nevaljani, dok se svi plan text passwordi mogu (potencialno) koristiti za pristup racunu (pod uvijetom da korisnik nije promijenio lozinku). Primijeti kako Totohost u mailu ne zadaje upute korisniku da promijeni lozinku, pa ce odredjeni dio korisnika ostaviti tu lozinku i njioha sigurnost ce biti komprimitirana.
Drugi nacin koji vidim je da ti posalju link da resetiras lozinku i da te prebaci na njihov sajt i da tamo 2 puta potvrdis novu lozinku i da nakon toga dobijes mail da vam je lozinka uspjesno promjenjena.
Da, DA! To je siguran nain. (Pod uvijetom da je taj link privremen!)
Cinjenica: Slanje plan text lozinke preko maila nije sigurno i takvu praksu treba izbjegavati. Siguran nacin je slanje privremenog password reset linka.
Ta činjenica stoji jedino ako samo ti imaš pristup tom mailu tj. siguran si da ga nitko nije vidio osim tebe (wireshark...).
A ako netko drugi može u tvoj mail, onda je totalno svejedno jel plaintext ili link.
Web mail servisi su HTTPS tako da nije moguce sniffati promet. Sigurnost korisnika je kompromitirana jedino ako netko dobije fizicki pristup korisnikovom racunalu. U tom slucaju, primijeti kako password reset linkovi jamce sigurnost, posto imaju samo privremenu valjanost, dok u drugu ruku, plain text lozinke pretstavljaju trajni sigurnosni rizik.
Aha, znači ako ja imam pristup tvom mail accountu, onda ne mogu tražiti novi privremeni password reset link i to je 100% sigurno?
Jedina razlika je ta da u tom slučaju moram potrošiti 20 sekundi više da zatražim novi link.
Istina, sa Wiresharkom je druga priča, ali ako netko ima upaljen Wireshark, onda sigurno može i prije tebe uhvatiti password reset URL i preduhitriti te. Ili, kako i sam kažeš, kod HTTPS konekcije je sasvim svejedno dobivaš li plain text ili password reset link.
Pet godina na forumu a jos nisi naucio da nije pristojno pisati po pet poruka zaredom. Daj i drugima da dođu do riječi.
ONTOPIC: Ako vec imam pristup tvom mailu onda cu lako otici na stranicu tog hostinga i zatraziti novi link.
Ta ti teorija ne stoji.
Umjesto sa zahvalis covjeku koji ti je vratio pristup racunu iako si zaboravio lozinku i sigurnosno pitanje ti stvaras zbrku oko nicega.
very enraged dude.
Pet godina na forumu a jos nisi naucio da nije pristojno pisati po pet poruka zaredom. Daj i drugima da dođu do riječi.
Dobio sam nekoliko odgovora i svima sam odgovorio. Da li sam mogao sve to spojiti u jednu poruku? Ako ne, nisam imao izbora.
Dobio sam nekoliko odgovora i svima sam odgovorio. Da li sam mogao sve to spojiti u jednu poruku? Ako ne, nisam imao izbora.
Imaš opciju višestruko citiranje, koristi ju.
Ta ti teorija ne stoji.
Razlika je sljedeca:
Ako neki servis (tipa Totohost u ovom slucaju) salje plain text lozinke preko e-maila, to omogucuje nekoj trecoj osobi da, ukoliko privremeno dobije pristup inboxu (npr. sjedne za troje racunalo dok si na WC-u), preuzme tu lozinku iz tvojeg inboxa, pa da se onda u tajnosti logira na tvoj racun i tako npr. prati tvoje privatne konverzacije.
Tehnika koju ja zagovaram, slanje password reset linka, onemogucuje ovaj sigurnosni propust. Naime, treca osoba naravno moze zatraziti password reset link tijekom pristupa tvom inboxu. Ali ta osoba s time ne moze preuzeti postojecu lozinku vec samo napraviti novu. To joj omogucuje da privremeno dobije pristup tvom racunu. No, cim ti pokusas pristupiti tom servisu sljedeci put, primijecujes da je lozinka promijenjena (jer se ne uspjevas logirati), pa mozes prijaviti tom servisu da ti je racun hackiran. Dakle, za razliku od plain text lozinke koja omogucuje spijuniranje, password reset link otkriva napadaca vec pri sljedecem pokusaju koristenja servisa.
Ovo je velika razlika, sa sigurnosnog gledista.
A koja je razlika, ako ta ista osoba sjedne za računalo i klikne reset link?
A koja je razlika, ako ta ista osoba sjedne za računalo i klikne reset link?
Mitch, objasnio sam u prethodnom postu. Molime te, procitaj jos jednom.
U kratko, reset link omogucuje samo izmjenu lozinke sto dovodi do otkrivanja napada cim korisnik pokusa pristupiti usluzi sljedeci put. Za razliku od toga, ako je lozinka zadana u plain textu, napadac ju moze prepisati de zatim u tajnosti koristiti korisnikovu uslugu (i eventualno spijunirati korisnika) bez da korisnik ikad doznaje za to.
Ovo je ogromna razlika, kao sto sam vec rekao, sa sigurnosnog gledista.
Za tako važne stvari bi ionako trebao redovito mijenjati lozinke bez obzira sumnjaš li u išta ili ne. Ajde da ti netko provali u forum account, ali imati jednu lozinku za hosting servis, gdje možda držiš gigabajte važnih podataka, neku bazu podataka, webshop i sl., duže od par mjeseci je jednostavno glupo...
Da ne spominjem kako ti se može dogoditi da ti hakiraju najnebitniju stvar na netu (recimo meni je netko upao u Hotmail/MSN account na kojeg se nisam prijavljivao 4 godine, nije mi služio ničemu i imao je prilično nestandardnu lozinku, i namučio sam se dok ga nisam vratio, sad je obrisan), a kamoli account od web hosta...
A koja je razlika, ako ta ista osoba sjedne za računalo i klikne reset link?
Mitch, objasnio sam u prethodnom postu. Molime te, procitaj jos jednom.
U kratko, reset link omogucuje samo izmjenu lozinke sto dovodi do otkrivanja napada cim korisnik pokusa pristupiti usluzi sljedeci put. Za razliku od toga, ako je lozinka zadana u plain textu, napadac ju moze prepisati de zatim u tajnosti koristiti korisnikovu uslugu (i eventualno spijunirati korisnika) bez da korisnik ikad doznaje za to.
Ovo je ogromna razlika, kao sto sam vec rekao, sa sigurnosnog gledista.
Ma koja RAZLIKA?
Slučaj PARANOJA:
Neki tip sjedne za komp i uzme ti šifru i "špijunira te"
Slučaj PARANOJA B:
Neki tip sjedne za komp, ode na reset link, upiše šifru koju želi i zaključa ti account.
