Pravda v očích.cz
Navštivte: Mozek tě vidí.net Olda Šálek fotogalerie Šálek.info Patrik Vogl.cz 5w.cz Komentáře

Navigace:Pravda v očích.czInternet ⇒ Zjistěte si heslo jakéhokoliv uživatele Linkuj.cz!

Zjistěte si heslo jakéhokoliv uživatele Linkuj.cz!

Před třemi měsíci jsem zveřejnil článek, ve kterém upozorňuji na vážnou bezpečnostní "díru" v redakčním systému Linkuj.cz. Bohužel, článek tehdy k ničemu nevedl. Když jsem upozornil přímo Martina Snopka e-mailem, neuráčil se ani odpovědět. Dnes jsem se podíval a zjistil…
hesla podle cookies, zjistit heslo z cookies, heslo v cookies, heslo na pocitaci, zjistěte jak je bezpečné vaše heslo, zjisteni hesla z cookies, heslo v cookie, ziskani hesla s cookies, získání z cookies heslo, zjisteni hesla z cookie,

Před třemi měsíci jsem zveřejnil článek, ve kterém upozorňuji na vážnou bezpečnostní "díru" v redakčním systému Linkuj.cz. Bohužel, článek tehdy k ničemu nevedl. Když jsem upozornil přímo Martina Snopka e-mailem, neuráčil se ani odpovědět. Dnes jsem se podíval a zjistil jsem, že tato závažná chyba na Linkuj stále je.

Proto cítím jako svou povinnost článek zveřejnit opětovně a snad s tím tentokrát někdo něco udělá.

O první českou bookmarkingovou službu Linkuj.cz se poslední dva roky její autoři téměř nestarají. To, že se z ní stává bohužel žumpa nekvalitních linků je smutná pravda, s tím se holt nedá nic dělat. Autoři už zjevně také nemají velký zájem to měnit. Dnes mě ale hodně překvapil přístup redakčního systému Linkuj, který vůbec nezabezpečuje hesla svých uživatelů.

Nenechte se mýlit, že CMS pohánějící Linkuj funguje profesionálně, on se tak jen tváří. Když totiž nahlédnete do cookies prohlížeče narazíte na položku cook_psw a ta obsahuje uložené vaše heslo v nijak nezašifrované formě. Je to pouhý plain-text! To znamená, že každý kdo by si prohlídl cookies ve vašem počítači, mohl by snadno získat vaše heslo.


To osobně považuji za naprostou neprofesionálnost. Osobně v PHP podobné věci řeším způsobem vygenerování klíče, který se uloží do cookies a podle kterého je relace později ověřována. Nikdy jsem heslo neukládal přímo do cookies a když už, tak alespoň v MD5 hashi.

Autoři systému Linkuj.cz by s tím měli urychleně něco udělat, protože do té doby se nedá Linkuj považovat za bezpečnou službu a osobně ji absolutně nedoporučuji používat na sdílených počítačích, v kavárnách, u kamaráda ...apod.

autor Jakub Dvořák | cal 24.7.2008 | Komentáře a informace k dění ze světa Internetu Internet |

Kometáře


Nick zaachi

To, ze je heslo v Cookies prohlizece ulozeno na linkuj.cz jako pain/text je uz dlouho znama skutecnost, a i na samotnem linkuj je o ni zalinkovana spousta clanku.
Nicmene, ty to tady popisujes, jako kdyby to byla buhvi jaka bezpecnostni chyba.
Pokud nechces mit heslo v cookies ulozeno, nepouzivej automaticke prihlaseni a budes mit po problemu.
Jinak to ze tam to heslo je ulozene neni zase tak velka bezpecnostni chyba, vzhledem k tomu, ze na linkuj je spousta jinych a mnohem zavaznejsich chyb.
Napriklad neni problem se prihlasit jako jakykoli uzivatel, ze ano - staci se trosicku snazit.
Pokud ty to resis tak, ze generujes Md5 a ukladas jej do cookies, tak to uz je temer jedno, zda tam bude pain-text, nebo hash. Utocnikovi staci vetsinou retezec, ktery se pouziva pro autorizaci a samotne heslo jej nezajima.

datum24.7.2008 18:07

Nové kometáře nejsou povolené.

Související články

hry pro win ce vietkong plna verze na pc dowland nastroj na psani sms zvuk iphone jar download program fotomontáže v need for speed most wanted KE STAZENI PLNA VERZE jak vratit smazanou historii v icq plocha pro miniaplikaci ps2 harry potter fenixuv navod

Pravda v očích

© 2012 Copyright Pravdavocich.cz Jakub Dvořák Zásady ochrany osobních údajů. Stránka generována 04.02. 2012, 11:04:29 za 0,0838s