Pravda v očích.cz
Navštivte: Mozek tě vidí.net Olda Šálek fotogalerie Šálek.info Patrik Vogl.cz 5w.cz Komentáře

Navigace:Pravda v očích.czInternet ⇒ Zjistěte si heslo jakéhokoliv uživatele Linkuj.cz!

Zjistěte si heslo jakéhokoliv uživatele Linkuj.cz!

Před třemi měsíci jsem zveřejnil článek, ve kterém upozorňuji na vážnou bezpečnostní "díru" v redakčním systému Linkuj.cz. Bohužel, článek tehdy k ničemu nevedl. Když jsem upozornil přímo Martina Snopka e-mailem, neuráčil se ani odpovědět. Dnes jsem se podíval a zjistil…
agility video na stáhnutí, flash disk pda, jak si nainstalovat skin, tvorba fotomontáží online, placene dowlandy zdarma, počeštite si vistu, motiv visty do xp ke stažení, jak si nainstalovat skin do windows xp, tvrde porno se zviraty free, návod na přeinstalování XP,

Před třemi měsíci jsem zveřejnil článek, ve kterém upozorňuji na vážnou bezpečnostní "díru" v redakčním systému Linkuj.cz. Bohužel, článek tehdy k ničemu nevedl. Když jsem upozornil přímo Martina Snopka e-mailem, neuráčil se ani odpovědět. Dnes jsem se podíval a zjistil jsem, že tato závažná chyba na Linkuj stále je.

Proto cítím jako svou povinnost článek zveřejnit opětovně a snad s tím tentokrát někdo něco udělá.

O první českou bookmarkingovou službu Linkuj.cz se poslední dva roky její autoři téměř nestarají. To, že se z ní stává bohužel žumpa nekvalitních linků je smutná pravda, s tím se holt nedá nic dělat. Autoři už zjevně také nemají velký zájem to měnit. Dnes mě ale hodně překvapil přístup redakčního systému Linkuj, který vůbec nezabezpečuje hesla svých uživatelů.

Nenechte se mýlit, že CMS pohánějící Linkuj funguje profesionálně, on se tak jen tváří. Když totiž nahlédnete do cookies prohlížeče narazíte na položku cook_psw a ta obsahuje uložené vaše heslo v nijak nezašifrované formě. Je to pouhý plain-text! To znamená, že každý kdo by si prohlídl cookies ve vašem počítači, mohl by snadno získat vaše heslo.


To osobně považuji za naprostou neprofesionálnost. Osobně v PHP podobné věci řeším způsobem vygenerování klíče, který se uloží do cookies a podle kterého je relace později ověřována. Nikdy jsem heslo neukládal přímo do cookies a když už, tak alespoň v MD5 hashi.

Autoři systému Linkuj.cz by s tím měli urychleně něco udělat, protože do té doby se nedá Linkuj považovat za bezpečnou službu a osobně ji absolutně nedoporučuji používat na sdílených počítačích, v kavárnách, u kamaráda ...apod.

autor Jakub Dvořák | cal 24.7.2008 | Komentáře a informace k dění ze světa Internetu Internet |

Kometáře


Nick zaachi

To, ze je heslo v Cookies prohlizece ulozeno na linkuj.cz jako pain/text je uz dlouho znama skutecnost, a i na samotnem linkuj je o ni zalinkovana spousta clanku.
Nicmene, ty to tady popisujes, jako kdyby to byla buhvi jaka bezpecnostni chyba.
Pokud nechces mit heslo v cookies ulozeno, nepouzivej automaticke prihlaseni a budes mit po problemu.
Jinak to ze tam to heslo je ulozene neni zase tak velka bezpecnostni chyba, vzhledem k tomu, ze na linkuj je spousta jinych a mnohem zavaznejsich chyb.
Napriklad neni problem se prihlasit jako jakykoli uzivatel, ze ano - staci se trosicku snazit.
Pokud ty to resis tak, ze generujes Md5 a ukladas jej do cookies, tak to uz je temer jedno, zda tam bude pain-text, nebo hash. Utocnikovi staci vetsinou retezec, ktery se pouziva pro autorizaci a samotne heslo jej nezajima.

Nové kometáře nejsou povolené.

Související články

firefox about google grafika 3d icq 6 skiny wow jak stahovat s rapid share nečekat na RapidShare win 7 skins

Pravda v očích

© 2010 Copyright Pravdavocich.cz Jakub Dvořák Zásady ochrany osobních údajů