Syslel hacknul živě

Rady, náměty, připomínky...

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod Petr_S 28. 1. 2007 19:58

zvonicek píše:A zajímavé je, že je pod tímto článkem zakázaná diskuse :lol:e/quote]


Ne tak docela: http://zive.cz/!textove_diskuse/F.asp?A ... 097&HID=19
Petr_S
Pokročilý

Odeslat příspěvekod Ares952 28. 1. 2007 20:10

hlavne by se mel zmenit zpusob ukladani hesel, nelibi se mi, ze jsou v plain textu :?
Naděje je motorem duše
Ares952
Mírně pokročilý
Uživatelský avatar

Odeslat příspěvekod Radek.Hulan 28. 1. 2007 20:24

XSS není žádná vyjímečná věc, skoro každý produkt měl/má XSS zranitelnost. Nicméně, pikantní je na tom doslova demence programátorů Živě.cz. Ukládat hesla jako plain-text do cookie může jen naprostá lama, kterou bych ani programátor nenazýval.

Pokud už se řeší login tímto způsobem, neukládá se do cookies ani hash (md5, sha1) hesla, ale pouze unikátní klíč pro každé jednotlivé přihlášení. Zásadně se ale hesla neukládají jako plain-text.

Prostě to, co se stalo Živě.cz, by mělo mít za důsledek vyhození těch pitomců, co to programují, na dlažbu.
Radek.Hulan
Junior
Uživatelský avatar

Odeslat příspěvekod Brut 28. 1. 2007 20:45

Pitomec jseš možná ty... :D
Brut
Junior

Odeslat příspěvekod r34ktor 28. 1. 2007 20:47

Petr_S píše:
zvonicek píše:A zajímavé je, že je pod tímto článkem zakázaná diskuse :lol:l/quote]

Ne tak docela: http://zive.cz/!textove_diskuse/F.asp?A ... 097&HID=19

Do "zakázané" diskuze pod článkem lze bez problémů vstoupit. Pokud chcete, můžete i přidat příspěvek.
Knowledge is power
Greinerův poznatek o zhroucení: Důvod, proč se počítač zhroutil, je vždy za hranicí tvých znalostí.
r34ktor
Pokročilý
Uživatelský avatar

Odeslat příspěvekod Lumpi 28. 1. 2007 20:54

r34ktor píše:
Petr_S píše:
zvonicek píše:A zajímavé je, že je pod tímto článkem zakázaná diskuse :lol:l/quote]

Ne tak docela: http://zive.cz/!textove_diskuse/F.asp?A ... 097&HID=19

Do "zakázané" diskuze pod článkem lze bez problémů
Lumpi
Junior

Odeslat příspěvekod 0ggy 28. 1. 2007 21:56

Radek.Hulan píše:XSS není žádná vyjímečná věc, skoro každý produkt měl/má XSS zranitelnost. Nicméně, pikantní je na tom doslova demence programátorů Živě.cz. Ukládat hesla jako plain-text do cookie může jen naprostá lama, kterou bych ani programátor nenazýval.

Pokud už se řeší login tímto způsobem, neukládá se do cookies ani hash (md5, sha1) hesla, ale pouze unikátní klíč pro každé jednotlivé přihlášení. Zásadně se ale hesla neukládají jako plain-text.

Prostě to, co se stalo Živě.cz, by mělo mít za důsledek vyhození těch pitomců, co to programují, na dlažbu.e/quote]


Nechápu proč se tím takový génius jako ty zabývá, jdi si někde meditovat do přírody. Na ty tvoje debilní kecy nemám náladu tak jako asi většina lidí tady. Jdi si namasírovat svoje superego na ten svůj deníček plný patolízalů a neotravuj.
0ggy
Kolemjdoucí

Odeslat příspěvekod AndrewJ 28. 1. 2007 22:10

Oggy: nejsi náhodou jen závistivý pitomec? :)
AndrewJ
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod Z@chi 28. 1. 2007 22:10

0ggy píše:Nechápu proč se tím takový génius jako ty zabývá, jdi si někde meditovat do přírody. Na ty tvoje debilní kecy nemám náladu tak jako asi většina lidí tady. Jdi si namasírovat svoje superego na ten svůj deníček plný patolízalů a neotravuj.t/quote]


Debil jsi tady zrejme ty (nic ve zlem), ale RH ma pravdu. Pokud je pravda to co se zde pise, a hesla byla vazne ulozena jako plain/text, tak by programator zaslouzil minimalne prehnout prez koleno.
Takovou blbost neudela ani "uhrovity teenager" (ze rado), ktery se uci programovat.
Je to fakt blbost programatoru.
Chyba v podobne CSS neni skutecne zadnou velkou raritou, protoze se ji lze velice snadno dopustit, konktretne pokud beru v uvahu tady takove foru, kde vkladaji texty lidi.
Bohuzel udelat tak stupidni chybu, jakou udelali tady na zive se jenom tak nevidi.
Z@chi
Junior
Uživatelský avatar

Odeslat příspěvekod 0ggy 28. 1. 2007 22:18

Neříkám že Radek nemá pravdu (tu vyjímečně má a i kdyby neměl jistě by mi sám zdůvodnil mou tupost, závist a tak), nicméně v poslední době jsem zřejmě díky nějakému typu dočasného pominutí mysli přečetl několik článků tady toho vychloubačného superignoranta. Neukládání hesel v plain-textu jsem doteď bral jako samozřejmost...

PS: Ano Radku, strašlivě ti závidím, každé ráno půl hodiny brečím do polštáře že nemůžu mít tak velké IQ, tak velký penis, tak výkonný počítač, tak správné a pravdivé názory atd. A proto že s tebou nesouhlasím jsem prostě jen další ze závistivých pubescentů...
0ggy
Kolemjdoucí

Odeslat příspěvekod Tomcat 28. 1. 2007 22:36

Tak na indexu uz je kratka zprava s infem o tom, ze zive bylo hacknuto. pokud to tam nedal opet sysel, tak jsem rad, ze se k tomu zodpovedni lide postavili celem - tak to ma byt.
"Nemůžete nikoho nic naučit. Můžete mu nanejvýš pomoci, aby to sám v sobě nalezl. " Galileo Galilei
Tomcat
Junior
Uživatelský avatar

Odeslat příspěvekod Z@chi 28. 1. 2007 23:05

:-) vidim ze RH nemeskal a rychle si vylil nervy i na svem blogu :-)))
Z@chi
Junior
Uživatelský avatar

Odeslat příspěvekod miho 28. 1. 2007 23:30

To je sice pekne ale je kapanek mimo. Hesla jsou proste v tomto redakcnim systemu ulozena v databazi v plain textu (coz urcite neni optimalni ale samo o sobe to neni kriticke). Nikde se ale neukladaji do cookie. Ani v plain textu ani v podobe hashe. Administrace MF proste automaticke prihlaseni nenabizi takze zadna cookie neni.

RH proste nepochopil jak ten utok probehl.
miho
Hlavní administrátor
Uživatelský avatar

Odeslat příspěvekod hekrhy 28. 1. 2007 23:47

souhlasim s miho...ono ukladat hesla v plaintextu sice neni zrovna nejlepsi, ale ono uz je z hlediska bezpecnosti skoro jedno, jestli je ukladam primo, nebo jenom jejich hash... a jinak RH by si svoje dementni vylevy mel publikovat na svem blogu a ne tam, kde si to muzou precist i normalni rozumni lide - mimochodem absolutne nepochopil, jak tenhle XSS funguje :wink:
hekrhy
Junior
Uživatelský avatar

Odeslat příspěvekod Z@chi 28. 1. 2007 23:51

hekrhy píše:ale ono uz je z hlediska bezpecnosti skoro jedno, jestli je ukladam primo, nebo jenom jejich hash...

to je teda pekna blbost!!
Z@chi
Junior
Uživatelský avatar

Předchozí stránkaDalší stránka

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků