Opisywany temat zwiazany jest z brakiem swiadomosci uzytkownikow, ktorzy uzywali bardzo prostych hasel
Aroganckie tłumaczenie, zupełnie pomijające drugą stronę medalu. Gdyby wykop był poprawnie zabezpieczony przeciwko atakom brute-force, to nawet proste hasła dawałyby jako-takie bezpieczeństwo. Skąd wiesz, że mam hasło dupa8? Może mam asdf, a może qwerty. Wbrew pozorom, prostych haseł jest całkiem sporo. Sęk w tym, że w żadnym wypadku atakujący nie powinien mieć pełnej swobody w wysyłaniu żądań logowania, tak
@Nagor: Po części tak. Nie było żadnego wycieku, a "złamane" konta posiadały hasła typu "qwerty" czy "dupa123". Winą wypoku jest natomiast to, że system zezwala na kilkadziesiąt tysięcy prób logowania na minutę.
@Nagor: Oczywiście, jak się włamali Tuskowi na stronę kancelarii premiera to cały wykop się śmiał że sam sobie winien. A teraz? Białek jak mogłeś dopuścić do tego żeby ktoś się włamał na moje konto z hasłem 12345!
I nie mówcie mi hipokryci że to były inne czasy xD
@Mawak: niektórych haseł nawet #!$%@? nie idzie nazwać, na przykład login=hasło lub perełki typu 11111 albo aaaaa. Normalnie Janusze zabezpieczeń, ciekawe czy drzwi do domu też zostawiają otwarte. Czy naprawdę ciężko wymyślić coś w stylu hasłoDoSerwisuZeŚmiesznymiObrazkamiCycki i je zapamiętać w przeglądarce?
@Mawak: niektórych haseł nawet #!$%@? nie idzie nazwać, na przykład login=hasło lub perełki typu 11111 albo aaaaa. Normalnie Janusze zabezpieczeń, ciekawe czy drzwi do domu też zostawiają otwarte. Czy naprawdę ciężko wymyślić coś w stylu hasłoDoSerwisuZeŚmiesznymiObrazkamiCycki i je zapamiętać w przeglądarce?
@onechaos: Ale wiesz jaki problem? Brak zabezpieczeń do wpisywania błędnego hasła wielokrotne, efekt? Przyjmując że jechał po kolei schematem nick + cyfry najpierw i zakładając że np Mawak miałby
1) Wykop posiadał jakikolwiek zabezpieczenia przeciwko logowaniu: brute force np po 20 próbach ban czasowy 2) Ktoś tam w serwerowni pilnował logów 3) Żeby kur.. zimplementowali logi i porzadną autentykacje 4) przydał by się HTTPS ale jego brak tutaj nie był istotny w tym ataku.
A wystarczyła by recaptcha po X próbach błędnego logowania na konto... + W wypadku wykrycia nasilonych prób globalnie, niezaufane IP od razu wymagać recaptcha.
No ale 8 lat czekaliśmy na captcha dla rejestracji... Poczekamy kolejne 8 lat na logowanie...
“Dementujemy informacje o wlamaniu do bazy danych. Opisywany temat zwiazany jest z brakiem swiadomosci uzytkownikow, ktorzy uzywali bardzo prostych hasel”
No #!$%@? kisne xD Nie dośc że nie masz chłopie HTTPS (a nawet onet to ma i możliwe że z tego powodu rozdaje swoj certyfikat) to jeszcze zrzucasz wine na użytkowników że metodą brute-force włamali się do TWOJEGO serwisu XD
@DivideByZero: Jeżeli wykop.pl pozwala na tworzenie tak prostych haseł, to musi mieć świetne zabezpieczenia! Niestety ich nie ma! To przede wszystkim wina wykop.pl, a nie użytkowników! Większość portali uniemożliwia tworzenie tak prostych haseł, nawet gdy są bezpieczniejsze od wykopu.
Użytkownicy są na końcu tej przesranej afery ;) Informowanie nas o rzeczach które bezpośrednio nas dotyczą poprzez suche komunikaty na innym serwisie jest co najmniej dośc osobliwym posunięciem. Tak to widzę; ( ͡°ʖ̯͡°)
Komentarze (200)
najlepsze
Aroganckie tłumaczenie, zupełnie pomijające drugą stronę medalu. Gdyby wykop był poprawnie zabezpieczony przeciwko atakom brute-force, to nawet proste hasła dawałyby jako-takie bezpieczeństwo. Skąd wiesz, że mam hasło dupa8? Może mam asdf, a może qwerty. Wbrew pozorom, prostych haseł jest całkiem sporo. Sęk w tym, że w żadnym wypadku atakujący nie powinien mieć pełnej swobody w wysyłaniu żądań logowania, tak
I nie mówcie mi hipokryci że to były inne czasy xD
@Mawak: niektórych haseł nawet #!$%@? nie idzie nazwać, na przykład login=hasło lub perełki typu 11111 albo aaaaa. Normalnie Janusze zabezpieczeń, ciekawe czy drzwi do domu też zostawiają otwarte. Czy naprawdę ciężko wymyślić coś w stylu hasłoDoSerwisuZeŚmiesznymiObrazkamiCycki i je zapamiętać w przeglądarce?
@onechaos: Ale wiesz jaki problem? Brak zabezpieczeń do wpisywania błędnego hasła wielokrotne, efekt? Przyjmując że jechał po kolei schematem
nick + cyfry najpierw i zakładając że np Mawak miałby
1) Wykop posiadał jakikolwiek zabezpieczenia przeciwko logowaniu: brute force np po 20 próbach ban czasowy
2) Ktoś tam w serwerowni pilnował logów
3) Żeby kur.. zimplementowali logi i porzadną autentykacje
4) przydał by się HTTPS ale jego brak tutaj nie był istotny w tym ataku.
A tak w ogóle to @m__b - napraw tagi
+ W wypadku wykrycia nasilonych prób globalnie, niezaufane IP od razu wymagać recaptcha.
No ale 8 lat czekaliśmy na captcha dla rejestracji... Poczekamy kolejne 8 lat na logowanie...
Ale co ja tam wiem... Zielony jestem...
No #!$%@? kisne xD Nie dośc że nie masz chłopie HTTPS (a nawet onet to ma i możliwe że z tego powodu rozdaje swoj certyfikat) to jeszcze zrzucasz wine na użytkowników że metodą brute-force włamali się do TWOJEGO serwisu XD
Informowanie nas o rzeczach które bezpośrednio nas dotyczą poprzez suche komunikaty na innym serwisie jest co najmniej dośc osobliwym posunięciem.
Tak to widzę; ( ͡° ʖ̯ ͡°)