1. This site uses cookies. By continuing to use this site, you are agreeing to our use of cookies. Learn more.

Парола за регистрация в plain text ?

Дискусията в 'Хостинг Форум' стартирана от И.ИваHоВ, Ян 9, 2018.

  1. И.ИваHоВ

    И.ИваHоВ New Member

    Рег.:
    Ян 5, 2018
    Съобщения:
    4
    Харесвания:
    2
    Точки:
    3
    Пол:
    Мъж
    Здравейте,

    Каква е тази практика, която отдавна би трябвало да е изчезнала да се изпраща по email паролата при регистрация в plain text формат?

    Благодаря!
     
  2. Attacker

    Attacker Active Member

    Рег.:
    Септ 7, 2008
    Съобщения:
    652
    Харесвания:
    147
    Точки:
    43
    Това е нищо. Има една компания с милиарди оборот, чийто вътрешен уеб софтуер няма SSL сертификат. Явно не им се занимава да си инсталират сертификат за $10, а вместо това предпочитат чувствителна финансова и оперативна информация за цялата им дейност да обикаля из интернет като plain text. А имат сигурно поне 100 души IT отдел.

    Какво остава за някакви сайтчета, които пращат пароли чрез имейл. Ще го оправят, когато под някаква форма бъдат притиснати - дали чрез закона, дали при случай на изтекла информация на клиент.
     
  3. hristonev

    hristonev Active Member

    Рег.:
    Авг 5, 2016
    Съобщения:
    372
    Харесвания:
    142
    Точки:
    43
    Пол:
    Мъж
    Ако ти я пратят sha512 ще можеш само да учиш английската азбука от низа на паролата. Иначе добрата практика е да ти пратят линк с валидност токън ауторизация.
     
  4. И.ИваHоВ

    И.ИваHоВ New Member

    Рег.:
    Ян 5, 2018
    Съобщения:
    4
    Харесвания:
    2
    Точки:
    3
    Пол:
    Мъж
    Добри практики има много. Просто някак си не разбирам как през 2018 все още фирмите не инвестират 3-4 часа време за използват някоя от тях. И то големи български хостинг компании, които твърдят, че държат на сигурността...
     
    hristonev харесва това.
  5. hristonev

    hristonev Active Member

    Рег.:
    Авг 5, 2016
    Съобщения:
    372
    Харесвания:
    142
    Точки:
    43
    Пол:
    Мъж
    Изводите се вадят лесно :D. Драсни коя е компанията да знаем къде държат на протокола за сигурност.
     
  6. И.ИваHоВ

    И.ИваHоВ New Member

    Рег.:
    Ян 5, 2018
    Съобщения:
    4
    Харесвания:
    2
    Точки:
    3
    Пол:
    Мъж
    Правя проучване за мой проект, който не е свързан със сигурност, просто ми се наби на очи. 2 от 2 до сега БГ хостинг компании изпратиха паролите в plain text. Superhosting и Jump.bg

    https://www.dropbox.com/s/4qv7g7sb1av901f/Screenshot 2018-01-10 09.31.52.png?dl=0

    Скоро ще тествам други.
     
  7. isilona

    isilona Member

    Рег.:
    Юли 11, 2016
    Съобщения:
    52
    Харесвания:
    8
    Точки:
    8
    а каква е драмата да ти пратят паролата в плейн текст .. че админа на мейл провайдъра ти ще я прочете ?
     
    ns1bg и bobbydigital харесват това.
  8. hristonev

    hristonev Active Member

    Рег.:
    Авг 5, 2016
    Съобщения:
    372
    Харесвания:
    142
    Точки:
    43
    Пол:
    Мъж
    Мейла по същина не е сигурно средство за комуникация (VPN е отделно). За някое блогче може да няма значение, но има проекти, в които сигурността е перо. След като рут паролата ти може да е била компрометирана то има ли смисъл да говорим по-натам за сигурност. Това е равносилно да пазиш плейн пароли на потребителите в базата. И не може да се очаква от хора/фирми имащи се за професионалисти!
     
  9. AMitrev

    AMitrev Well-Known Member

    Рег.:
    Авг 6, 2012
    Съобщения:
    1,365
    Харесвания:
    162
    Точки:
    63
    Пол:
    Мъж
    Място:
    София
    Драматурзи сте големи.

    Кой от вас ползва паролата по-подразбиране, която му е изпратена от хостинг доставчика?
     
    imagination, ns1bg и bobbydigital харесват това.
  10. И.ИваHоВ

    И.ИваHоВ New Member

    Рег.:
    Ян 5, 2018
    Съобщения:
    4
    Харесвания:
    2
    Точки:
    3
    Пол:
    Мъж
    По-големият проблем тук според мен е, че се изпраща паролата, която аз въвеждам при регистрация (не генерираната за cpanel акаунта, FTP акаунта и т.н.) в plain text формат. За повечето хора може и да не е драма, обаче всеки всеки, който поне малко държи на личните си данни се стресира когато види нещо такова при професионална фирма.

    За мен какъв е извода - всичко, което въведа като лични данни в акаунта е фира. Иначе както се вика - всеки има глава на раменете си. Просто исках да споделя :)
     
    hristonev харесва това.
  11. isilona

    isilona Member

    Рег.:
    Юли 11, 2016
    Съобщения:
    52
    Харесвания:
    8
    Точки:
    8
    Пробвай функционалността за забравена парола .. ако тогава тия я върне в плейн текст е притеснително ..
    Това че я праща при регистрация, не значи че не я bcrypt-ват като я записват в базата, а мейла да сглобяват преди това.
     
    imagination харесва това.

Сподели страницата