Парола за регистрация в plain text ?

Дискусията в 'Хостинг Форум' стартирана от И.ИваHоВ, Ян 9, 2018.

  1. И.ИваHоВ

    И.ИваHоВ New Member

    Рег.:
    Ян 5, 2018
    Съобщения:
    23
    Харесвания:
    7
    Точки:
    3
    Пол:
    Мъж
    Здравейте,

    Каква е тази практика, която отдавна би трябвало да е изчезнала да се изпраща по email паролата при регистрация в plain text формат?

    Благодаря!
     
  2. Attacker

    Attacker Active Member

    Рег.:
    Септ 7, 2008
    Съобщения:
    727
    Харесвания:
    189
    Точки:
    43
    Това е нищо. Има една компания с милиарди оборот, чийто вътрешен уеб софтуер няма SSL сертификат. Явно не им се занимава да си инсталират сертификат за $10, а вместо това предпочитат чувствителна финансова и оперативна информация за цялата им дейност да обикаля из интернет като plain text. А имат сигурно поне 100 души IT отдел.

    Какво остава за някакви сайтчета, които пращат пароли чрез имейл. Ще го оправят, когато под някаква форма бъдат притиснати - дали чрез закона, дали при случай на изтекла информация на клиент.
     
  3. hristonev

    hristonev Active Member

    Рег.:
    Авг 5, 2016
    Съобщения:
    494
    Харесвания:
    198
    Точки:
    43
    Пол:
    Мъж
    Ако ти я пратят sha512 ще можеш само да учиш английската азбука от низа на паролата. Иначе добрата практика е да ти пратят линк с валидност токън ауторизация.
     
  4. И.ИваHоВ

    И.ИваHоВ New Member

    Рег.:
    Ян 5, 2018
    Съобщения:
    23
    Харесвания:
    7
    Точки:
    3
    Пол:
    Мъж
    Добри практики има много. Просто някак си не разбирам как през 2018 все още фирмите не инвестират 3-4 часа време за използват някоя от тях. И то големи български хостинг компании, които твърдят, че държат на сигурността...
     
    hristonev харесва това.
  5. hristonev

    hristonev Active Member

    Рег.:
    Авг 5, 2016
    Съобщения:
    494
    Харесвания:
    198
    Точки:
    43
    Пол:
    Мъж
    Изводите се вадят лесно :D. Драсни коя е компанията да знаем къде държат на протокола за сигурност.
     
  6. И.ИваHоВ

    И.ИваHоВ New Member

    Рег.:
    Ян 5, 2018
    Съобщения:
    23
    Харесвания:
    7
    Точки:
    3
    Пол:
    Мъж
    Правя проучване за мой проект, който не е свързан със сигурност, просто ми се наби на очи. 2 от 2 до сега БГ хостинг компании изпратиха паролите в plain text. Superhosting и Jump.bg

    https://www.dropbox.com/s/4qv7g7sb1av901f/Screenshot 2018-01-10 09.31.52.png?dl=0

    Скоро ще тествам други.
     
  7. isilona

    isilona Member

    Рег.:
    Юли 11, 2016
    Съобщения:
    64
    Харесвания:
    10
    Точки:
    8
    а каква е драмата да ти пратят паролата в плейн текст .. че админа на мейл провайдъра ти ще я прочете ?
     
    ns1bg и bobbydigital харесват това.
  8. hristonev

    hristonev Active Member

    Рег.:
    Авг 5, 2016
    Съобщения:
    494
    Харесвания:
    198
    Точки:
    43
    Пол:
    Мъж
    Мейла по същина не е сигурно средство за комуникация (VPN е отделно). За някое блогче може да няма значение, но има проекти, в които сигурността е перо. След като рут паролата ти може да е била компрометирана то има ли смисъл да говорим по-натам за сигурност. Това е равносилно да пазиш плейн пароли на потребителите в базата. И не може да се очаква от хора/фирми имащи се за професионалисти!
     
  9. AMitrev

    AMitrev Well-Known Member

    Рег.:
    Авг 6, 2012
    Съобщения:
    1,535
    Харесвания:
    234
    Точки:
    63
    Пол:
    Мъж
    Място:
    София
    Драматурзи сте големи.

    Кой от вас ползва паролата по-подразбиране, която му е изпратена от хостинг доставчика?
     
    imagination, ns1bg и bobbydigital харесват това.
  10. И.ИваHоВ

    И.ИваHоВ New Member

    Рег.:
    Ян 5, 2018
    Съобщения:
    23
    Харесвания:
    7
    Точки:
    3
    Пол:
    Мъж
    По-големият проблем тук според мен е, че се изпраща паролата, която аз въвеждам при регистрация (не генерираната за cpanel акаунта, FTP акаунта и т.н.) в plain text формат. За повечето хора може и да не е драма, обаче всеки всеки, който поне малко държи на личните си данни се стресира когато види нещо такова при професионална фирма.

    За мен какъв е извода - всичко, което въведа като лични данни в акаунта е фира. Иначе както се вика - всеки има глава на раменете си. Просто исках да споделя :)
     
    hristonev харесва това.
  11. isilona

    isilona Member

    Рег.:
    Юли 11, 2016
    Съобщения:
    64
    Харесвания:
    10
    Точки:
    8
    Пробвай функционалността за забравена парола .. ако тогава тия я върне в плейн текст е притеснително ..
    Това че я праща при регистрация, не значи че не я bcrypt-ват като я записват в базата, а мейла да сглобяват преди това.
     
    imagination харесва това.

Сподели страницата

  1. This site uses cookies. By continuing to use this site, you are agreeing to our use of cookies.
    Dismiss Notice