WN
Sidan 9 av 9 « Första 78 9
Visa 40 inlägg från det här ämnet på en sida

WN (https://www.wn.se/forum/index.php)
-   Nyheter (https://www.wn.se/forum/forumdisplay.php?f=3)
-   -   Bloggtopppen.se och SQL injection - Fin fil med alla users (https://www.wn.se/forum/showthread.php?t=1050616)

SimonP 2011-10-29 19:27
Citat:
Ursprungligen postat av rhdf (Inlägg 20422020)
Om man som programmerare förutsätter att användare gör "rätt" eller precis som man tänkt, så är man en dålig programmerare ;)

Om man kodar någonting där det skall vara användare inblandat så måste man tyvärr utgå från att användare är idioter och sen försöka hantera det.
Japp, håller med om detta.

Saker man bör ha:
-lösenordspolicy för att undvika alltför svaga lösenord
-hashning och saltning av lösenord
-spärr som träder in vid för många felaktiga inloggningsförsök
-filter/kontroll av inkommande data

Om man som programmerare gjort ovanstående så är det inte mkt mer man kan göra, resten hänger på användaren själv samt på serveradministratören.

klein 2011-10-30 07:51
Hacket emot gratisbio har nog orsakat en del relations störningar, förhoppningvis blir det en väckaklocka för många. Om man läser den här tråden på Flashback ( https://www.flashback.org/t1696950p217 ) , så har man busat runt en hel del på folk facebook konto, en del flashbackare har trollat riktigt duktig på folk facebook. ( Någon trollade på facebook att hon var gradvid... )

Sedan lär antalet spam öka till dessa 300k epost adresser i framtiden, för dem som vill skicka reklam så är detta hack en guldgruva.

Citat:
Ursprungligen postat av SimonP (Inlägg 20422029)
Japp, håller med om detta.

Saker man bör ha:
-lösenordspolicy för att undvika alltför svaga lösenord
-hashning och saltning av lösenord
-spärr som träder in vid för många felaktiga inloggningsförsök
-filter/kontroll av inkommande data

Om man som programmerare gjort ovanstående så är det inte mkt mer man kan göra, resten hänger på användaren själv samt på serveradministratören.

Erik Stenman 2011-10-30 19:20
Är det några andra som råkat ut för att någon/några försökt logga in på era olika affiliatekonton för olika nätverk. För mig själv så fanns inga korrekta lösenord med i någon släppt dump men eftersom jag fått mail med en återställningslänk för lösenordet till tradedoubler känns det som om någon sitter och kör dumparna mot diverse sidor.

BarateaU 2011-10-31 10:15
Citat:
Ursprungligen postat av Erik Stenman (Inlägg 20422122)
Är det några andra som råkat ut för att någon/några försökt logga in på era olika affiliatekonton för olika nätverk. För mig själv så fanns inga korrekta lösenord med i någon släppt dump men eftersom jag fått mail med en återställningslänk för lösenordet till tradedoubler känns det som om någon sitter och kör dumparna mot diverse sidor.
Jopp samma här, men kan lika gärna vara TD system som muppar.

eliasson 2011-11-02 13:58
Citat:
Ursprungligen postat av Gustav (Inlägg 20421696)
Men ca nio timmar tar det med min Core i5 2500 att knäcka mitt eget lösenord med den mjukvara som jag använder (dvs den mjukvara som jag laddade ner för ändamålet, knacka lösenord är ingenting jag normalt ägnar mig åt). Mitt lösenord var zsv95JnX, dvs inga specialtecken.

Jag kan mindre än noll om kryptering. Så nio timmar tog det för mig som inte kan ett smack om lösenord. För en hacker skulle det förmodligen gå betydligt fortare.
Prova att använda din GPU så skall du allt få se på resultat.

BjörnJ 2011-11-12 19:47
Citat:
Ursprungligen postat av SimonP (Inlägg 20421688)
Saltet bör läggas efter lösenordet för att försvåra bruteforce
Kan du utveckla det där?

BjörnJ 2011-11-12 20:07
Citat:
Ursprungligen postat av Davve (Inlägg 20421981)
Det är idioter som håller på med olagliga intrång som är boven, inte den som blir drabbad. Eller ni kanske menar att om ni glömmer att låsa dörren hemma så är det ok att komma in?
Det är givetvis fel att gå in även om det är olåst, men om man glömmer låsa dörren är det inte ok att det innanför dörren finns en nyckelknippa med uppmärkta nycklar till de 100 000 närmaste grannarna...

Dessutom är det ofta många dörrar att låsa. Är alla verkligen låsta ordentligt?

Som Gustav skrev är det flera som har ansvar. Det var fel att göra intrång och kopiera databasen. Det var fel att lösenorden inte var skyddade ordentligt. Det är fel av användare att ha för enkla lösenord eller samma lösenord på flera ställen.

Som utvecklare, utgå från att någon kan komma över databasen.
Som utvecklare, utgå från att många användare kommer att göra fel om de får chansen.
Som användare, utgå från att någon kommer att komma över något/några av dina lösenord.

AnOnYmUs 2011-11-12 20:56
Kan ju tillägga att det bör stå "INTE till din e-post" vid Lösenords-formuläret. Tycker många sajter saknar det här.

tartareandesire 2011-11-12 22:45
Citat:
Ursprungligen postat av BjörnJ (Inlägg 20423642)
Kan du utveckla det där?
Han har tidigare redogjort för detta i den här tråden:

http://www.wn.se/t30777.html


Alla tider är GMT +2. Klockan är nu 20:47.
Sidan 9 av 9 « Första 78 9
Visa 40 inlägg från det här ämnet på en sida

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson