Citat:
|
Ursprungligen postat av grazzy
Citat:
|
Ursprungligen postat av Daniel.st
Har följt detta på Dans blogg och Dagens Media och jag tycker också att det är märkligt att administratörerna har möjlighet att se lösenorden/koderna, det är illa. Däremot verkar det inte framkomma om de verkligen lagrar lösenorden/koderna i klartext också eller hur detta fungerar. Att visa det för administratörer behöver ju inte betyda att lösenorden lagras i klartext så att man får tillgång till dem om man kommer över en dump av dbn eller liknande.
|
Det är ungefär lika illa om de lagras med ett krypto som gör att det visas för administratörerna. Det betyder att de delar som krävs för att lösa upp krypteringen finns i samma system (jag tror knappast blocket.se/family.se har avancerade kryptolösningar med distribuerade lösningar).
Som administratör vore det en enkel sak att gå igenom konton och skriva upp lösenord för framtida bruk tex, eller till försäljning till högstbjudande.
|
Visst har du helt rätt i att det vore enkelt för en administratör att plocka ut en lista på användare och lösenord. Det är riktigt illa och där är vi helt eniga, hela affären stinker!
Samma system, jo men två olika delar av samma system. Att man kan lyckas sno åt sig en dump av dbn betyder inte per automatik att man kan komma åt lösningen som dekrypterar lösenorden i dbn. Även om det är samma system kan det handla om olika servrar för db och applikationer (vilket man oftast har) och olika sårbarheter och "barriärer". Nu är det mycket möjligt att du har rätt, men jag tycker iaf. att det är en skillnad mellan om de också sparar lösenorden i klartext eller krypterat, som i så fall är ett problem förrutom att administratörerna kan se lösenorden.