[grazzy]

Jesper Lillesköld från Schibsteds mediabolag säger följande på Dagensmedia.se

Citat:

Att Blocket.se och Family kallar koden för just lösenord och att många användare kanske använder samma lösenord hit som till mer viktiga sajter ser han inte som något problem.

- Nej, det här är ju inget lösenord som sagt. Det har fungerat utmärkt att ha den här lösningen i 11 år på Blocket.se utan att vi hört om några problem.

Läs mer på Dagens Media

[grazzy]

Som vi vet så är det ett fett no-no att lagra lösenord i klartext eftersom det underlättar något enormt för identitetstjuvar att stjäla lösenord. För att inte tala om integriteten för användarna när sidans administratör kan läsa dem.

Ett talande exempel på vad som kan hända med ett bortlupet lösenord är tex historien om förföljaren till en av medlemmarna i Linkin' Park (wired.com).

Det är riktigt många som använder samma lösenord överallt, när blocket sitter på en samling data med lösenord och emails för 11 år så är det en hackers dream come true. Och alla säkerhetsmedvetnas mardröm.

[WizKid]

Får verkligen hoppas att blocket nu snabbt ändrar och plockar bort alla klartext lösenord.

[Daniel.st]

Har följt detta på Dans blogg och Dagens Media och jag tycker också att det är märkligt att administratörerna har möjlighet att se lösenorden/koderna, det är illa. Däremot verkar det inte framkomma om de verkligen lagrar lösenorden/koderna i klartext också eller hur detta fungerar. Att visa det för administratörer behöver ju inte betyda att lösenorden lagras i klartext så att man får tillgång till dem om man kommer över en dump av dbn eller liknande.

[HenSod]

Fy fan för Schibsteds och deras tjänster!

[grazzy]

Citat:

Originally posted by Daniel.st@Aug 10 2007, 17:39
Har följt detta på Dans blogg och Dagens Media och jag tycker också att det är märkligt att administratörerna har möjlighet att se lösenorden/koderna, det är illa. Däremot verkar det inte framkomma om de verkligen lagrar lösenorden/koderna i klartext också eller hur detta fungerar. Att visa det för administratörer behöver ju inte betyda att lösenorden lagras i klartext så att man får tillgång till dem om man kommer över en dump av dbn eller liknande.

Det är ungefär lika illa om de lagras med ett krypto som gör att det visas för administratörerna. Det betyder att de delar som krävs för att lösa upp krypteringen finns i samma system (jag tror knappast blocket.se/family.se har avancerade kryptolösningar med distribuerade lösningar).

Som administratör vore det en enkel sak att gå igenom konton och skriva upp lösenord för framtida bruk tex, eller till försäljning till högstbjudande.

[ztream]

Jag tycker det värsta är att de faktiskt "granskar" folks lösenord. Sen att de sparar allt tillgängligt för admins är också pinsamt såklart.

[HenSod]

Vulken vanlig webmaster skulle granska medlemmars lösenord än mindre ge ut det till andra administratörer? Jag tycker det är ett riktigt ruttet beteende. Jag örespråkar ven att användarnamn ska vara hashat eller krypterat, men det är min åsikt.

[Daniel.st]

Citat:

Ursprungligen postat av grazzy

Citat:

Det är ungefär lika illa om de lagras med ett krypto som gör att det visas för administratörerna. Det betyder att de delar som krävs för att lösa upp krypteringen finns i samma system (jag tror knappast blocket.se/family.se har avancerade kryptolösningar med distribuerade lösningar).
Som administratör vore det en enkel sak att gå igenom konton och skriva upp lösenord för framtida bruk tex, eller till försäljning till högstbjudande.

Visst har du helt rätt i att det vore enkelt för en administratör att plocka ut en lista på användare och lösenord. Det är riktigt illa och där är vi helt eniga, hela affären stinker!

Samma system, jo men två olika delar av samma system. Att man kan lyckas sno åt sig en dump av dbn betyder inte per automatik att man kan komma åt lösningen som dekrypterar lösenorden i dbn. Även om det är samma system kan det handla om olika servrar för db och applikationer (vilket man oftast har) och olika sårbarheter och "barriärer". Nu är det mycket möjligt att du har rätt, men jag tycker iaf. att det är en skillnad mellan om de också sparar lösenorden i klartext eller krypterat, som i så fall är ett problem förrutom att administratörerna kan se lösenorden.

[Alpha]

Jag använder aldrig samma lösenord på sånna sajter som jag gör på viktiga prylar :blink:

Det borde man egentligen inte göra heller..