[Axelsson]

Vafan håller folk på med? Gratisbio och Gratisspotify sparar lösenord i klartext? Vad är det för idiot som har programmerat skiten?
Tom folk som inte är programmerare vet att det är hash + salt som gäller.

Det positiva är att folk fattar att dom måste välja starkare lösenord. "Password" är inte alla gånger det bästa valet. :P

[Ciffan]

Snälla rara, tillbaka till ämnet!

[Clarence]

Sporrad av Ciffans kommentar tog jag bort hela off-topic diskussionen. Är det så att ni verkligen vill föra den så skapa en ny tråd med en relevant frågeställning.

[rhdf]

Citat:

Ursprungligen postat av Axelsson

... Vad är det för idiot som har programmerat skiten?

Gissningsvis valfri "webbutvecklare" av idag tyvärr är det så (och har varit ett tag) att folk som har en bra affärsidé sällan är särskilt duktiga utvecklare. Alternativet då är att de gör jobbet själv med bristfälligt resultat eller så letar de upp någon som gör det år dem. Inte allt för sällan så blir det den som tar minst betalt som får jobbet.

Detta är såklart helt OK, om det inte vore för att projekt som borde kosta runt 100' görs för ~5' - 10' av någon som inte alls är kvalificerad för det. (nej man är inte fullärd webbutvecklare för att man läst webbdesajn A på gymnasiet)

Ett annat alternativ är att man köper/laddar hem ett färdigt system och inte har kunskapen för att kunna granska koden och hitta potentiella säkerhetsbrister.

Många hyfsat populära sidor är rena lapptäcken av klipp-o-klistra kod där det är uppenbart att den/de som byggt sidan från början hade ganska bristfälliga kunskaper.

[KristianE]

Citat:

Ursprungligen postat av rhdf

Många hyfsat populära sidor är rena lapptäcken av klipp-o-klistra kod där det är uppenbart att den/de som byggt sidan från början hade ganska bristfälliga kunskaper.

Som Microsoft menar du?

Sorry, kunde inte hålla mig.

Ha en härlig helg nu och fundera fram ett bra system för era lösenord!

[klein]

Det är väl misstag man gör i början, att man inte har några 100k att leka med. Oftast är hobby projekten som lyckas, just för det är hobby projekt, det finns arrangemang och drömmar.

Dock håller jag med ,att lagra lösenord klartext är illa, men man kanske tyckte det var enkelt från utvecklingens sida ,att kunna skicka lösenorden ingen.

Citat:

Ursprungligen postat av rhdf

Gissningsvis valfri "webbutvecklare" av idag tyvärr är det så (och har varit ett tag) att folk som har en bra affärsidé sällan är särskilt duktiga utvecklare. Alternativet då är att de gör jobbet själv med bristfälligt resultat eller så letar de upp någon som gör det år dem. Inte allt för sällan så blir det den som tar minst betalt som får jobbet.

Detta är såklart helt OK, om det inte vore för att projekt som borde kosta runt 100' görs för ~5' - 10' av någon som inte alls är kvalificerad för det. (nej man är inte fullärd webbutvecklare för att man läst webbdesajn A på gymnasiet)

Ett annat alternativ är att man köper/laddar hem ett färdigt system och inte har kunskapen för att kunna granska koden och hitta potentiella säkerhetsbrister.

Många hyfsat populära sidor är rena lapptäcken av klipp-o-klistra kod där det är uppenbart att den/de som byggt sidan från början hade ganska bristfälliga kunskaper.

[Davve]

Det är som att säga att det är tjejens fel att hon hade utmanande kläder på sig och därför blev hon våldtagen. Det är idioter som håller på med olagliga intrång som är boven, inte den som blir drabbad. Eller ni kanske menar att om ni glömmer att låsa dörren hemma så är det ok att komma in?

[Ciffan]

Det stora felet har naturligtvis den gjort som hackade sig in (om det nu var så det gått till) och tagit lösenordsbasen och sedan lagt ut den. Om det tror jag inte det råder någon oenighet om.

Men sedan tycker jag att man har särskilda förpliktelser när man hanterar andras tillhörigheter, speciellt om man vet att de är "stöldbegärliga". Om jag t ex förvarar någons laptop hemma hos mig och ställer den på köksbordet och går i väg utan att låsa dörren då tycker jag att även jag har en del i skulden om den stjäls. Om jag däremot förvarat den så säkert jag kan så har jag ingen skuld i det. Vad som kan ingå i "så säkert jag kan" beror på situationen.

Det är detta som gör att jag anser att siteägaran kan ha del i skulden. Liksom de journalister som använt samma lösenord på sin arbetsmail där de förvarar kontakter och material de fått från andra

Skuld har däremot inte de som utsatts för inbrott och stölder där deras saker försvunnit. Här handlar det snarare om vad man kan göra för att skydda sig mot att bli utsatt för brott av olika slag, brott som vi vet sker.

[Gustav]

Själva problemet ligger i att det råder delat ansvar, vilket innebär att ingen känner sig helt ansvarig.

Uppdragsgivaren litar på att programmeraren gör sitt jobb. Programmeraren litar på att användarna inte återanvänder viktiga lösenord. Användaren litar på att lösenordet hanteras säkert, osv.

Så det går egentligen inte att peka finger mot någon. Mitt eget lösenord blev hackat i den här härvan. No big deal, eftersom jag hade använt ett unikt lösenord som jag inte använder på annat håll. Jag är alltså inte det minsta sur över att Bloggtoppen bara använde m5d. Men hade jag använt samma lösenord som jag har till min inbox eller server, så hade jag förmodligen varit rosenrasande (både på mig själv och bloggtoppen).

Det krävs att flera personer ska klanta sig, för att olyckan ska vara framme. Samtidigt så är både programmerare och användare benägna att klanta sig, eftersom de utgår ifrån att den andra parten gör rätt.

[rhdf]

Om man som programmerare förutsätter att användare gör "rätt" eller precis som man tänkt, så är man en dålig programmerare

Om man kodar någonting där det skall vara användare inblandat så måste man tyvärr utgå från att användare är idioter och sen försöka hantera det. Att folk har värdelösa lösenord, som de dessutom återanvänder, är ju ingen nyhet.

(Ett av de få sätten att stoppa detta är väl att generera lösenordet åt användaren)