[klein]

Jag gillar det där med lösenord i klartext...

Citat:

Ursprungligen postat av Lumax

"Under måndagskvällen skedde ett intrång på sajten Gratisbio.se. Angriparen säger sig ha kommit över över 200 000 användarnamn och lösenord i klartext."

http://www.idg.se/2.1085/1.333066/in...ot-gratisbiose

[Nilsson]

Vad är det för korkade resonemang? Bara för att du har glömt låsa, har trasigt lås, inte vill låsa eller någon annan anledning så är det inte fritt fram för tjuven att tycka att han skall gå in och ta vad han vill ha. Det kan ALDRIG bli rätt att ta någon annans egendom oavsett om man har skyddat sig korrekt enligt konstens alla regler eller inte skyddat sig alls.

Börjar man hålla på som i ert resonemang att idag är det okay att sno lösenord om de är i klartext men inte okay att sno lösenord om de är hashade så hur ser det ut i morgon. Är det okay att sno lösenorden som är krypterade då men inte på ett annat sätt. Det är ALDRIG okay att sno något som inte tillhör en själv.

Urbota korkat resonemang och man förstår varför det finns så mycket internetbedrägerier om man har åsikten att 'man får skylla sig själv om man inte skyddar sig tillräckligt bra'.

[tartareandesire]

Citat:

Ursprungligen postat av Nilsson

Vad är det för korkade resonemang? Bara för att du har glömt låsa, har trasigt lås, inte vill låsa eller någon annan anledning så är det inte fritt fram för tjuven att tycka att han skall gå in och ta vad han vill ha. Det kan ALDRIG bli rätt att ta någon annans egendom oavsett om man har skyddat sig korrekt enligt konstens alla regler eller inte skyddat sig alls.

Börjar man hålla på som i ert resonemang att idag är det okay att sno lösenord om de är i klartext men inte okay att sno lösenord om de är hashade så hur ser det ut i morgon. Är det okay att sno lösenorden som är krypterade då men inte på ett annat sätt. Det är ALDRIG okay att sno något som inte tillhör en själv.

Urbota korkat resonemang och man förstår varför det finns så mycket internetbedrägerier om man har åsikten att 'man får skylla sig själv om man inte skyddar sig tillräckligt bra'.

Absolut, håller med dig helt och hållet. Det resonemanget är helt orimligt. Naturligtvis vill alla sajtägare skydda sig, att anta något annat är rent ut sagt korkat. Det behövs ingen förändring i lagstiftningen där men det behövs kanske lite bättre säkerhetsutbildning för programmerare rent generellt. Däremot måste man vidta ytterligare åtgärder för att det ska bli lättare att sätta dit de som står bakom alla dessa dataintrång. Visst kanske man ska kunna göra ett angreppstest mot en sajt utan att åka dit men sprider man användaruppgifter eller gör skada på annat vis så har man gått alldeles för långt.

[klein]

Men det handlar också om olika ansvar. Om du ansvara för din dörr är olåst eller inte är en sak, men om du ansvara för 200 000 dörrar skall vara låsta, så bör kraven vara högre.

Självklart är de oansvarigt av en sajtägare att lagra lösenord i klartext, man kan inte bara skylla på den som hacka i den här fallet, sajtägare har en ansvar att så långt som möjligt försvara att användar uppgifter inte sprids, de innefatta även att tänka vad som händer vid ett eventuellt intrång också. En grundtanke man bör ha, att allting går att hacka, och större en sajt är desto större risk löper man att bli utsatt för intrång.

Självklart har hacker en ansvar att inte sprida innehållet, i det här fallet har man haft ont uppsått genom att sprida innehållet för orsaka så mycket skada som möjligt på gratisbio

Men det är som du säger , att det är utbildning som gäller. Här bör t.ex. .SE kunna göra en insats, det delar ut en massa pengar varje år till olika projekt, varför inte sponsra ett öka säkerhetstänkande projekt för? Där de via skrift och video, ge bort utbildning hur man kan skydda sin webbplats.

Citat:

Ursprungligen postat av tartareandesire

Absolut, håller med dig helt och hållet. Det resonemanget är helt orimligt. Naturligtvis vill alla sajtägare skydda sig, att anta något annat är rent ut sagt korkat. Det behövs ingen förändring i lagstiftningen där men det behövs kanske lite bättre säkerhetsutbildning för programmerare rent generellt. Däremot måste man vidta ytterligare åtgärder för att det ska bli lättare att sätta dit de som står bakom alla dessa dataintrång. Visst kanske man ska kunna göra ett angreppstest mot en sajt utan att åka dit men sprider man användaruppgifter eller gör skada på annat vis så har man gått alldeles för långt.

[Jan Eriksson]

Citat:

Ursprungligen postat av Nilsson

Vad är det för korkade resonemang? Bara för att du har glömt låsa, har trasigt lås, inte vill låsa eller någon annan anledning så är det inte fritt fram för tjuven att tycka att han skall gå in och ta vad han vill ha. Det kan ALDRIG bli rätt att ta någon annans egendom oavsett om man har skyddat sig korrekt enligt konstens alla regler eller inte skyddat sig alls.

Börjar man hålla på som i ert resonemang att idag är det okay att sno lösenord om de är i klartext men inte okay att sno lösenord om de är hashade så hur ser det ut i morgon. Är det okay att sno lösenorden som är krypterade då men inte på ett annat sätt. Det är ALDRIG okay att sno något som inte tillhör en själv.

Urbota korkat resonemang och man förstår varför det finns så mycket internetbedrägerier om man har åsikten att 'man får skylla sig själv om man inte skyddar sig tillräckligt bra'.

Håller fullständigt med dig, dock måste sajtägaren skydda ditt lösenorden liksom en bank ska skydda dina pengar annars får de stå där med hundhuvud.

[tartareandesire]

Citat:

Ursprungligen postat av Jan Eriksson

Håller fullständigt med dig, dock måste sajtägaren skydda ditt lösenorden liksom en bank ska skydda dina pengar annars får de stå där med hundhuvud.

Nu kan och ska man väl dock ställa lite högre krav på säkerheten hos en bank eller sjukhus än hos gratisbio Annars är vi helt inne på samma spår, det gynnar ju inte alls sajtägaren att man råkar ut för sådana här missöden utan det kostar mycket tid, svett och pengar. Det blir i slutändan självreglerande.

[digiArt]

Citat:

Ursprungligen postat av tartareandesire

Det blir i slutändan självreglerande.

Tyvärr tror jag du har fel där. Användarna generellt frågar inte i första hand hur lösenord sparas.

Däremot kan vi hoppas att medvetenheten bland webbentreprenörer ökar och förhoppningsvis ger en ökad spridning av standardiserade cms en högre säkerhet kring lösenord.

[BjörnJ]

Det är inte ok att spara lösenorden i klartext och inte heller på något sätt som går att dekryptera. Även om ingen utomstående skulle komma över databasen så är det inte ok att de som har legal tillgång till databasen kan se lösenorden.

Sajtägare måste ha ett visst mått av säkerhetstänk (känna till SQL injection, XSS, lösenordshantering), och om de inte kan något om säkerhet, anlita någon som kan. Tyvärr är det nog många som saknar säkerhetstänk till sådan grad att de inte inser att det är ett problem.

[rhdf]

Spännande
Jag fick nyss ett mail från gratisbio om att deras nya site är lanserad.. Kan dock inte påminna mig att jag någonsin varit reggad där. Hittar iaf inga tidigare mail från dem