Vefstjori.is geymir lykilorð
-
Höfundur - Bannaður
- Póstar: 5677
- Skráði sig: Fös 17. Mar 2006 23:08
- Reputation: 1
- Staðsetning: ;)
- Staða: Ótengdur
Re: Eldsmiðjan geymir lykilorð
Daniel123 skrifaði:Sæll Gúru
Endilega hringdu 546 4000
kv
daniel
Eftir þetta símtal er ég áhyggjufullur fyrir hönd allra viðskiptavina Vefstjori.is og allra notenda þeirra viðskiptavina.
Ég sé eftir því að hafa notað Eldsmidjan.is og þar með treyst Eldsmiðjunni því þeir hafa alls ekki fengið ásættanlega vöru í hendurnar frá Vefstjori.is.
Mér líður viðbjóðslega fyrir hönd íslenskra vefstjóra að hafa slíkt fólk í starfsstétt sinni og lýsi yfir samúð minni til allra þeirra sem reyna að halda netinu öruggu.
Öryggi og góðir starfshættir eiga að seytla ofan frá til almennra notenda. Það er ekki von að þeir almennu notendur séu öruggir þegar að fólkið sem það treystir hefur það ekki í huga.
SQLi, HTTP log-in og plaintext lykilorð. Hver veit hvað annað.
Gúrú over and out ég get ekki meir ætla að hvíla mig og lesa /r/netsec. Ég á bara ekki orð þegar að ég er ásakaður um lögbrot fyrir að koma upp um lélega starfshætti.
Modus ponens
-
- Of mikill frítími
- Póstar: 1725
- Skráði sig: Sun 12. Sep 2004 16:02
- Reputation: 20
- Staða: Ótengdur
Re: Eldsmiðjan geymir lykilorð
Gúrú skrifaði:Daniel123 skrifaði:Sæll Gúru
Endilega hringdu 546 4000
kv
daniel
Eftir þetta símtal er ég áhyggjufullur fyrir hönd allra viðskiptavina Vefstjori.is og allra notenda þeirra viðskiptavina.
Ég sé eftir því að hafa notað Eldsmidjan.is og þar með treyst Eldsmiðjunni því þeir hafa alls ekki fengið ásættanlega vöru í hendurnar frá Vefstjori.is.
Mér líður viðbjóðslega fyrir hönd íslenskra vefstjóra að hafa slíkt fólk í starfsstétt sinni og lýsi yfir samúð minni til allra þeirra sem reyna að halda netinu öruggu.
Öryggi og góðir starfshættir eiga að seytla ofan frá til almennra notenda. Það er ekki von að þeir almennu notendur séu öruggir þegar að fólkið sem það treystir hefur það ekki í huga.
SQLi, HTTP log-in og plaintext lykilorð. Hver veit hvað annað.
Gúrú over and out ég get ekki meir ætla að hvíla mig og lesa /r/netsec. Ég á bara ekki orð þegar að ég er ásakaður um lögbrot fyrir að koma upp um lélega starfshætti.
Ég hélt að þetta kallaðist frí white hat hacker þjónusta þegar menn finna galla á vefsíðum og láta vita af því til að loka fyrir öryggislekann.
Re: Eldsmiðjan geymir lykilorð
Eru þeir ekki frekar sekir um að brjóta einhverjar reglur með þvi að safna upplýsingum frá fólki og tryggja ekki öryggi þeirra ?
Að safna upplýsingum sbr. viðskiptasögu einstaklinga eru persónuupplýsingar og ef þetta er rekjanlegt niður á einstaklinga, símanúmer o.þ.h. þá gilsa reglur 299/2001 um meðferð persónuupplýsinga.
Þar er skýrt að öll ábyrgð á vistun og meðferð gagnana er hjá vinnsluaðila, s.s. Eldmiðjunar.
Það væri líklegast best að gera þeim grein fyrir sínum hlut í málinu, það er þegar búið að brjóta þessar reglur sama hvort það kemur patch á eftir, á morgun eða hvort hann kom kl. 22:00.
p.s. Ef þarna eru t.d. kreditkortaupplýsingar þá er voðinn vís, þá er þetta enn alvarlegra og allt önnur lög sem hafa verið brotin.
Að safna upplýsingum sbr. viðskiptasögu einstaklinga eru persónuupplýsingar og ef þetta er rekjanlegt niður á einstaklinga, símanúmer o.þ.h. þá gilsa reglur 299/2001 um meðferð persónuupplýsinga.
Þar er skýrt að öll ábyrgð á vistun og meðferð gagnana er hjá vinnsluaðila, s.s. Eldmiðjunar.
Það væri líklegast best að gera þeim grein fyrir sínum hlut í málinu, það er þegar búið að brjóta þessar reglur sama hvort það kemur patch á eftir, á morgun eða hvort hann kom kl. 22:00.
p.s. Ef þarna eru t.d. kreditkortaupplýsingar þá er voðinn vís, þá er þetta enn alvarlegra og allt önnur lög sem hafa verið brotin.
-
- Vélbúnaðarníðingur
- Póstar: 397
- Skráði sig: Lau 01. Okt 2011 21:14
- Reputation: 4
- Staða: Ótengdur
Re: Eldsmiðjan geymir lykilorð
Gúrú skrifaði:Daniel123 skrifaði:Sæll Gúru
Endilega hringdu 546 4000
kv
daniel
Eftir þetta símtal er ég áhyggjufullur fyrir hönd allra viðskiptavina Vefstjori.is og allra notenda þeirra viðskiptavina.
Ég sé eftir því að hafa notað Eldsmidjan.is og þar með treyst Eldsmiðjunni því þeir hafa alls ekki fengið ásættanlega vöru í hendurnar frá Vefstjori.is.
Mér líður viðbjóðslega fyrir hönd íslenskra vefstjóra að hafa slíkt fólk í starfsstétt sinni og lýsi yfir samúð minni til allra þeirra sem reyna að halda netinu öruggu.
Öryggi og góðir starfshættir eiga að seytla ofan frá til almennra notenda. Það er ekki von að þeir almennu notendur séu öruggir þegar að fólkið sem það treystir hefur það ekki í huga.
SQLi, HTTP log-in og plaintext lykilorð. Hver veit hvað annað.
Gúrú over and out ég get ekki meir ætla að hvíla mig og lesa /r/netsec. Ég á bara ekki orð þegar að ég er ásakaður um lögbrot fyrir að koma upp um lélega starfshætti.
langar að heyra báðar hliðar málsins.
Re: Eldsmiðjan geymir lykilorð
Þrátt fyrir að deila afar sjaldan skoðunum með Gúrú, að þá verð ég fyrir mitt leyti einfaldlega að taka hattinn ofan fyrir þér í þetta skiptið.
- Viðhengi
-
- 2014-12-08-01-24-26-1295642538.jpeg (3.9 KiB) Skoðað 3811 sinnum
Síðast breytt af ASUSit á Mán 08. Des 2014 02:15, breytt samtals 1 sinni.
-
Höfundur - Bannaður
- Póstar: 5677
- Skráði sig: Fös 17. Mar 2006 23:08
- Reputation: 1
- Staðsetning: ;)
- Staða: Ótengdur
Re: Eldsmiðjan geymir lykilorð
rapport skrifaði:Eru þeir ekki frekar sekir um að brjóta einhverjar reglur með þvi að safna upplýsingum frá fólki og tryggja ekki öryggi þeirra ?
Að safna upplýsingum sbr. viðskiptasögu einstaklinga eru persónuupplýsingar og ef þetta er rekjanlegt niður á einstaklinga, símanúmer o.þ.h. þá gilsa reglur 299/2001 um meðferð persónuupplýsinga.
Þar er skýrt að öll ábyrgð á vistun og meðferð gagnana er hjá vinnsluaðila, s.s. Eldmiðjunar.
Það væri líklegast best að gera þeim grein fyrir sínum hlut í málinu, það er þegar búið að brjóta þessar reglur sama hvort það kemur patch á eftir, á morgun eða hvort hann kom kl. 22:00.
p.s. Ef þarna eru t.d. kreditkortaupplýsingar þá er voðinn vís, þá er þetta enn alvarlegra og allt önnur lög sem hafa verið brotin.
Ég vil koma því á framfæri að þegar að ég taldi upp allar þessar upplýsingar var ég að nefna það sem er auðveldlega hægt að fá út frá flestum símanúmerum og/eða Facebook auðkennum. Þ.m.t. mínu.
Þessar upplýsingar sjálfar (fullt nafn, kennitala, heimilisfang) eru ekki hluti af GSM skráningarferlinu sem þó fer fram án notendaskilmála.
Það sem þú nefnir um að skaðinn sé skeður og viðvarandi er eitthvað sem að maðurinn sem svaraði mér í símanum afskrifaði algjörlega og missti ég þar með alla von um ásættanlega úrlausn.
Modus ponens
-
- Internetsérfræðingur
- Póstar: 6798
- Skráði sig: Mán 04. Apr 2005 11:01
- Reputation: 940
- Staðsetning: https://notendur.hi.is/vjh2/
- Hafðu samband:
- Staða: Ótengdur
Re: Eldsmiðjan geymir lykilorð
Daniel123 skrifaði:Það má strax sjá að einhverjir hafa verið að gera tilraunir til að misnota kerfið nú þegar eftir þessa umræðu hér og verða það rannsakað nánar og sett í viðeigandi farveg.
AHAHA! Er þetta hótun?
Ég trúi ekki að þú sért í forsvari fyrir fyritæki. Ef svo er - áttarðu þig ekki á því - að fyrirtæki, víðsvegar um heim BORGA fólki fyrir að hacka sig inn og láta þau vita af því?
Flestir hackarar sem hafa setið í fangelsi eru svo ráðnir til risastórra fyrirætkja á ofurlaunum.
Vá hvað sumir skilja ekki tækniheiminn.
Heimild:
Google Offers $3.14159 Million In Total Rewards For Chrome OS Hacking Contest
http://www.forbes.com/sites/andygreenbe ... g-contest/
I wish I was cool enough to not care how much I care about pretending not to care about things
Macbook Pro 13" M2 16GB 512GB
Ryzen 3600X 2070S 16GB
Re: Eldsmiðjan geymir lykilorð
Sallarólegur skrifaði:Daniel123 skrifaði:Það má strax sjá að einhverjir hafa verið að gera tilraunir til að misnota kerfið nú þegar eftir þessa umræðu hér og verða það rannsakað nánar og sett í viðeigandi farveg.
AHAHA! Er þetta hótun?
Fyrir mér hljómar þetta frekar eins og arfaslök tilraun til þess að koma sökinni á því, ef einhverjir aðilar hafa komist yfir einhver gögn, yfir á þann einstakling - hér Gúru - sem samviskusamlega varaði við þeirri hættu sem beinlínis stafaði af notkun þessa vefsvæðis.
Góður Daníel!
-
- Geek
- Póstar: 802
- Skráði sig: Fös 19. Sep 2003 14:00
- Reputation: 65
- Staðsetning: Reykjavík
- Hafðu samband:
- Staða: Ótengdur
Re: Eldsmiðjan geymir lykilorð
Veit einhver hjá eldsmiðjunni af þessu? þau eru auðvitað að borga fyrir þetta.
-
- Stjórnandi
- Póstar: 3760
- Skráði sig: Fim 31. Júl 2003 15:25
- Reputation: 123
- Staðsetning: Reykjavík
- Staða: Ótengdur
Re: Eldsmiðjan geymir lykilorð
Þetta með dulkóðunina hljómar eins og klór í bakkann. Það er enginn að segja mér að að forritari sem veit varla hvað hashing algorithmi er hafi implementað dulkóðun á þessi gögn þar sem það er svona 10x auðveldara að nota eitthvað hashing algrím.
-
- FanBoy
- Póstar: 785
- Skráði sig: Lau 14. Júl 2012 22:36
- Reputation: 3
- Staðsetning: 404 - Location Not found.
- Staða: Ótengdur
Re: Eldsmiðjan geymir lykilorð
ASUSit skrifaði:Sallarólegur skrifaði:Daniel123 skrifaði:Það má strax sjá að einhverjir hafa verið að gera tilraunir til að misnota kerfið nú þegar eftir þessa umræðu hér og verða það rannsakað nánar og sett í viðeigandi farveg.
AHAHA! Er þetta hótun?
Fyrir mér hljómar þetta frekar eins og arfaslök tilraun til þess að koma sökinni á því, ef einhverjir aðilar hafa komist yfir einhver gögn, yfir á þann einstakling - hér Gúru - sem samviskusamlega varaði við þeirri hættu sem beinlínis stafaði af notkun þessa vefsvæðis.
Góður Daníel!
Mér grunar sterklega hér að hann sé að tala um mig, Enda var það ég sem gróf upp þennan SQL möguleika.
Það er óþarfi að fara í vörn hérna, Ábyrgðin liggur hjá ykkur.
Veit eldsmiðjan af þessu, Er búið að láta þá vita?
Ég n.b. komst ekki yfir nein gögn,
Enn ég efast samt ekki um að einstaklingur sem vill raunverulega komast yfir slík gögn nái því meðað við ykkar hæfni til forritunar.
-
- Of mikill frítími
- Póstar: 1701
- Skráði sig: Þri 27. Apr 2004 14:03
- Reputation: 37
- Staða: Ótengdur
Re: Eldsmiðjan geymir lykilorð
Daníel, ef einhver bendir þér á eitthvað sem þú hefur einfaldlega gert á rangan hátt þá segir maður takk og lagar það. Ekki vera fáviti.
Síðast breytt af Stutturdreki á Mán 08. Des 2014 14:46, breytt samtals 1 sinni.
-
- FanBoy
- Póstar: 785
- Skráði sig: Lau 14. Júl 2012 22:36
- Reputation: 3
- Staðsetning: 404 - Location Not found.
- Staða: Ótengdur
Re: Eldsmiðjan geymir lykilorð
Varst það þú daniel sem forritaðir þennan vef?
Ég skal svosem kíkja á þetta hjá þér ef þú ert í vafa með þetta.
Ég skal svosem kíkja á þetta hjá þér ef þú ert í vafa með þetta.
-
- Of mikill frítími
- Póstar: 1797
- Skráði sig: Mán 23. Apr 2007 06:36
- Reputation: 123
- Staðsetning: Reykjavík
- Staða: Ótengdur
Re: Eldsmiðjan geymir lykilorð
Djöfull finnst mér óþæginlegt að lesa þennan þráð.
Asus ROG Strix Z390-F Gaming | Intel Core i5 9600K @ 4,7GHz | Crosshair H100i | Corsair Vengance 16GB | Asus ROG Strix RTX2060 | Corsair RM 650x
Re: Eldsmiðjan geymir lykilorð
Danni V8 skrifaði:Djöfull finnst mér óþæginlegt að lesa þennan þráð.
hvernig væri að þú byrjaðir að svara þeim hahaha
Intel i7 13700k | Artic Freezer II 240 | Gigabyte ud4 | Ripjaws 4x8gb 3200mhz | Palit RTX 3080 GAME ROCK | Corsair 350d | 1x 1tb CARDEA ZERO | 2tb SSD| Antec HCP 1200w | 1x 27" PHILIPS 274E5QHS | 1x ASUS 27" 4k ultrawide | Corsair M95 Mús | Corsair K95 RGB MX Red Lyklaborð |
-
- Vélbúnaðarníðingur
- Póstar: 397
- Skráði sig: Lau 01. Okt 2011 21:14
- Reputation: 4
- Staða: Ótengdur
Re: Eldsmiðjan geymir lykilorð
Danni V8 skrifaði:Djöfull finnst mér óþæginlegt að lesa þennan þráð.
Afhverju er það?
Re: Eldsmiðjan geymir lykilorð
krat skrifaði:Danni V8 skrifaði:Djöfull finnst mér óþæginlegt að lesa þennan þráð.
Afhverju er það?
Því hann heitir sennilega líka Daníel, hence the nickname
-
- Besserwisser
- Póstar: 3337
- Skráði sig: Mið 08. Okt 2008 22:07
- Reputation: 35
- Staðsetning: /dev/null
- Staða: Ótengdur
Re: Eldsmiðjan geymir lykilorð
Guð minn almáttugur. Sem tölvunarfræðingur skammast ég mín fyrir að þetta sé ekki orðin lögbundin starfsgrein, þar sem þessi maður veit ekkert og ætti ekki að vera í þessum geira. Og að fara í vörn og "hóta" lögsóknum er bara barnalegt.
i7 920 @ 2.8 GHz | Gigabyte EX58-UD3R | CSX 3x2 GB DDR3 @ 1600 MHz | Gigabyte ATi Radeon HD 5850 | Sileo 500 | RealPower 600W | Corsair Force 3 120 GB | 27" FullHD | W7 x64
-
- FanBoy
- Póstar: 726
- Skráði sig: Fös 19. Des 2008 21:19
- Reputation: 43
- Staðsetning: Hafnarfjörður
- Staða: Ótengdur
Re: Eldsmiðjan geymir lykilorð
ég er búinn að lesa snöggt í gegnum þráðinn og er að reyna að ná tímaröð atvikanna.
Gúrú! áttaðir þú þig á gallanum í kerfinu og auglýstir hann alheimi strax eða reyndir þú að hafa samband við vefstjórann fyrst?
Finnst það einmitt vera soldið ábyrgðarmál hvernig þessu er háttað til að einmitt koma í veg fyrir að einhverjir misforvitnir geti reynt að svala hakkaraþörf sinni á svona lélegum síðum. Reyna allavega að leyfa viðkomandi aðilum að fá 5 mín breather til að taka síðuna niður eða breyta.
Ef þeir svo sinna því ekki þá má auðvitað setja instant pressu á þá og þeir neyðast til að að taka síðuna alveg niður (ef þeir hafa vit í kollinum)
Gúrú! áttaðir þú þig á gallanum í kerfinu og auglýstir hann alheimi strax eða reyndir þú að hafa samband við vefstjórann fyrst?
Finnst það einmitt vera soldið ábyrgðarmál hvernig þessu er háttað til að einmitt koma í veg fyrir að einhverjir misforvitnir geti reynt að svala hakkaraþörf sinni á svona lélegum síðum. Reyna allavega að leyfa viðkomandi aðilum að fá 5 mín breather til að taka síðuna niður eða breyta.
Ef þeir svo sinna því ekki þá má auðvitað setja instant pressu á þá og þeir neyðast til að að taka síðuna alveg niður (ef þeir hafa vit í kollinum)
IBM PS/2 8086
Re: Eldsmiðjan geymir lykilorð
intenz skrifaði:Sem tölvunarfræðingur skammast ég mín fyrir að þetta sé ekki orðin lögbundin starfsgrein
Tölvunarfræðingur er lögbundið starf, hins vegar getur enginn bannað þér að selja þig út sem forritara án formlegrar menntunar, enda þætti mér það mjög óeðlilegt. Hitt er svo annað mál hvort það mætti ekki setja slíkar reglur þegar forritaðir eru gagnagrunnar sem halda utan um persónuupplýsingar.
http://europass.is/wp-content/uploads/2 ... 005-36.pdf
-
Höfundur - Bannaður
- Póstar: 5677
- Skráði sig: Fös 17. Mar 2006 23:08
- Reputation: 1
- Staðsetning: ;)
- Staða: Ótengdur
Re: Eldsmiðjan geymir lykilorð
gRIMwORLD skrifaði:Gúrú! áttaðir þú þig á gallanum í kerfinu og auglýstir hann alheimi strax eða reyndir þú að hafa samband við vefstjórann fyrst?
Þetta er svo fáránleg spurning sem á engan rétt á sér.
Þetta er ekki eitthvað CVE sem ég uppgötvaði og tilkynnti öllum, fyrirtækinu og forriturum þess óafvitandi.
Þetta er eiginleiki sem var skrifaður (senda lykilorð í SMS) inn í fáránlegt kerfi (geyma plaintext lykilorð) sem var hannað visvítandi.
Þetta er ekkert sem að væri neinar fréttir fyrir þá sem að hönnuðu kerfið svona. Sbr. að láta BMW vita af þessum framrúðum þeirra.
Reyna allavega að leyfa viðkomandi aðilum að fá 5 mín breather til að taka síðuna niður eða breyta.
Eftir margar vikur af því að hafa lykilorðið mitt í plaintext mér óafvitandi sem á aldrei að gerast
fær fólkið sem hannaði kerfið svona óöruggt, meðvitað skv. því sjálfu, og það án þess að vara mann við engan helvítis breather.
Ó hey, manstu þegar ég phishaði lykilorðið þitt þegar ég fékk að gera vefsíðuna fyrir Eldsmiðjuna?
Heh það er samt allt í lagi því ég vissi að það væri óörugg vefsíða þegar ég gerði hana.
Svo spyr ég þig: Hvað gerði þetta fólk eftir að það var látið vita? Baðst það afsökunar? Rétti það úr málunum?
Fylgdi það almennum viðbragðsreglum? Hlustaði það á aðvaranir?
Nei. Það kom vel bökuð steypa af hlutleysu sem þjónaði engum tilgangi nema þeim að láta alla vita að hér væri ófagfólk á ferð.
Modus ponens