Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: gazda 14. 12. 2011, 18:49:30
-
Vážení kolegovia,
je veľmi fajn, že nic.cz "certifikuje" registrátorov, viď http://www.nic.cz/whois/registrars/list/1/
Ale škoda, že do svojich kritérií nezahrnul
- heslo k účtu sa ukladá zašifrovane
- heslo k účtu sa nikdy neposiela e-mailom
Z najvyššie hodnotených registrátorov som si vybral regZone.cz, ktorý zjavne nespĺňa ani jedno.
Toto je po Ignum alias domena.cz už druhý český registrátor u kt. som sa stretol s niečím takým. Snáď to nerobia všetci?!
Mohli by ste mi prosím poradiť, ktorí z tých "certifikovaných" sú na tom lepšie?
Ďakujem.
-
Podmínka 1 nelze splnit a je to k ničemu. https://www.abclinuxu.cz/portal/poradna/show/342861
-
No a co ti brani ako velkemu "truhlikovi" si zmenit heslo v nejakom Paneli hostingu?
-
Podmínka 1 nelze splnit a je to k ničemu. https://www.abclinuxu.cz/portal/poradna/show/342861
Odkazujete na dlhý text. Kde sa v ňom píše, že "Podmínka 1 nelze splnit a je to k ničemu"?
No a co ti brani ako velkemu "truhlikovi" si zmenit heslo v nejakom Paneli hostingu?
Čo to zmení na fakte, že registrátor ukladá a posiela e-mailom nezahashované heslá?
-
KDY je posila? mate neduveru vuci registratorovi? mate spatnou zkusenost ze ktere ta neduvera prameni?
-
Podmínka 1 nelze splnit a je to k ničemu. https://www.abclinuxu.cz/portal/poradna/show/342861
Odkazujete na dlhý text. Kde sa v ňom píše, že "Podmínka 1 nelze splnit a je to k ničemu"?
Nikdy si nemůžeš být jistý, že to heslo neukládá nějaký útočník po cestě, nebo že se poskytovatel nerozhodl jít evil → stejně si musíš ke každé službě nastavit jiné heslo → hashování ti už může být jedno.
-
KDY je posila?
Typicky se dá na webu požádat "poslat heslo na mail".
-
Nikdy si nemůžeš být jistý, že to heslo neukládá nějaký útočník po cestě
V prípade SMTP máte pravdu. A to je dôvod, prečo neposielať heslo e-mailom hneď po registrácií (regZone aj Ignum to robia) teda aj nad rámec funkcie "zabudol som heslo". Heslo som nezabudol a registrátor dal sám od seba šancu zneužiť moje konto napr. môjmu poskytovateľovi internetového pripojenia.
V prípade HTTPS to má útočník po ceste neporovnateľne tažšie.
nebo že se poskytovatel nerozhodl jít evil
Nie, to sa vylúčiť nedá. Ale "poskytovatel" nie je jedna osoba. V prípade nezahashovaných hesiel môže zneužiť každé jedno konto každý jeden zamestnanec, ktorý si jediný raz uložil dotyčnú tabuľku databázy.
Keď sa pozrieme na škodcov mimo registrátora, je tu samozrejme SQL injection.
Nechcem nikoho presviedčiať o tom, že nezahashované heslá a ich posielanie e-mailom sú nebezpečné. Chcem sa dozvedieť ktorý registrátor .cz domien to nerobí. Vopred ďakujem za tipy.
-
Heslo som nezabudol a registrátor dal sám od seba šancu zneužiť moje konto napr. môjmu poskytovateľovi internetového pripojenia.
Ale to dava kazdy vzdy, aj ked heslo neposle. Citanie mailu zadaneho pri registracii staci na to, aby clovek zmenil DNS zaznamy. Poslanie hesla urcite nie je bezpecnejsie, ale aspon na toto riziko upozornuje.
-
kolik takovych pripadu se jiz stalo?
jinak paranoidnimu cloveku bych obecne doporucil misto hledani nesmyslu vypnout pc, mobil a jit bydlet do lesa.
-
Opakujem, že nechcem nikoho presviedčať o tom, že nezahashované heslá a ich posielanie e-mailom sú nebezpečné.
Chcem sa dozvedieť ktorý registrátor .cz domien to nerobí.
Vopred ďakujem za tipy.
-
kolik takovych pripadu se jiz stalo?
zneužítí plaintext hesel v DB bylo nepočítaně...
Pokud nějaký chytrák navrhne a implementuje ukládání plaintext hesel, tak jaký si asi dá pozor na další nebezpečí html (xsite scripting apod.)?
jinak paranoidnimu cloveku bych obecne doporucil misto hledani nesmyslu vypnout pc, mobil a jit bydlet do lesa.
Takovou odpověď bych přisoudil právě potrefené huse.
Vy jste asi technik, že? Že vám řízení rizik nic neříká? Dost možná ani o těch rizikách nevíte. A právě proto technici nemohou nic řídit.
(Technikům je třeba vždy připomenout, že se nebavíme o výjimkách. :-))
-
Vy jste asi technik, že? Že vám řízení rizik nic neříká? Dost možná ani o těch rizikách nevíte. A právě proto technici nemohou nic řídit.
(Technikům je třeba vždy připomenout, že se nebavíme o výjimkách. :-))
To jsou mi implikace.
-
Ani registrátori onebit.cz a active24.cz na tom nie sú lepšie.
support@onebit.cz mi napísal:
Hesla jsou skutečně zasílána emailem. Pro zapomenuté heslo je však možné toto zasílání v administraci deaktivovat.
Hesla jsou na serveru uchovávána v nečitelné podobě, konkrétní způsob šifrování vám bohužel sdělit nemůžeme. Děkujeme za pochopení.
Pokiaľ sú zabudnuté heslo schopní poslať plaintext e-mailom, znamená to, že buď nešifrujú vôbec, alebo nešifrujú asymetricky.
V registračnom formulári active24.cz je voľba Povolit zasílání hesla: ano ne
To tiež znamená, že buď nešifrujú vôbec, alebo nešifrujú asymetricky.
-
kolik takovych pripadu se jiz stalo?
zneužítí plaintext hesel v DB bylo nepočítaně...
bavime se o domain registratorech.
-
kolik takovych pripadu se jiz stalo?
zneužítí plaintext hesel v DB bylo nepočítaně...
bavime se o domain registratorech.
Jak se liší rizikovost zneužití hesla u doménového registrátora a sociální sítě příp. jiného webu?
-
A co registrátor, který vůbec nepotřebuje používat hesla?
Na http://www.nic.cz/whois/registrars/list/1/ a http://www.nic.cz/whois/registrars/list/2/ lze snadno najít registrátory, kteří podporují mojeID.
-
A co registrátor, který vůbec nepotřebuje používat hesla?
Na http://www.nic.cz/whois/registrars/list/1/ a http://www.nic.cz/whois/registrars/list/2/ lze snadno najít registrátory, kteří podporují mojeID.
Ďakujem za prvý relevantný príspevok.
Áno, mojeID by mohlo byť riešením, pozriem sa na detaily.
mojeID žiaľ implementujú len traja:
- Web4U s.r.o. http://www.spravadomen.cz - nemá v ponuke .sk domény
- http://www.xnet.cz/#registrace-domen - nemá v ponuke .sk domény; divný cenník Vedení jmenných serverů a DNSSEC od balíka STANDARD za 600 Kč/rok bez DPH (za každú .cz doménu?)
- Gransy s.r.o. http://subreg.cz - na prvý pohľad OK, pozriem sa na nich podrobnejšie.
-
kolik takovych pripadu se jiz stalo?
zneužítí plaintext hesel v DB bylo nepočítaně...
Pokud nějaký chytrák navrhne a implementuje ukládání plaintext hesel, tak jaký si asi dá pozor na další nebezpečí html (xsite scripting apod.)?
Čistě teoreticky je ukládání plaintext hesel bezpečnější než ukládání hashů.
-
kolik takovych pripadu se jiz stalo?
zneužítí plaintext hesel v DB bylo nepočítaně...
Pokud nějaký chytrák navrhne a implementuje ukládání plaintext hesel, tak jaký si asi dá pozor na další nebezpečí html (xsite scripting apod.)?
Čistě teoreticky je ukládání plaintext hesel bezpečnější než ukládání hashů.
sakryš, ta poslední věta už neměla být citace.
-
Čistě teoreticky je ukládání plaintext hesel bezpečnější než ukládání hashů.
bezpecnejsi ? O'rly ?! To je zase kec. Uvedte zdroj nebo vysvetlete.
Chcete tim rict, ze uzivatele v prumeru zadavaji delsi hesla nez co je vystupem hash fukce a maji vyssi entropii ? O'RLY ?! ;D
-
kdyz nekdo hackne registratora, myslite ze hesla budou nejak podstatna? vubec si to nemyslim.
-
Čistě teoreticky je ukládání plaintext hesel bezpečnější než ukládání hashů.
bezpecnejsi ? O'rly ?! To je zase kec. Uvedte zdroj nebo vysvetlete.
Chcete tim rict, ze uzivatele v prumeru zadavaji delsi hesla nez co je vystupem hash fukce a maji vyssi entropii ? O'RLY ?! ;D
Ne, tím chci říct, že se pak hesla nemusejí posílat po drátě.
-
Pre pánov, ktorí chcú diskutovať o výhodách a nevýhodách plaintext hesiel, som vytvoril nové vlákno:
http://forum.root.cz/index.php?topic=3443.msg28671#msg28671
Tam sú ich príspevky vítané. Ďakujem za pochopenie.