Priznam, ze nevim, jak by mi takova aplikace sama od sebe mohla delat telefonni seznam se jmenem vsech uzivatelu.
Nikde nebylo řečeno, že vám ta aplikace dá telefonní seznam se jmény všech uživatelů. Pro útok, o kterém se tu bavíme, není nic takového potřeba.
Tak jiste, mozna jsou aplikace, jejich hlavnim ukolem je prozradit to jedno spravne uzivatelske jmeno, aby se v tom utocnik nemusel prehrabovat.
Pokud neco takoveho mate, asi neco bude dost spatne nakonfigurovaneho.
Zatímco vy jste spokojen, protože vůbec netušíte, jestli něco takového vaše aplikace nedělají. Občas se říká „sladká nevědomost“, ale řídit se tím při zabezpečení…
[/quote]
A jak vy vite, ze na zminenem serveru vubec nejake aplilkace jsou? Co kdyz se tam jen zalohuje? Muze tam byt akorat ssh a rsync - takovych serveru musi byt hafo.
Krome toho ja nikde nerekl, ze jsem spokojen s tim, ze mam podivne jmeno uzivatele, o kterem si myslim, ze ho tezko nekdo uhodne. Ja rikam pouze to, ze je to dalsi klacek, ktery hodim utocnikovi pod nohy. Nic vic, nic min. Pokud mate ssh server, je jiste vhodne, aby utocnik neznal klic. Pokud navic nezna ani jmeno uzivatele, tak tim lip. Jmeno roota zrovna na potvoru zna.
51 Odpovědí
8131 Zhlédnutí