- tmms blogja
- A hozzászóláshoz be kell jelentkezni
- 1590 megtekintés
Hozzászólások
Hogy tudjad mit kell megváltoztatni. ;)
Gondolom nem egy bankba regisztráltál.
- A hozzászóláshoz be kell jelentkezni
Ne legyen ilyen. Legyen elfelejtett jelszó menüpont. Ne küldje ki plaintextbe a jelszavamat. Akkor se, ha nem bankba regisztráltam.
- A hozzászóláshoz be kell jelentkezni
azert ennel rosszabb a helyzet. Mert akkor plain-ben is taroltak el szerveroldalon annak minden kellemetlen vonzataval...
--
"what is mostly works", "mods that I describe is choosed" (hrgy84 "nem vagyok anyanyelvi angolos")
- A hozzászóláshoz be kell jelentkezni
Ez így nem egészen igaz. A reg-nél küldött jelszó nem az adatbázisból származik - jó esetben - hanem a POST-ból.
--
Coding for fun. ;)
- A hozzászóláshoz be kell jelentkezni
Ez nem feltetlenul igaz. A regisztracio soran kuldhet ki olyan e-mailt, amiben benne van a jelszavad, de attol meg eltarolni meg egy hasht vagy titkositott jelszot tarol el.
- A hozzászóláshoz be kell jelentkezni
Aztán meg dőlnek a "mi a jelszavam??" típusú emailek. A plaintext jelszó kiküldése regisztrációnál nem gond, sőt, küldjék is, főleg ha pl. gyors regisztráció van, ahol generált jelszót kapok. A gond akkor van, ha az "elfelejtettem a jelszavam" kérésre küldik ki.
- A hozzászóláshoz be kell jelentkezni
Nem. Soha ne kuldjek ki a jelszavamat. Regisztraciokor altalaban igy is, ugy is aktivalni kell a regisztraciomat, akkor nyomja fel a kotelezo jelszovaltast is, megadom a jelszavamat, csok.
--
Blog | @hron84
Üzemeltető macik
- A hozzászóláshoz be kell jelentkezni
Igen
- A hozzászóláshoz be kell jelentkezni
Vagyok olyan levlistan, ami havonta kikuldi a plaintext jelszot. "Emlekezteto"...
- A hozzászóláshoz be kell jelentkezni
Na, az már keményebb, hacsak nem titkosított tárolást használnak...
--
Coding for fun. ;)
- A hozzászóláshoz be kell jelentkezni
+1 :)
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
mailman alapértelmezett fícsör.
- A hozzászóláshoz be kell jelentkezni
Ennél csak az jobb, amikor emlékeztetőbe is ki tudják küldeni.
Bye Bye Nyuszifül - DigitalOcean referrer, 10$ kezdő kredittel - <3 openSUSE, Ubuntu, KDE <3
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
Az még hagyján, hogy frissen melegében megvan nekik a plaintext jelszó és el is küldik (bár valóban: minek?!), de mikor a jelszóemlékeztető funkcióval is visszakapod a plaintext jelszavadat, az már nagyon gáz. És mennyi ilyen van... Nagyobb IT fórumnál is futottam már ilyenbe. Az, hogy melyik volt már nem tudnám 100% biztonsággal megmondani, így inkább nem is mondok nevet.
szerk.: Ja, most látom, hogy már írták előttem. Na mindegy. :D
- A hozzászóláshoz be kell jelentkezni
pppd + MSCHAP + Radius esetében meg lehet valahogy kerülni a plaintext jelszó tárolását?
A pppd tudtommal nem tud két NT hash-t összehasonlítani, muszáj neki plaintextben átadni jelszót. (unofficial patch-csel találkoztam: http://sourceforge.net/p/poptop/mailman/message/12897562/)
- A hozzászóláshoz be kell jelentkezni
Elvben MSCHAP eseten kapsz NT-Password-ot is ha jol emlekszem, az mar eleve valamennyire titkositott (nem a legbiztonsagosabb, de legalabb nem cleartext).
--
Blog | @hron84
Üzemeltető macik
- A hozzászóláshoz be kell jelentkezni
Egyik nagyobb látogatottságú oldalamon volt már, hogy többen írtak azért, hogy a regisztrációs emailben miért nem kapják meg a megadott jelszavukat.
...merthogy elfelejtik.
De áh.. a legtöbb felhasználó csak nyűgnek veszi az egészet és legszívesebben jelszó nélkül "bemondás alapján" loginolna. Igen, mert a legtöbbje még arra is életképtelen, hogy az email címét képes legyen egymás után 2x helyesen leírni...
- A hozzászóláshoz be kell jelentkezni
Ezert kell OAuth2 belepeseket hasznalni ott, ahol sok r=1 lephet be. Mert a Facbookra, meg a GMailbe mindenki beverekszi magat valahogy, onnet meg mar ki tudod authentikalni ot anelkul, hogy barmelyikotok is frusztralna magat a jelszavakkal.
--
Blog | @hron84
Üzemeltető macik
- A hozzászóláshoz be kell jelentkezni
Igen ám, csak:
1. A webshopot használó céges partnerek nem igen használják szívesen a facebook fiókjukat erre
2. A cég, ahol dolgozom nem támogatja az ötletet.
A mi saját crm-ünk admin rendszere tud ilyet, de az utóbbi 1-2 hónapban a facebook belépések nem működnek. Hogy ez most deprecated lett-e, vagy tiltott minket a fb nem tudom, nem az én reszortom, de ez olyan dolog, hogy mindig tutujgatni kell és az már a fejlesztők, azaz a mi bajunk és persze ez a tutujgatás nem termel hasznot sem, úgy, mint mondjuk a szerver a backup, vagy az, hogy rászánjunk néhány órát arra, hogy legalább egy rohadt monit-ot felrakjunk a szervereinkre...
- A hozzászóláshoz be kell jelentkezni
Ha a fejlesztoknek kellene felrakni a monit-ot a szerverekre, akkor ott mar alapveto problemak vannak. Sztem egy gyors audit egy ilyen helyen egeszen csunya dolgokat hozna ki.
--
Blog | @hron84
Üzemeltető macik
- A hozzászóláshoz be kell jelentkezni
"Devops"
- A hozzászóláshoz be kell jelentkezni
hrgy84
--
"what is mostly works", "mods that I describe is choosed" (hrgy84 "nem vagyok anyanyelvi angolos")
- A hozzászóláshoz be kell jelentkezni
"az már a fejlesztők, azaz a mi bajunk"
Bocs, ez a reszlet felrevitt. Nekem a devops az inkabb rendszergazda, semmint fejleszto, nem jott le, hogy te devopsos vagy.
--
Blog | @hron84
Üzemeltető macik
- A hozzászóláshoz be kell jelentkezni
No problem, nem fogalmaztam világosan.
A "mi" a fejlesztő brigádra vonatkozott. És végülis én is köztük vagyok... :)
- A hozzászóláshoz be kell jelentkezni
Ja, és így lehet az, hogy a kulcs-soft online számlázóba FB-vel be lehet lépni, ami übergáz szerintem. Azért nem mindenhol van ennek létjogosultsága.
- A hozzászóláshoz be kell jelentkezni