Vai al contenuto
Il server del mese è
Visita la nostra nuova lista server!

Archiviato

Questa discussione è archiviata e chiusa a future risposte.

Swordself

Curiosità sulle password.

Recommended Posts

Kaos può sapere in qualche modo la nostra password? O Può conoscere solo un codice che corrisponde ad essa? 

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Le password sono salvate in un database automaticamente da IPB stesso. Prima di essere salvate, al momento della registrazione, sulla password che l'utente inserisce viene calcolato un hash ovvero un "codice" come hai scritto tu dal quale non è possibile ricavare la password originaria.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Kaos può sapere in qualche modo la nostra password? O Può conoscere solo un codice che corrisponde ad essa? 

 

Credo che ci sia una qualche forma di crittografia o di protezione dei dati privati nel codice della piattaforma Ip.Board o altre forum board, visto che molti utilizzano la stessa identica password ovunque. Di questo non ne sono sicuro, visto che non conosco il metodo di memorizzazione delle password del forum, ma è difficile che siano scritte in chiaro ovunque siano immagazzinate.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Nel database solitamente è salvato un hash (in md5 o sha1, con eventuali salt) che corrisponde alla nostra password. Certo, Kaos potrebbe, ipoteticamente, aver modificato IPBoard per inviare e salvare in chiaro le password, modificando la funzione di registrazione e di verifica della password. Di ciò non ne possiamo avere certezza (salvo i vecchi iscritti, che si ritroverebbero all'improvviso un "password non riconosciuta" e si ritroverebbero, stranamente, a doverla cambiare poiché nel database rimarrebbe comunque salvato il vecchiohash) ma... cosa se ne farebbe?

Se utilizzate una password diversa per ogni sito o condividete una password solo per siti di poca importanza il fatto che un admin abbia in mano la tua password non è un problema, al massimo scopre chi rimorchiate su facebook, a patto di conoscere la vostra email di registrazione a facebook, che mi auguro non essere quella del forum.

 

Ad ogni modo l'eventuale vantaggio di avere le password in chiaro degli utenti è letteralmente nullificato dallo svantaggio in termini giuridici che avrebbe se qualcuno bucasse il database e si venisse a sapere: qualunque utente potrebbe denunciarlo per non aver custodito con le dovute precauzioni la propria password, che è riconosciuta a livello giuridico come dato personale, e verrebbe letteralmente inchiappettato in tribunale.

 

In sintesi? Non preoccuparti e ricorda che la legge principe di Internet è di usare una password diversa per ogni portale.

 

Ad ogni modo ti ricordo che in IP Board, come in qualsiasi altro forum, i messaggi privati sono salvati in chiaro e di libera lettura a chi gestisce il database ed è prevista come opzione di default in IPBoard la possibilità di loggare, tramite pannello da amministratore, nei profili degli utenti bypassando la richiesta della password.

 

 

Edit:

<ironia>

Poi certo, figurati se, nel caso le password siano davvero in chiaro, venga davvero a dirti "Ehi, si: posso leggere la tua password!".

Quella che hai posto è una domanda assai stupida, come chiedere all'oste se il vino è buono.

</ironia>

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Nel database solitamente è salvato un hash (in md5 o sha1, con eventuali salt) che corrisponde alla nostra password. Certo, Kaos potrebbe, ipoteticamente, aver modificato IPBoard per inviare e salvare in chiaro le password, modificando la funzione di registrazione e di verifica della password. Di ciò non ne possiamo avere certezza (salvo i vecchi iscritti, che si ritroverebbero all'improvviso un "password non riconosciuta" e si ritroverebbero, stranamente, a doverla cambiare poiché nel database rimarrebbe comunque salvato il vecchiohash) ma... cosa se ne farebbe?

Se utilizzate una password diversa per ogni sito o condividete una password solo per siti di poca importanza il fatto che un admin abbia in mano la tua password non è un problema, al massimo scopre chi rimorchiate su facebook, a patto di conoscere la vostra email di registrazione a facebook, che mi auguro non essere quella del forum.

 

Ad ogni modo l'eventuale vantaggio di avere le password in chiaro degli utenti è letteralmente nullificato dallo svantaggio in termini giuridici che avrebbe se qualcuno bucasse il database e si venisse a sapere: qualunque utente potrebbe denunciarlo per non aver custodito con le dovute precauzioni la propria password, che è riconosciuta a livello giuridico come dato personale, e verrebbe letteralmente inchiappettato in tribunale.

 

In sintesi? Non preoccuparti e ricorda che la legge principe di Internet è di usare una password diversa per ogni portale.

 

Ad ogni modo ti ricordo che in IP Board, come in qualsiasi altro forum, i messaggi privati sono salvati in chiaro e di libera lettura a chi gestisce il database ed è prevista come opzione di default in IPBoard la possibilità di loggare, tramite pannello da amministratore, nei profili degli utenti bypassando la richiesta della password.

Si l'ultimo non è un problema. 

 

 

 

 

Vado a cambiare le mie varie password...

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Così è come IPB le crypta: https://www.invisionpower.com/support/guides/_/advanced-and-developers/miscellaneous/passwords-in-ipboard-r130 inoltre non è stata apportata nessuna modifica alle pagine di registrazione.

Il dubbio riportato da Barrnet, quello sulla modifica della pag. di reg., è universale e di qualsiasi sito di questo mondo.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Si l'ultimo non è un problema. 

 

 

 

 

Vado a cambiare le mie varie password...

Troppo tardi, Kaos si è già pagato le vacanze in America con i soldi rubati dal tuo pc.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Troppo tardi, Kaos si è già pagato le vacanze in America con i soldi rubati dal tuo pc.

pregnami ora, ti prego

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Nel database solitamente è salvato un hash (in md5 o sha1, con eventuali salt) che corrisponde alla nostra password. Certo, Kaos potrebbe, ipoteticamente, aver modificato IPBoard per inviare e salvare in chiaro le password, modificando la funzione di registrazione e di verifica della password. Di ciò non ne possiamo avere certezza (salvo i vecchi iscritti, che si ritroverebbero all'improvviso un "password non riconosciuta" e si ritroverebbero, stranamente, a doverla cambiare poiché nel database rimarrebbe comunque salvato il vecchiohash) ma... cosa se ne farebbe?

Se utilizzate una password diversa per ogni sito o condividete una password solo per siti di poca importanza il fatto che un admin abbia in mano la tua password non è un problema, al massimo scopre chi rimorchiate su facebook, a patto di conoscere la vostra email di registrazione a facebook, che mi auguro non essere quella del forum.

 

Ad ogni modo l'eventuale vantaggio di avere le password in chiaro degli utenti è letteralmente nullificato dallo svantaggio in termini giuridici che avrebbe se qualcuno bucasse il database e si venisse a sapere: qualunque utente potrebbe denunciarlo per non aver custodito con le dovute precauzioni la propria password, che è riconosciuta a livello giuridico come dato personale, e verrebbe letteralmente inchiappettato in tribunale.

 

In sintesi? Non preoccuparti e ricorda che la legge principe di Internet è di usare una password diversa per ogni portale.

 

Ad ogni modo ti ricordo che in IP Board, come in qualsiasi altro forum, i messaggi privati sono salvati in chiaro e di libera lettura a chi gestisce il database ed è prevista come opzione di default in IPBoard la possibilità di loggare, tramite pannello da amministratore, nei profili degli utenti bypassando la richiesta della password.

 

 

Edit:

<ironia>

Poi certo, figurati se, nel caso le password siano davvero in chiaro, venga davvero a dirti "Ehi, si: posso leggere la tua password!".

Quella che hai posto è una domanda assai stupida, come chiedere all'oste se il vino è buono.

</ironia>

Ma non l'ho fatta direttamente a kaos, non mi direbbe mai la verità nel caso fosse un superhackerciter.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti
E mentre leggevo questa discussione mi è comparso, sul logo, lo splashes "Kaos e i piccoli colpi di genio" .....

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Ma non l'ho fatta direttamente a kaos, non mi direbbe mai la verità nel caso fosse un superhackerciter.

Mi chiedi poi cosa se ne faccia delle password rubate...

Le rivende su ebay?

mah

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Mi chiedi poi cosa se ne faccia delle password rubate...

Le rivende su ebay?

mah

accede ai nostri account email nel caso le password fossere uguali, da li recupera le password di altri servizi a cui siamo iscritti e ci ruba tutto

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Sicuro, mi preoccuperei di più di siti minori sconosciuti, di solito io in quelli uso password estremamente stupide e semplici per ricordarmele e visto lo scarso valore dell'account possono anche chiedermela direttamente per quello che mi riguarda.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

accede ai nostri account email nel caso le password fossere uguali, da li recupera le password di altri servizi a cui siamo iscritti e ci ruba tutto

Praticamente il 95% dell'utenza non supera i 18anni, quindi a meno di entrare in un account facebook non può mica rubare dal conto in banca :rotfl:

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Praticamente il 95% dell'utenza non supera i 18anni, quindi a meno di entrare in un account facebook non può mica rubare dal conto in banca :rotfl:

"Kaos e il fantastico spaccio di account feisbuk"

Nelle sale il 32 ottobre

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

Così è come IPB le crypta: https://www.invisionpower.com/support/guides/_/advanced-and-developers/miscellaneous/passwords-in-ipboard-r130 inoltre non è stata apportata nessuna modifica alle pagine di registrazione.
Il dubbio riportato da Barrnet, quello sulla modifica della pag. di reg., è universale e di qualsiasi sito di questo mondo.


Io ti ho preso d'esempio perché sei tu il proprietario di codesto sito e calzavi quindi a pennello per l'esempio. Il fatto che IP Board vanilla cripti le password è vero, ma è anche vero che nessuno può avere la certezza che qualsiasi forum IP Board cripti le sue password: la modifica da fare per salvare le password in chiaro è fattibile e gli utenti non possono essere a conoscenza del contenuto "interno" del sito web che sta visitando, le uniche prove che hanno che il sito web cripti le loro password sono essenzialmente la conoscenza del pacchetto con cui è stato tirato su il forum (che non è detto che sia stato modificato per non criptare le informazioni sensibili) e la parola dell'amministratore, che in tal caso è tale e quale all'oste che garantisce per il vino.

Per quando ci riguarda potremmo comunque avere la certezza che se cambiassi il sistema in cui le password vengono memorizzate ci verrebbe richiesto un cambio password, ma anche questo è una cazzata: basterebbe aggiungere un nuovo campo nel database e salvare direttamente la richiesta POST fatta all'invio della password: otterresti tranquillamente una copia della nostra richiesta, password inclusa.

Insomma, voi non fidatevi a priori di qualunque webmaster, in fondo siamo su internet, non all'oratorio col prete.








Ma anche li c'è poco da fidarsi.

Condividi questo messaggio


Link di questo messaggio
Condividi su altri siti

×
×
  • Crea Nuovo...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.