napsal Joker, 4.2.2009 22.08:56, naposledy upraveno 5.2.2009 9.11:38
Dnes jsem četl (skrze pooh.cz) článek na Lupě Libimseti.cz po hacknutí zvyšuje bezpečnost. Cituji:
Ukázalo se, že Líbímseti přešlo konečně na obvyklou formu zabezpečení hesel, na MD5 hash. Do té doby byla všechna hesla uložena jako čistý text, takže kdokoliv, kdo by získal přístup k databázi, mohl také získat plná hesla uživatelů.
Zároveň se objevily zvěsti, že příčinou je opětovné hacknutí serveru, kdy útočník získal přístup k heslům (další po nechvalně známém pár měsíců starém případu, kdy někdo získal hesla soukromých galerií a fotky z nich se pak volně šířily Internetem).
Pokud je ta citovaná pasáž pravdivá, je zabezpečení libimseti.cz spíš špatný vtip. Ukládání hesla do databáze v přímo čitelné podobě bych považoval za chybu i u amatérského "pokus projektu" programátora-začátečníka. U vážně míněného projektu, nota bene spravujícího soukromá data tisíců uživatelů, jde o trestuhodnou nedbalost.
A tím novým zabezpečením přes MD5 bych se taky zrovna nechlubil- funkce MD5 už delší dobu není považována za bezpečnou a je možné ji prolomit řádově za desítky sekund i na průměrně výkonném domácím počítači. Pravda, oproti předchozímu stavu je to pořád pokrok, ale kdybych to přirovnal k zabezpečení domu před zloději, je to pokrok asi jako si místo volného vstupu pořídit dveře- zatím bez zámku, ale alespoň dveře.
Přijde mi neuvěřitelné, že doteď měli tak zoufalou úroveň zabezpečení a nikdo s tím nic nedělal až do doby, než nastal průšvih. A ani potom s tím nikdo nic nedělal a o čtyři měsíce později (když pravděpodobně nastal další průšvih) zlepšili úroveň zabezpečení ze "zoufalé" na "minimální". Fakt, že web na začátku rozjížděl nezkušený amatérský programátor, neberu jako omluvu- buď jsem ochotný s úspěchy a výhodami přijmout i z toho vyplývající zodpovědnost, nebo to nedělám, když to neumím.
Každopádně, z pohledu uživatele se jen potvrdila platnost starého jednoduchého pravidla: Cokoliv nahrajete někam na web, považujte za veřejné. Nechcete-li, aby něco viděli všichni ostatní, nedávejte to na web.