Prečo tento portál nemá žiadne šifrovanie a zabezpečenie?

[predradnik]

Zabudol som heslo no a tak som si ho šiel zresetovať. A tak som zistil, že nové heslo mi je zaslané nešifrované v plain texte. Čiže napadli ma hneď 2 veci

1. tento portál nepoužíva žiadne šifrovanie údajov. To znamená, že je vysoká pravdepodobnosť, že moje nové heslo bolo odchytené a zapísané do databázy nejakej tretej strany na internete. Viete si predstaviť, ak by som všade mal rovnaké heslo napr. na prístup k bankovému účtu. No proste katastrofa. Samozrejme tento portál nemá ani SSL certifikát, čiže všetko čo tu napíšete ale aj súkromné správy sa dajú odchytiť. Všetko sa totiž medzi Vami používateľmi a serverom cez internet prenáša v takzvanom plain text - čistom nešifrovanom texte.

2. zjavne sa heslá do databázy portálu ukladajú tiež v čistom texte, to znamená že administrátor vidí všetky Vaše heslá. Hmmm teraz je tu otázka nakoľko im môžeme veriť. No dobre dajme tomu, že oni majú morálku v poriadku. No čo ak sa zase niekto hackne - tretia strana (ako sa už párkrát v minulosti stalo na tomto portále) a skopíruje si databázu a samozrejme heslá. Znova veľká katastrofa. Takže by som rád vedel či sa do databázy ukladá plain text - čistý text, ktorý obsahuje heslo. Alebo ide o štandardný SHA alebo aspoň MD5 HASH ??? Keďže tento portál nepoužíva žiadne šifrovanie, tak predpokladám, že to bude PLAIN TEXT.

Prosím zamyslite sa nad tým a navrhnite nejaké riešenia. Aj verejná sociálna sieť ako je facebook či azet.sk už majú šifrovanie na štandardnej úrovni.

Nejaké riešenia???

[pocitujlasku]

to, ze poslal nove heslo do emailu neznamena, ze v db su tiez plain. a nikto normalny nema rovnake heslo na forum a do ib - to len tak na okraj. Ak chces zabezpecene poslanie, to chces email zasifrovany pgp?
ssl certifikat na stranku by bol vhodny, ale kto ho zaplati? nie je problem si ho dat aj self-signed, ale potom tie staznosti...
Aka vysoka je parvdepodobnost, ze ti niekto odchyti heslo v emaili? chcem konkretne %, v reale asi 0,nic - este pozor na NSA, ti si tiez odkladaju kopie vsetkych emailov.
Facebook a azet maju trocha ine prijmy, toto forum zije z reklamy a roznej podpory.

[predradnik]

aha čiže tvoj návrh je v podstate s**t na to... bez urážky prosím,
aj to je navrh...
Ja som chcel len nejaky konštruktívny návrh nie výhovorky. Vyhovárať sa na to, že nie su peniaze hmm. To sa mi nezdá veď si pamätám časy, keď tento portál žil a nemal žiadnu reklamu. Teraz je to tu samá reklama dokonca aj články su od kadejakých s.r.óčiek.
Neverím že jeden SSL certifikát ktorý sa dá zohnať za zopár desiatok eur na rok sa nepokryje z týchto reklám.
Skôr si myslím, ze admin nemá čas a možno ani vzdelanie aby to dokázal urobiť.
Vážne ma trápia iba tieto 2 veci aby v databáze boli hesla uložené ako HASH tak ako sa to dnes v tomto čase robí.
A bodol by i ten SSL certifikát.

To chcem až tak veľa?

[Washu]

HTTPS pripojenie na forum mi pripomina tento obrazok

[abc]

SSL sa zíde vždy, nakoniec základné SSL certifikáty sa dajú zohnať rádovo za 15 - 20 EUR/rok.

[predradnik]

začínam mať dojem, že svetlektro nemá nič spoločné so svetom IT ...

zjavne sú to dve rôzne dimenzie, alebo mi to pripomína túto rovnosť rádioamatér = IT amatér

aby sa nikto další neurazil, je to adresované tomu čo prispel tým obrázkom...

rieši sa tu naozaj vážna vec, tak si prosím odpustite tento nekonštruktívny humor

[Washu]

predradnik: Ak si myslis ze HTTPS tomu pomoze tak velmi rad by som zdielal tvoju najivitu. Mozno raz zistis ze cele IT je derave ako reseto.

[mato1168]

pre predradnik doteraz to tu nikomu nevadilo ako je to (ne)zabezpecene a zrazu dojdes ty a zacnes to riesit nechapem na co toto je len moj nazor samozrejme SSL by bodlo ale ked to tu nebolo doteraz tak naco to zrazu riesit

[elmoto]

Ano vazna vec pre cloveka ktory nevie ako sa ma na internete chovat.

Skus to formulovat ako pomoc pre toto forum nie ako urazka tohoto fora a taktiez uzivatelov. Nerob ziaden natlak! Nikto ta nenuti sa tu prihlasovat a ani pouzivat rovnake heslo ake mas na mail alebo do IB. Toto nieje IT forum ale amaterske forum o elektronike.

Ale ja dakujem, za tvoj prinos ohladom skvalitnenia tohoto fora. Naozaj si dal dobru informaciu a poznamku.

Ale uvedom si, ze toto forum nema za ciel vychovavat ludi ako sa maju spravat vo svete internetu. To sa musia naucit sami.

A prosim ktore amaterske fora maju sifrovanie a ssl certifikat?

[predradnik]

som tu správne? volá sa to fórum "Kniha prianí a sťažností" ?
načo slovákom SSL, načo slovákom HASH súhlas -> našinec aj tak nerozumie týmto pojmom...
A preto bude slovensko stále tam, kde je... presne pre to...

Je bežné, že na zahraničných fórach je zavedený aj bezpečnostný certifikát a samozrejme HASH...
Treba občas navštíviť aj zahraničné fóra...
Hmm ale to by si musel asi vedieť po anglicky... Hmm načo treba vedieť po anglicky, veď aj tak slováci všetko majú, všetko videli, všetko zažili...

Tu to asi naozaj netreba ... Tu je naše super vzdelané slovensko...

OK toľko mi stačí, to znamená, že sa to tu asi nikdy neudeje.

Tak sa majte a držím Vám palce...

[Merak]

(ako sa už párkrát v minulosti stalo na tomto portále)

zjavne si dosť informovaný, vieš mi prosím povedať kedy sa to stalo na tomto fóre? poprípade ako sa to stalo a kto to bol?

[Milos66]

Sbohom.

[neznamy]

nic v zlom,ale v niecom ma predradnik pravdu. Tento pristup : nebolo to tu doteraz a zijeme tak naco to riesit je pekne konzervativny. HTTPS a SSL nemoze nicomu uskodit.

druha vec je, ze ked niekto bude chciet ziskat cielene tie hesla, tak ich ziska aj keby boli ulozene na diernom stitku. Ked dokazali ziskat miliony hesiel ku google uctom a vykradnut fotky nahych hereciek z icloud uctov, nejake forum je nic.

[Merak]

tak tie fotky by som chcel aj ja

[pocitujlasku]

right13: tie ioblacik hesla ziskali vdaka chybe v overovani, kedy dovolil neobmedzene skusat, nemalo to nic s https, alebo sifrovanim.
hej, v niecom ma pravdu, ale da sa to napisat aj inak a slusnejsie. Ja som si nikdy neuvedomil, ze to bezi len na http, aj tak pouzivam heslo, ktore bude ostatnym tak max. na vstup do tohto fora.
Len stale premyslam nad tym, ako sa ma poslat nove heslo zabezpecene, pochybujem, ze si teraz budu vsetci zriadovat pgp, iny sposob ako poslat bezpecne email nepoznam.

[Washu]

pocitujlasku: Aspon niekto konecne pochopil ze zabezpecenie je len take dobre ako je najslabsi clanok retazca. Preto ten obrazok, HTTPS by tu bolo platne presne ako tie dvere.

[balki]

šifrovanie je jedna vec a odchytenie otvoreného kľúča druhá
Počkajme na vyjadrenie administrátora.

[psichac]

Hesla v DB niesu v plaintexte. Toti mozem s istotou povedat.

Zvysok temy si idem docitat...

/ no, zvysok temy som si docital, poviem len tolko. Bol som (som aj teraz) na viacerych forach a ani na jednom nieje https... Je pravda ze aj ja som davnejsie cital nejaku temu ze "stranka bola hacknuta" - stranku ti ale hacknu preto lebo mas slabe heslo k ftp, nie pre hesla userov...
Samozrejme niesom proti tomu. Ale ani za to teraz nebudem robit strajk, proste mi je to jedno. I tak pokial je clovek blby a naleti na phishing (hmm, ze to zrovna ja hovorim ) tak to nic nepomoze. A mat vsade jedno heslo, ako pardon... Alzheimer nealzheimer... A potom ze bezpecnost...

Mimochodom, ak mi neveris ohladom db, pozri si ako funguje phpBB, kludn si stiahni instalacku aniekde si ho rozhehni a uvidis.

[elmoto]

predradnik: Zbohom.

Ofrflal si to tu ponadával do obyčajných Slovákov / ty si asi Maďar alebo Bulhar ze?/ a nevieme anglicky. Všetko vieš a všade si bol.
Tak papa. Byt adminom tak ti dám BAN za to urážlivé chovanie a byt na dosah tak dostaneš otcovskú facku za nevazlive chovanie. Ja som Slovák a haniť ma nebudeš! Si spomeň kde si sa narodil a kto ta vychoval! Ktoré to fóra majú SSL?

[mimik007]

pri obnove hesla sa ti pošle heslo nešifrované, ale to heslo sa automaticky zašifruje do DB cez md5 alebo sha1. Neviem čo presne využíva phpbb, takže nikto nič nevidí, ibaže by niekto upravil core a nechal tam iba nešifrované. Takže neviem čo si za pacienta ale hádam ťa tu nikto nedrží