odkaz pre gta-mp.cz a o bezpečnosti tohto webu

[Guest sevkin]

Dobrý deň, chcel by som sem napísať niečo o gta-multiplayer.cz a administrátoroch tohto webu. Ak tam nedajbože máte zaregistrovaný účet, určite si toto prečítajte. Nasledujúci text som napísal na ich fórum na gta-mp.cz ale po niekoľkých reakciách bol bez vysvetlenia topic zmazaný. Nasleduje text ktorý som napísal:

 

Zdravím, chcem sa spýtať vedenia tohto webu, prečo takto nezodpovedne ohrozujú bezpečnosť jeho používateľov. Ide o to že keď si dáte obnoviť zabudnuté heslo, na email vám príde nie nanovo vygenerované heslo, ale to vaše. Toto som v minulosti s hrôzou zistil a chcel by som zároveň varovať všetkých používateľov tohto webu, že ten kto má prístup k databáze (čiže určite Mr. niCe a možno aj ďalší admini), vidia heslá všetkých registrovaných účtov. V prípade hacknutia webu by vaše všetky heslá boli vyzradené a ak ste heslo použili aj niekde inde, váš účet by bol bezprostredne ohrozený, keďže heslá niesú šifrované. Je to priam nehorázne ako porušuju vaše súkromie tým že si môžu prezerať vaše heslá.

 

Chcel by som neznalejším objasniť situáciu. Ak si napr. zaregistrujete účet na forum.sa-mp.com (alebo na facebooku, gmail.com, twitteri, na gta.cz alebo inde), vaše heslo bude zašifrované napr. metódou md5. Pri následnom prihlasovaní sa kontroluje už výsledný zašifrovaný reťazec a tak nieje možné aby bolo vaše heslo kdekoľvek zapísané. Napr. ak použijete heslo "123456", zašifrovaním vznikne nový reťazec napr. "g4a4d8ga7aewa54weg6a4e8g7a8", ten sa uloží do databázy. Pri následnom prhlásení, zadáte svoje heslo, zadaný reťazec sa zašifruje, a porovnáva sa už zašifrovaný reťazec, teda "g4a4d8ga7aewa54weg6a4e8g7a8" už s tým zašifrovaným v databáze. Ak sa obidva reťazce zhodujú (teda ak ste zadali správne heslo) prihlási vás to. Preto pri nedávnom hacku SA:MP fóra, unikli len zašifrované heslá a rozšifrovať každé heslo trvá veľmi dlho v závislosti od dĺžky a náročnosti použitého hesla (mesiace, niekedy aj roky), čiže útočníci nezískali v nikoho heslá ale len ich šifry.

 

Tu na webe sa porovnáva priamo zadané heslo s heslom v databáze. Každý seriózny web má heslá používateľských účtov šifrované preto odporúčam každému užívateľovi ktorý ma na tomto webe účet, aby si zmenil svoje heslo a už ho nikde inde nepoužíval. Taktiež si zmeňte svoje heslo na účtoch kde ste mali rovnaké heslo ako tu keďže niCe má prístup k heslám od všetkých užívateľských účtov pretože ako som povedal, niesú šifrované. Odporúčam administrátorom tohto webu aby heslá boli šifrované a nevystavovali tak svojich návštevníkov zbytočnému riziku pri úniku dát. Nejde ale len o to. Každú užívateľ má právo na súkromie a hlavne pri takto citlivom údaji ako je heslo a je to totálna drzosť adminov takto nebezpečne prevádzkovať web s tým že si vaše heslá môžu voľne prezerať.

 

Ako je napísane vyššie, odporúčam každému zmeniť heslo na účte na gta-mp.cz a už ho nikde inde nepoužívať, samozrejme zmeniť heslá aj na všetkých ostatných weboch kde ste použili rovnaké heslo. Dúfam že tento topic nebude zmazaný po niekoľkých minútach ako na gta-mp.cz, kde si ako som sa presvedčil nikto nevie priznať chybu. Ale je možné že manipuluje aj vami, ak áno nebude mi to vôbec divné.

 

Ešte chcem doplniť že momentálne niesom si istý či obnovenie zabudnutého hesla funguje stále rovnako, môžem však s istotou tvrdiť že ešte včera (10.9.2010) mi pri obnovení zabudnutého hesla na mail prišlo presne to heslo ktoré som mal nastavené, je možné že administrátori to po zmazaní môjho včerajšieho topicu rýchlo zamaskovali a odteraz už vám príde na mail náhodne vygenerované heslo. Pochybujem však že by prerobili systém na šifrovací. Nenechaju si ujsť šancu mať pod kontrolou účty každého ich užívateľa.

 

Ja osobne toto považujem za najvačší podraz aký môže byť spáchaný voči užívateľom webu.

 

//Edit: text som dal z code do quote aby to videli aj neregistrovaní užívatelia

[chytrak 14]

Z důvodu prolomení šifry md5 se používají jiné, nebo kombinované one-way metody.

 

Například redakční systém php fusion používá:

$password = "lol";
echo md5(md5($password)); 

 

Zahashované heslo se znovu zahashuje, osobně jsem to zkoušel

přes virtuální jádra grafické karty a žádné sebelehší heslo jsem neprolomil.

 

Osobně bych však používal něco ve stylu:

$password = "lol";
echo md5(md5(sha1($password)));

 

Pak se možnosti na prolomení rapidně klesnou.

[niCe 131]

Vidim ze mas vetsi prehled o tom jak funguje moje databaze uzivatelu nez ja (pro ty mene nadane - tohle bylo mysleno jako ironie). Z bezpecnostnich duvodu pochopitelne nebudu prozrazovat presny zpusob, jakym je provedeno zabezpeceni uzivatelskych uctu na GTA-Multiplayer.cz, ale muzes si byt vic nez jistej, ze ty hesla v databazi nejsou ulozeny v nezakodovany podobe.

 

Prispevek u nas na foru byl odstranen prave proto, ze to povazujeme za poskozovani GTA-Multiplayer.cz, jelikoz tvuj prispevek se nezaklada na pravde ani na zadnych dolozitelnych dukazech, proto me prekvapuje, ze si dovolis napsat neco podobneho jen na zaklade tvych domnenek.

 

To ze neco nedelam tak jak to dela 99% majitelu webu, neznamena, ze to delam spatne. Heslo ti poslou na mail i na jinych serioznich a velkych webovych portalech - jako jeden priklad uvedu treba Social Club od Rockstar Games. A nejak jsem nestacil postrehnout ze by kdy meli nejake problemy se zabezpecenim. Mne osobne prijde zpusob resetovani hesla jako slozity a hloupy, takze preferuju posilani hesla na mail, ktery je pro vetsinu uzivatelu pohodlnejsi a ktery je zabezpeceny mnohem lepe nez si ty vubec myslis.

[chytrak 14]

Topic promazán z důvodu flame ware a nepodložených důkazů, nechal jsem pouze vyjádření majitele webu.