23Jul
Předpokládejme, že máte špatný den a ve spěchu se přihlašujete na oblíbené webové stránky, pak náhodně odešlete heslo do textového pole uživatelského jména. Měli byste se obávat a změnit své heslo pro tyto webové stránky, nebo je to jen bezpředmětný strach?
dnešní otázka &Odpověď na zasedání se k nám dostala s laskavým svolením SuperUser - podřízenou výměnou Stack Exchange, skupině webů Q & A založených na komunitě.
Otázka
SuperUser čtenář agentnega chce vědět, jaké jsou nebezpečí při psaní hesla do textového pole uživatelského jména a náhodným odesláním může být:
Řekněme, že jsem zadal své heslo do textového pole uživatelského jména často navštěvované webové stránky( httpssamozřejmě ) a hit enter, než jsem si všiml, co dělám.
Mé heslo se nyní nachází někde v obyčejném textu v souboru protokolu? Jak by můj chyba mohla zneužít nějaký chytrák? Pomozte mi pochopit skutečné bezpečnostní důsledky bez ohledu na pravděpodobnost, že se skutečně děje.
Bylo by to vlastně něco, na co byste se museli obávat, nebo byste se na to mohli podívat jako na jednoduchou chybu a zapomenout na to?
Odpovědí odpovědí pro uživatele
SuperUser Nikolay a GregD.První, Nikolay:
Záleží na konfiguraci ověřovacího systému pro web. Pokud bylo nastaveno zaznamenávat všechny pokusy, pak ano, je nyní v protokolu( textový soubor nebo databáze ) v prostém textu. Může to vypadat takto:
12. února 2014 12:00:00: Neúspěšný pokus o přihlášení uživatele( YOUR_PASSSORD_HERE) z( YOUR_IP_HERE);
nebo podobně.
Je stále pravda, že heslo nebude dostupné pro běžné uživatele, pouze pro ty, kteří mají přístup k souborům protokolu.
Jaké důsledky to znamená?
- Pokud byl server někdy kompromitován, teoreticky by měl hacker vaše heslo pro prostý text.
- Správce webových stránek by mohl běžně procházet soubory protokolu a náhodně najít heslo. Poté může najít adresu IP, z níž tento záznam pochází, a tak teoreticky zjistí, jaké je vaše uživatelské jméno a e-mail( protože má přístup k databázi).
Pokud používáte stejné heslo /username/ na jiných webech, okamžitě je změňte. Protože je vždy možné, že vaše heslo bude zjištěno. Záznamy mohou zůstat na serverech již léta.
Následuje odpověď od společnosti GregD:
Stejně jako jste řekli, webové aplikace mají tendenci zaznamenávat neúspěšné pokusy o přihlášení.Pokud by se někdo musel podívat na protokoly, mohl by se připojit k tomuto konkrétnímu pokusu o přihlášení jedním z vašich úspěšných pokusů( , tj. Prostřednictvím adresy IP ).
Ačkoli si nemyslím, že by se to mohlo stát, vždy to můžete změnit.
S neustálým zabraňováním narušení dat, které jsme o těchto dnech četli a slyšeli, bylo by lepší změnit heslo pro danou webovou stránku( a další s stejným heslem ) pro klid. Je lepší být v bezpečí, než je to líto, pokud jde o zabezpečení vašich online účtů!
Musíte něco přidat k vysvětlení?Zní to v komentářích. Chcete se dozvědět více odpovědí od ostatních uživatelů technologie Stack Exchange? Podívejte se na celý diskusní příspěvek zde.