23Jul
Tegyük fel, hogy rossz napja van, és siet, hogy belépjen egy kedvenc webhelyére, majd véletlenül adja meg jelszavát a felhasználónév szövegmezőjébe. Ha aggódsz, és megváltoztatod a jelszavadat az adott webhelyen, vagy csak alaptalan félelem?
A mai kérdés &A válaszüzenet a SuperUser - a Stack Exchange megosztottságának köszönhetően - a Q & A webhelyek közösségi szintű csoportosítása.
kérdése Az
SuperUser olvasó ügynök tudni akarja, milyen veszélyekkel jár a jelszó beírása a felhasználónév szövegdobozba, és véletlenül elküldheti azt:
Tegyük fel, hogy a gyakran látogatott webhely( httpstermészetesen ) és belépett, mielőtt észrevettem, mit csinálok.
A jelszó most egy egyszerű naplóban van egy naplófájlban valahol? Hogyan lehet a hibámat kihasználni egy ravasz hibás? Segítsen megérteni a tényleges biztonsági vonatkozásokat függetlenül attól, hogy valóban bekövetkezik-e.
Valójában ez lenne valami, amiért aggódnék, vagy egy egyszerű hibának tekintheted, és elfelejted?
A válasz
A SuperUser-munkatársak, Nikolay és GregD a választ nekünk. Először is, Nikolay:
A webhely hitelesítési rendszerének konfigurációjától függ. Ha beállították, hogy naplózza a kísérleteket, akkor igen, most már a naplóban( szövegfájl vagy adatbázis ) egyszerű szöveges formában. Ez a következőképpen néz ki:
2014.02.12. 12:00:00: Sikertelen felhasználói bejelentkezési kísérlet( YOUR_PASSSORD_HERE) a( YOUR_IP_HERE);
vagy hasonló.
Még mindig igaz, hogy a jelszó nem lesz elérhető a rendszeres felhasználók számára, csak azok számára, akik hozzáférnek a naplófájlokhoz.
Milyen következményekkel jár ez?
- Ha a kiszolgálót mindig veszélyeztette, akkor elméletileg a hackernek egyszerű szöveges jelszava lesz.
- A honlap adminisztrátora rutinszerűen átmegy a naplófájlok között, és véletlenül megtalálja a jelszavát. Megtalálhatja azt az IP-címet, amelyről ez a rekord származik, így elméletileg elmondhatja, hogy mi a felhasználóneve és az e-mailje( mert hozzáfér az adatbázishoz).
Tehát, ha ugyanazt az e-mail /username/ jelszót használod más webhelyeken, akkor azonnal változtasd. Mivel mindig van esély arra, hogy jelszavát megtalálják. A naplók évekig a kiszolgálókon maradhatnak.
A GregD által adott válasz:
Ahogy mondtad, a webes alkalmazások általában sikertelen bejelentkezési kísérleteket vezetnek be. Ha valaki átnézné a naplófájlokat, akkor ezt a bejelentkezési kísérletet egy sikeres kísérletével( , azaz az IP-címen keresztül) kapcsolhatja össze.
Bár nem hiszem, hogy ez valószínűleg megtörténik, mindig lehet változtatni.
Az adatok megsértésének állandó duzzasztógátja, melyet napjainkról olvasunk és hallunk, jobb lenne megváltoztatni a szóban forgó webhely( és bármely más azonos jelszóval rendelkező ) jelszavát a lelki nyugalom érdekében. Az internetes fiókok biztonsága érdekében jobb, ha megbánjuk, mint sajnálom!
Van valami a magyarázat hozzáadásához? Hangzik ki a megjegyzésekben. Szeretne többet válaszolni a többi technikus-tudós Stack Exchange felhasználóiról? Nézze meg a teljes vitafonalat itt.