23Jul
Pieņemsim, ka jums ir slikta diena un steigā ieiet iecienītākajā tīmekļa vietnē, tad nejauši iesniedziet savu paroli lietotājvārda teksta lodziņā.Vai jums jāuztraucas un jāmaina šīs vietnes parole, vai arī tas ir vienkārši nepamatots bailes?
šodienas jautājums &Atbildes sesija mums priecājas par SuperUser - Stack Exchange, kas ir kopienas un Q & A tīmekļa vietņu grupa.
Jautājums
SuperUser lasītājs agentnega vēlas uzzināt, kādas ir draudi ievadīt paroli lietotājvārdu teksta lodziņā un to nejauši iesniegt:
Pieņemsim, ka esmu ievadījis savu paroli lietotājvārda teksta lodziņā bieži apmeklētajā tīmekļa vietnē( httpsprotams, ) un hit ievadīt, pirms es pamanīju to, ko daru.
Vai mana parole tagad sēž vienkāršā tekstā žurnāla failā kaut kur? Kā mana kļūda varēja tikt izmantota ložīgs miscreant? Palīdziet man izprast faktisko ietekmi uz drošību neatkarīgi no tā, vai tā patiešām notiek.
Vai tas patiešām būtu kaut kas jāuztraucas, vai jūs to varētu uzskatīt par vienkāršu kļūdu un aizmirst par to?
Atbilde
SuperUser atbalstītājiem Nikolajam un GregD mums ir atbilde. Pirmkārt, Nikolajs:
Tas ir atkarīgs no tīmekļa vietnes autentifikācijas sistēmas konfigurācijas. Ja tas bija iestatīts, lai reģistrētu visus mēģinājumus, tad jā, tagad tas ir log( teksta failu vai datu bāzes ) vienkāršā tekstā.Tas varētu izskatīties šādi:
12-februāris-2014 12:00:00 AM: neveiksmīgs pieteikšanās mēģinājuma lietotājs( YOUR_PASSSORD_HERE) no( YOUR_IP_HERE);
vai tamlīdzīgi.
Tā joprojām ir taisnība, ka parole nebūs pieejama parastajiem lietotājiem, tikai tiem, kuriem ir piekļuve log failiem.
Kādas sekas tas nozīmē?
- Ja serveris kādreiz tika apdraudēts, tad teorētiski hakeram būtu jūsu vienkāršā teksta parole.
- Tīmekļa vietnes administrators varētu kārtīgi iet caur žurnāla failiem un nejauši atrast jūsu paroli. Viņš pēc tam var atrast IP adresi, uz kuru šis ieraksts tika saņemts, un tādējādi viņš var teorētiski uzzināt, kas ir jūsu lietotājvārds un e-pasts( jo viņam ir piekļuve datubāzei).
Tātad, ja jūs izmantojat to pašu e-pasta /username/ paroli citās tīmekļa vietnēs, tad nekavējoties mainiet to. Tā kā vienmēr ir iespēja, ka tiks atklāta jūsu parole. Zāģi daudzus gadus var palikt serveros.
Pēc GregD atbildes:
Tāpat kā jūs teicāt, tīmekļa lietojumprogrammas mēdz glabāt žurnālus par neveiksmīgiem pieteikšanās mēģinājumiem. Ja kāds apskatīt žurnālus, viņš varēja pieslēgt šo konkrēto pieteikšanās mēģinājumu ar vienu no veiksmīgajiem mēģinājumiem( , t.i., izmantojot IP adresi ).
Lai gan es nedomāju, ka tas varētu notikt, vienmēr to varēsiet mainīt.
Ar nepārtrauktu datu noplūdi, kurus mēs lasām un dzirdam par šīm dienām, būtu labāk nomainīt attiecīgās vietnes paroli( un visus citus ar tādu pašu paroli ), lai saglabātu mieru. Labāk ir droši nekā atvainojamies, kad runa ir par jūsu tiešsaistes kontu drošību!
Vai kaut kas jāpievieno paskaidrojumam? Skatieties komentāros. Vēlaties lasīt citas atbildes no citiem tehnoloģiju savvy Stack Exchange lietotājiem?Šeit skatiet pilnu diskusiju pavedienu.
