23Jul
Recimo, da imate slab dan in se mudi, da se prijavite na priljubljeno spletno mesto, nato pa slučajno pošljite svoje geslo v polje z besedilom uporabniškega imena.Če ste zaskrbljeni in spremenite svoje geslo za to spletno stran, ali pa je to samo neutemeljen strah?
Današnje vprašanje &S sejo odgovora prihaja uporaba SuperUserja, ki je razdeljena na Stack Exchange, skupinsko spletno stran Q & A.
Vprašanje
SuperUser bralec agentnega želi vedeti, kaj nevarnosti vnašanja gesla v polje z besedilom uporabniškega imena in nenamerno pošiljanje je lahko:
Recimo, da sem vnesel geslo v polje za uporabniško ime na pogosto obiskani spletni strani( httpsseveda ) in hit vstopiti, preden sem opazil, kaj počnem.
Ali je moje geslo zdaj nekje v datoteki dnevnika v preprostem besedilu? Kako naj bi moja napaka izkoriščala grozljivka? Pomagajte mi razumeti dejanske varnostne posledice, ne glede na verjetnost, da se to dejansko dogaja.
Ali bi to bilo dejansko nekaj za kaj skrbeti, ali bi lahko to pogledali kot preprosto napako in pozabili na to?
Odgovorni sodelavci
SuperUser Nikolay in GregD imajo odgovor za nas. Najprej gor, Nikolay:
Odvisno je od konfiguracije sistema za preverjanje pristnosti za spletno mesto.Če je bilo nastavljeno, da se prijavijo vsi poskusi, potem da, je zdaj v dnevniku( besedilna datoteka ali podatkovna baza ) v navadnem besedilu. To bi lahko izgledalo takole:
12-feb-2014 12:00:00: neuspešni uporabnik( YOUR_PASSSORD_HERE) neuspešni uporabnik( YOUR_IP_HERE);
ali podobno.
Še vedno je res, da geslo za navadne uporabnike ne bo dostopno le za tiste, ki imajo dostop do datotek dnevnika.
Kakšne so posledice?
- Če je bil strežnik kdaj ogrozil, potem bi teoretično lahko heker dobil vaše navadno geslo.
- Skrbnik spletnega mesta lahko rutinsko prehaja skozi dnevnike in po nesreči najde vaše geslo. Nato lahko poišče naslov IP, s katerega je prišel ta zapis, zato lahko teoretično izve, kakšno je vaše uporabniško ime in e-pošta( ker ima dostop do baze podatkov).
Torej, če na drugih spletnih mestih uporabljate isto e-poštno /username/ geslo, ga takoj spremenite. Ker obstaja vedno možnost, da bo vaše geslo ugotovljeno. Dnevniki lahko ostanejo na strežnikih že več let.
Sledi odgovor od GregD:
Prav tako kot ste rekli, spletne aplikacije običajno vodijo dnevnike neuspešnih poskusov prijave.Če bi kdo pregledal dnevnike, bi lahko ta poskus prijave povezal z enim od vaših uspešnih poskusov( ie preko IP-naslova ).
Čeprav mislim, da se to verjetno ne bo zgodilo, lahko vedno spremenite to, kar ste prepričani.
S stalnim zabojem podatkov, ki jih beremo in slišimo o teh dneh, bi bilo bolje zamenjati geslo za zadevno spletno stran( in vse druge z istim geslom ) za mir. Bolje je biti varen kot žal, ko gre za varnost vaših spletnih računov!
Ali želite dodati nekaj pojasnila? Zvok v komentarjih.Želite prebrati več odgovorov od drugih uporabniških članov stack Exchange? Oglejte si celotno temo za razpravo tukaj.