23Jul
Претпоставимо да имате лош дан и жури се да се пријавите на омиљену веб локацију, а затим случајно пошаљите своју лозинку у поље за корисничко име корисничко име.Да ли бисте били забринути и променили своју лозинку за ту интернет страницу, или је то само неоснован страх?
Данашње питање & амп;Сесија одговора долази нам захваљујући СуперУсер-у подскупу Стацк Екцханге-а, групације К & ама;
Питање
СуперУсер читач агентнега жели да зна шта опасности од куцања своје лозинке у поље за корисничко име и случајно подношење би могле бити:
Рецимо да сам унела своју лозинку у поље за корисничко име на често посјећеном веб-сајту( хттпснаравно ) и ударио сам прије него што сам приметио шта радим.
Да ли моја лозинка сада седи у обичном тексту у лог фајлу негде?Како би моја грешка могла експлоатисати лукавица?Помозите ми да разумем стварне сигурносне последице без обзира на вероватноћу да се она заправо догађа.
Да ли би то заправо било нешто о чему би требало да се брине, или бисте могли да погледате ово као једноставну грешку и заборавите на то?
Одговорност
СуперУсер сарадници Николаи и ГрегД имају одговор за нас.Прво горе, Николаи:
Зависи од конфигурације система за потврду идентитета за веб локацију.Ако је постављено да се пријављују сви покушаји, онда је да, сада је у дневнику( текстуална датотека или база ) у обичном тексту.Може изгледати овако:
12-феб-2014 12:00:00 АМ: Неуспешан корисник покушаја пријаве( ИОУР_ПАСССОРД_ХЕРЕ) из( ИОУР_ИП_ХЕРЕ);
или слично.
Још увек је тачно да лозинка неће бити доступна за редовне кориснике, само за оне који имају приступ датотекама дневника.
Какве последице то подразумева?
- Ако је сервер икада био компромитован, а затим теоретски, хакер би имао своју чисту текстуалну лозинку.
- Администратор сајта може рутински да пређе датотеке дневника и случајно пронађе своју лозинку.Тада може пронаћи ИП адресу одакле је овај запис дошао, и стога он може теоретски сазнати које су ваше корисничко име и е-маил( јер има приступ бази података).
Дакле, ако користите исту е-маил /username/ лозинку на другим веб страницама, одмах га промените.Зато што увек постоји шанса да се ваша лозинка пронађе.Дневници могу остати на серверима годинама.
Следи одговор од ГрегД:
Као што сте рекли, веб апликације имају тенденцију да задржавају дневнике неуспешних покушаја пријављивања.Ако неко погледа дневнике, могао би повезати овај покушај пријаве са једним од ваших успјешних покушаја( преко ИП адресе ).
Иако не мислим да ће се ово вероватно догодити, увек можете да је промените.
Са константном огромном количином података који читамо о овим данима, било би боље да промените лозинку за дотичну веб локацију( и све остале са истом лозинком ) за безбрижност.Боље је бити сигуран него жао када је у питању безбедност ваших онлајн налога!
Имате ли нешто да додате објашњењу?Звучи у коментарима.Желите да прочитате више одговора од других корисничких корисника Стацк Екцханге?Овде погледајте комплетну тему.