23Jul

Kullanıcı Adı Alanına Bir Parola Verilirse Güvenlik Etkileri Nedir?

Favori bir web sitesine giriş yapmak için kötü bir gün geçiriyorsanız ve acele edin, bunun yerine kullanıcı adı metin kutusuna yanlışlıkla şifrenizi gönderin. Endişelenmeli ve o web sitesi için şifrenizi değiştirmeli mi yoksa asılsız bir korku mudur?

Bugünkü Soru &Yanıt oturumu bize Q & A web sitelerinin topluluk temelli bir gruplandırması olan Stack Exchange'in bir alt bölümü olan SuperUser nezaketen geliyor.

Soru

SuperUser okuyucu agentnega, kullanıcı adı metin kutusuna bir kullanıcının parolasını yazmanın ve yanlışlıkla onu göndermenin tehlikelerinin ne olabileceğini bilmek ister:

Sıklıkla ziyaret edilen bir web sitesinin kullanıcı adı metin kutusuna şifreyi yazdım diyelim( httpselbette ) ve ne yaptığımı fark etmeden girerek vur.

Parolam şimdi bir yerde bir günlük dosyasında düz metin olarak mı bulunuyor? Benim hatam, kurnaz bir saldırgan tarafından nasıl sömürülebilirdi? Gerçekten olma ihtimaline bakılmaksızın gerçek güvenlik sonuçlarını anlamama yardım et.

Bu aslında kaygılanacak bir şey olabilir mi, yoksa bunu basit bir hata olarak görüp unutabilir misiniz?

Cevap

SuperUser katılımcıları Nikolay ve GregD bize cevap veriyor.İlk önce, Nikolay:

Web sitesi için kimlik doğrulama sisteminin yapılandırmasına bağlı.Herhangi bir girişimi kaydetmek için kurulum olsaydı, o zaman evet, şu an günlükte( metin dosyası veya veritabanı) düz metinteydi.Şu şekilde olabilir:

12-Şub-2014 12: 00: 00:( YOUR_IP_HERE) adresinden oturum açma girişimi başarısız kullanıcı( YOUR_PASSSORD_HERE);

veya benzerleri.

Hala normal kullanıcılar için, yalnızca günlük dosyalarına erişimi olan kullanıcılar için bir parola erişilemeyeceği doğrudur.

Bunun ne anlama geldiğini ima ediyor?

  • Sunucu tehlikeye atılmışsa, teorik olarak, bilgisayar korsanının sade metin parolası olurdu.
  • Web sitesinin yöneticisi günlük dosyalarını düzenli olarak geçirebilir ve yanlışlıkla şifrenizi bulabilir. Ardından bu kaydın geldiği IP adresini bulabilir ve dolayısıyla teorik olarak kullanıcı adınızın ve e-postanızın( veritabanına erişimi olduğundan) ne olduğunu öğrenebilir.

Diğer web sitelerinde aynı e-posta /username/ şifresini kullanırsanız, derhal değiştirin.Çünkü şifrenizin bulunması ihtimaliniz her zaman vardır. Günlükler, yıllarca sunucularında kalabilir.

GregD'nin cevabının ardından:

Web uygulamaları, başarısız oturum açma girişimleri günlüklerini tutma eğiliminde. Birisi günlüklere bakacak olursa, bu belirli giriş denemesini başarılı girişimlerinizden biriyle bağlayabilir( yani IP adresi üzerinden).

Bunun muhtemel olduğunu sanmıyorum, ancak her zaman emin olabilirsiniz.

Bu günlerde okuduğumuz ve duyduğumuz veri ihlallerini sürekli olarak kontrol altına aldığımız için, söz konusu web sitesinin( ve aynı şifre olan diğer tüm kimlerin) şifresini rahatça değiştirmek daha iyi olur.Çevrimiçi hesaplarınızın güvenliği konusunda üzgün olduğunuzdan daha iyidir!

Açıklamaya eklemek için bir şey var mı?Yorumların sesini kapatın. Diğer teknik uzman Stack Exchange kullanıcılarından daha fazla cevap okumak ister misiniz? Buradaki tam tartışma dizinine göz atın.