Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
erkiha
Uus kasutaja
Uus kasutaja



Liitunud: 20.02.2015
Postitused: 10


estonia.gif
postituspostitatud: 20.02.2015, 13:40  postituse pealkiri:  Registreerimisel saadetakse mulle parool tekstina  

See on üsna suur turvaauk, selle asemel peaks parooli unustamise korral saadetama link lehega kus saab parooli muuta.

tänud, erki


Shadow
Vana Pingviin
Vana Pingviin


Vanus: 49
Liitunud: 16.07.2006
Postitused: 453

Distributsioon: Gentoo
estonia.gif
postituspostitatud: 21.02.2015, 07:13  postituse pealkiri:  (teema puudub)  

Tegelikult see pole turvaauk. Turvaauk on see, et seda üldse foorumi/lehe omanikel taastada on võimalik. Idee järgi peaks jah olema nii nagu sa kirjutad. Ju siis pingviini foorumi tegelasi ei huvita eriti foorumi turvalisus. Ja kasutaja peaks lihtsalt hoiatatud saama. Et ära kasuta samat parooli, mis gmailil. Parool123 Razz

See näitab seda, et foorumi paroolid ei ole "hashed and salted".

Ps. Siin foorumil ei peitu ei saladusi. Ega saa raha üle kanda jms.

Ps.2 Sellel foorumil on olemas SSL - aga see ei ole "forced ssl". Uuel kasutajal äkki hea teada...

_________________
Image

erkiha
Uus kasutaja
Uus kasutaja



Liitunud: 20.02.2015
Postitused: 10


estonia.gif
postituspostitatud: 21.02.2015, 10:35  postituse pealkiri:  (teema puudub)  

Just seetõttu see ongi turvaauk. Inimene on põhimõtteliselt lisk ja 90 kasutajatest paneb igale poole sama parooli, ei salga et ajuti ise ka. Vastasel korral pole võimalik neid paljusid erinevaid kontosid hallata/meeles pidada. Turvalisus peab olema hallatud süsteemi poolt mitte ajama seda kasutaja kaela kes sellest midagi ei jaga ega peagi jagama.


spott
Admin
Admin


Vanus: 43
Liitunud: 04.06.2005
Postitused: 8853

Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 21.02.2015, 17:51  postituse pealkiri:  (teema puudub)  

Shadow kirjutas:
Ju siis pingviini foorumi tegelasi ei huvita eriti foorumi turvalisus. Ja kasutaja peaks lihtsalt hoiatatud saama. Et ära kasuta samat parooli, mis gmailil. Parool123 Razz

See näitab seda, et foorumi paroolid ei ole "hashed and salted".

Ps. Siin foorumil ei peitu ei saladusi. Ega saa raha üle kanda jms.

Ps.2 Sellel foorumil on olemas SSL - aga see ei ole "forced ssl". Uuel kasutajal äkki hea teada...


Lihtne on alati viriseda, kuid kui on teemaks olnud abi uuendamiste osas - siis seda pole tavaliselt kuskilt võtta.

Kuna endal jõudu ja jaksu pole asjaga enam tegeleda ja ka teistel administraatoritel pole aega, siis ma ei välista ka seda, et ühel hommikul on foorumil silt ees, et suletud.

_________________
Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu

imre
Vana Pingviin
Vana Pingviin



Liitunud: 16.08.2005
Postitused: 2648
Asukoht: Saku kant
Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 21.02.2015, 19:32  postituse pealkiri:  (teema puudub)  

Turvalisus on sümbioos. Osalt serveri/rakenduse poolne teisalt jälle kasutaja poolne (enamasti).
pingviin.org serti vaadates, siis CN järgi on see omistatud portaal.pingviin.org jaoks. Seal taga ei paista aga midagi olevat.
https osa muutub www.pingviin.org jaoks seega mõttetuks - ei ole "turvaline" (browseri poolt vaadatuna).

Kuna tegu on "informatiivse portaaliga", siis ma ei leia, et peaks väga https osa kasutama. Kui siinsed paroolid kasutajatel on ka mujal kasutusel, siis ... kehv lugu.
Te ju ei kasuta sama võtit mitme erineva ukse avamiseks - miks siis internetis?

_________________
Enne teema püstitamist kasutage OTSINGUT
Küsi targalt: Infot siit!
Kui aru ei saa, siis küsi.

Shadow
Vana Pingviin
Vana Pingviin


Vanus: 49
Liitunud: 16.07.2006
Postitused: 453

Distributsioon: Gentoo
estonia.gif
postituspostitatud: 22.02.2015, 09:13  postituse pealkiri:  (teema puudub)  

Google vist andis natuke rohkem pointse, kes kasutab https -i. Chrome brauseri kohta jooksis kuskilt läbi uudis, et selle aasta jooksul kavatsevad http kohta kasutajat teavitama hakata - kasutad ebaturvalist lehte Smile

Paroolide suhtes oleks mõistlik kasutada LastPass nimelist asja. Kui oled nõus natz maksma turvalisuse eest. Telefonis kasutamine vist oli raha eest.
Kui oled GNU sõber - siis KeePass.

Tekitavad mõlemad selle, et sa enam kunagi ei kasuta samat parooli. Ja nad on uniplatvorm.

_________________
Image

hirax
Pingviini aktivist
Pingviini aktivist


Vanus: 54
Liitunud: 25.10.2013
Postitused: 264
Asukoht: maal ja merel
Distributsioon: KDE Neon 5.27, Linux Lite
estonia.gif
postituspostitatud: 23.02.2015, 00:02  postituse pealkiri:  (teema puudub)  

Võib olla ei puutu otseselt teemasse, aga üldharivas võtmes küsimus, et
Kas need LastPass või KeePass on mingit moodi paremad kui linuxi distroga kohe kaasas olevad "kesksed paroolihaldajad" ???
(või kuidas neid Eesti keeli kutsudagi...)
Näiteks KDE-l on kohe kaasas KWallet nimeline ja Ubuntul oli nagu ka midagi sellist olemas.
Miks peaks eelistama üht või teist ???


erkiha
Uus kasutaja
Uus kasutaja



Liitunud: 20.02.2015
Postitused: 10


estonia.gif
postituspostitatud: 23.02.2015, 15:20  postituse pealkiri:  (teema puudub)  

hirax kirjutas:
Võib olla ei puutu otseselt teemasse, aga üldharivas võtmes küsimus, et
Kas need LastPass või KeePass on mingit moodi paremad kui linuxi distroga kohe kaasas olevad "kesksed paroolihaldajad" ???
(või kuidas neid Eesti keeli kutsudagi...)
Näiteks KDE-l on kohe kaasas KWallet nimeline ja Ubuntul oli nagu ka midagi sellist olemas.
Miks peaks eelistama üht või teist ???


Lastpass on erinev asi. See on teenus mis töötab igal pool. S.t. paroolid mis on Windowsis salvestatud on kasutatavad nii linuxis ku telefonis.


z
Pingviini kasutaja
Pingviini kasutaja



Liitunud: 25.02.2009
Postitused: 75

Distributsioon: void
blank.gif
postituspostitatud: 23.02.2015, 17:29  postituse pealkiri:  (teema puudub)  

Algselt, kui infotehnoloogia insinöörid selle paroolivärgenduse välja mõtlesid, oli ette nähtud kaks peamist juhtpõhimõtet.

1. Parool on inimesel meeles
2. ta ei avalda oma parooli mitte kuskil

millele ajapikku lisandus

3. üle võrgu liikuv salasõna olgu tuvastamatu
(...kuna raali--terminali ja raali--raali vaheline ühendus arenes modemipõhisest punktidevahelisest topoloogiast võrkudeks.)

Kogu muusika.

Kõik, mida tehakse lisaks eelpooltoodule, mõjub seega teoreetiliselt igasugusele turvalisuse püüdlusele kehvasti.


sander85
Vana Pingviin
Vana Pingviin


Vanus: 38
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 23.02.2015, 20:13  postituse pealkiri:  (teema puudub)  

imre kirjutas:
Turvalisus on sümbioos. Osalt serveri/rakenduse poolne teisalt jälle kasutaja poolne (enamasti).
pingviin.org serti vaadates, siis CN järgi on see omistatud portaal.pingviin.org jaoks. Seal taga ei paista aga midagi olevat.
https osa muutub www.pingviin.org jaoks seega mõttetuks - ei ole "turvaline" (browseri poolt vaadatuna).

Kuna tegu on "informatiivse portaaliga", siis ma ei leia, et peaks väga https osa kasutama. Kui siinsed paroolid kasutajatel on ka mujal kasutusel, siis ... kehv lugu.
Te ju ei kasuta sama võtit mitme erineva ukse avamiseks - miks siis internetis?


Selle portaal.pingviin.org-iga on see teema, et mingi aeg spott ebaõnnestus www.pingviin.org-i serdi pikendamisega ja mina võõra kasutajana ei saanud sel ajal selle domeeni jaoks serti teha. Kuna serdi väljastaja annab ka igale serdile põhidomeeni toe, ehk pingviin.org, siis läksin seda teed. www. on obsolete enivei. Ja sert sai ise pandud seetõttu, et mõni tundis end siis kuivemalt.

Parooli saatmine on halb, tean. Aga hetkel ei tea ka mingit kuldset ideed, et kuidas see olukord paremaks saada. Ei ole selleks lihtsalt aega.

Paroolide haldamiseks on palju erinevaid võimalusi, sama parooliga mitmes saidis käia, see on juba igaühe enda probleem. Vahel tulebki jalga lasta, et õppust võetaks Smile

_________________
Image Image Image

imre
Vana Pingviin
Vana Pingviin



Liitunud: 16.08.2005
Postitused: 2648
Asukoht: Saku kant
Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 24.02.2015, 10:41  postituse pealkiri:  (teema puudub)  

Parooli saatmise võiks siis koodi tasemel välja "lülitada".
Peaks olema user_welcome.tpl fail ja sealt eemaldada {PASSWORD}

_________________
Enne teema püstitamist kasutage OTSINGUT
Küsi targalt: Infot siit!
Kui aru ei saa, siis küsi.

Shadow
Vana Pingviin
Vana Pingviin


Vanus: 49
Liitunud: 16.07.2006
Postitused: 453

Distributsioon: Gentoo
estonia.gif
postituspostitatud: 24.02.2015, 19:18  postituse pealkiri:  (teema puudub)  

Äkki ekiha on meie kohaliku trolli uus nägu Smile

Igatahes parooli saatmine või mitte saatmine - vahe erilist pole. Vahe oleks - kui muidu käib parooli muutmine üle https -i.
See, et sulle parool saadetakse. Näitab lihtsalt seda, et andmebaasi pihta pannes. Saab kodanike paroolide algse kuju taastada. Et ei kasutata ühesuunalist krüpteerimist.

Aga see on kirja pandud nähtavasti "tuule keerutamiseks". Tegelikult on siin foorumis regamine selleks ( vist ). Et peris Delfi -ks ei läheks Very Happy

_________________
Image

sander85
Vana Pingviin
Vana Pingviin


Vanus: 38
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 25.02.2015, 23:45  postituse pealkiri:  (teema puudub)  

imre kirjutas:
Parooli saatmise võiks siis koodi tasemel välja "lülitada".
Peaks olema user_welcome.tpl fail ja sealt eemaldada {PASSWORD}


Sellega võiks siis korras olla.

_________________
Image Image Image

illukas
Vana Pingviin
Vana Pingviin


Vanus: 43
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 26.02.2015, 08:52  postituse pealkiri:  (teema puudub)  

spott kirjutas:

Lihtne on alati viriseda, kuid kui on teemaks olnud abi uuendamiste osas - siis seda pole tavaliselt kuskilt võtta.

Kuna endal jõudu ja jaksu pole asjaga enam tegeleda ja ka teistel administraatoritel pole aega, siis ma ei välista ka seda, et ühel hommikul on foorumil silt ees, et suletud.

pole silmanud ka just abipalvet, või kui on siis ei ole silmanud? Probleemikirjeldused?
Sulgema ei ole vast vaja hakata, kui muidu ei saa siis võtame oma tiiva alla...

Teemaalgatajale niipalju, et kui parooli unustamise korral saadetakse sulle uus parool plain textina, siis sellest ei ole miskit hullu, sest:
*seda tuleb vaadata kui ajutist vaheparooli mis lubab sul oma parooli muuta
*kunagi ei tohiks jätta seda ajutist parooli endale permanentselt- see on ju kellegi teise poolt genereeritud

_________________
https://www.inlink.ee

erkiha
Uus kasutaja
Uus kasutaja



Liitunud: 20.02.2015
Postitused: 10


estonia.gif
postituspostitatud: 27.02.2015, 12:56  postituse pealkiri:  (teema puudub)  

Mul ei oleks midagi selle vastu kui mulle saadetakse ajutine genereeritud parool plain tekstina. See foorum aga regamisel käsib ise panna parooli ja siis saadab selle sama minu pandud parooli mulle veel ka plain tekstina meiliga. See on probleem.


imre
Vana Pingviin
Vana Pingviin



Liitunud: 16.08.2005
Postitused: 2648
Asukoht: Saku kant
Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 27.02.2015, 14:13  postituse pealkiri:  (teema puudub)  

Enam ei saadeta parooli e-mailile registreerumisel.

_________________
Enne teema püstitamist kasutage OTSINGUT
Küsi targalt: Infot siit!
Kui aru ei saa, siis küsi.

A.I.V.O.
Pingviini aktivist
Pingviini aktivist



Liitunud: 10.07.2009
Postitused: 103
Asukoht: Tapa
Distributsioon: Mageia6, Elive3.0, LinuxMint19 Cinnamon
estonia.gif
postituspostitatud: 27.02.2015, 14:32  postituse pealkiri:  (teema puudub)  

erkiha kirjutas:
Mul ei oleks midagi selle vastu kui mulle saadetakse ajutine genereeritud parool plain tekstina. See foorum aga regamisel käsib ise panna parooli ja siis saadab selle sama minu pandud parooli mulle veel ka plain tekstina meiliga. See on probleem.


Too näide, et mujal ehk teistes foorumites sihukest "tempu" ei tehta.
Muide, seesinatine foorum on loodud ajal, mil kõik näis olevat turvaline - ammu enne sm. Snowdeni paljastusi, et NSA omab võimsat tööriista nimega Prizm ja sellega on seotud globaalsed teenusepakkujad.
Mna küll mingit probleemi siin ei näe, kuna Google, M$ vms. teab niiehknaa minust rohkem kui ma ise seda tunnistan..
Isiklikult mul on küll suht ükskõik, kui siinse foorumi parool saadetakse GMailile nn. PlainTexti-na, sest ega minu peakolu ole prügikast, et kõike meeles peaksin.
Piisab ühe parooli (antud juhul GMaili) meelespidamisest ja saan selle abil vajadusel kasutada oma teisi paroole.

_________________
Põrguinglist Taewakurat

imre
Vana Pingviin
Vana Pingviin



Liitunud: 16.08.2005
Postitused: 2648
Asukoht: Saku kant
Distributsioon: Ubuntu
estonia.gif
postituspostitatud: 27.02.2015, 16:09  postituse pealkiri:  (teema puudub)  

Alati on võimalus parool kohe ära vahetada peale registreerumist. Mingi pseudoprobleem minu meelest hetkel üles kruvitud.

_________________
Enne teema püstitamist kasutage OTSINGUT
Küsi targalt: Infot siit!
Kui aru ei saa, siis küsi.

erkiha
Uus kasutaja
Uus kasutaja



Liitunud: 20.02.2015
Postitused: 10


estonia.gif
postituspostitatud: 27.02.2015, 16:59  postituse pealkiri:  (teema puudub)  

Ma ei süüdistanud ju selles kedagi, rohkem nagu üritasin tähelepanu juhtida. Ja nagu näha võeti lõpuks kuulda. Suured tänud.


illukas
Vana Pingviin
Vana Pingviin


Vanus: 43
Liitunud: 24.10.2006
Postitused: 2036


norway.gif
postituspostitatud: 27.02.2015, 20:21  postituse pealkiri:  (teema puudub)  

võkem rahulikult, tänud tähelepanu juhtimast Smile

Igaks juhuks mainin, et see ei tähenda seda, et parooli plain textina hoitakse.

_________________
https://www.inlink.ee

Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group