Autor |
Sõnum |
erkiha
Uus kasutaja
Liitunud: 20.02.2015
Postitused: 10
|
|
See on üsna suur turvaauk, selle asemel peaks parooli unustamise korral saadetama link lehega kus saab parooli muuta.
tänud, erki
|
|
|
|
|
|
|
|
Shadow
Vana Pingviin
Vanus: 50
Liitunud: 16.07.2006
Postitused: 453
Distributsioon: Gentoo
|
|
Tegelikult see pole turvaauk. Turvaauk on see, et seda üldse foorumi/lehe omanikel taastada on võimalik. Idee järgi peaks jah olema nii nagu sa kirjutad. Ju siis pingviini foorumi tegelasi ei huvita eriti foorumi turvalisus. Ja kasutaja peaks lihtsalt hoiatatud saama. Et ära kasuta samat parooli, mis gmailil. Parool123
See näitab seda, et foorumi paroolid ei ole "hashed and salted".
Ps. Siin foorumil ei peitu ei saladusi. Ega saa raha üle kanda jms.
Ps.2 Sellel foorumil on olemas SSL - aga see ei ole "forced ssl". Uuel kasutajal äkki hea teada...
|
|
|
|
_________________
|
|
|
|
erkiha
Uus kasutaja
Liitunud: 20.02.2015
Postitused: 10
|
|
Just seetõttu see ongi turvaauk. Inimene on põhimõtteliselt lisk ja 90 kasutajatest paneb igale poole sama parooli, ei salga et ajuti ise ka. Vastasel korral pole võimalik neid paljusid erinevaid kontosid hallata/meeles pidada. Turvalisus peab olema hallatud süsteemi poolt mitte ajama seda kasutaja kaela kes sellest midagi ei jaga ega peagi jagama.
|
|
|
|
|
|
|
|
spott
Admin
Vanus: 43
Liitunud: 04.06.2005
Postitused: 8857
Distributsioon: Ubuntu
|
|
Shadow kirjutas: | Ju siis pingviini foorumi tegelasi ei huvita eriti foorumi turvalisus. Ja kasutaja peaks lihtsalt hoiatatud saama. Et ära kasuta samat parooli, mis gmailil. Parool123
See näitab seda, et foorumi paroolid ei ole "hashed and salted".
Ps. Siin foorumil ei peitu ei saladusi. Ega saa raha üle kanda jms.
Ps.2 Sellel foorumil on olemas SSL - aga see ei ole "forced ssl". Uuel kasutajal äkki hea teada... |
Lihtne on alati viriseda, kuid kui on teemaks olnud abi uuendamiste osas - siis seda pole tavaliselt kuskilt võtta.
Kuna endal jõudu ja jaksu pole asjaga enam tegeleda ja ka teistel administraatoritel pole aega, siis ma ei välista ka seda, et ühel hommikul on foorumil silt ees, et suletud.
|
|
|
|
_________________ Tellige endale sünnipäevaks, sõbrapäevaks või muuks tähtpäevaks kingitus: Kingitused internetist - NetiKink.eu
|
|
|
|
imre
Vana Pingviin
Liitunud: 16.08.2005
Postitused: 2648
Asukoht: Saku kant
Distributsioon: Ubuntu
|
|
Turvalisus on sümbioos. Osalt serveri/rakenduse poolne teisalt jälle kasutaja poolne (enamasti).
pingviin.org serti vaadates, siis CN järgi on see omistatud portaal.pingviin.org jaoks. Seal taga ei paista aga midagi olevat.
https osa muutub www.pingviin.org jaoks seega mõttetuks - ei ole "turvaline" (browseri poolt vaadatuna).
Kuna tegu on "informatiivse portaaliga", siis ma ei leia, et peaks väga https osa kasutama. Kui siinsed paroolid kasutajatel on ka mujal kasutusel, siis ... kehv lugu.
Te ju ei kasuta sama võtit mitme erineva ukse avamiseks - miks siis internetis?
|
|
|
|
_________________ Enne teema püstitamist kasutage OTSINGUT
Küsi targalt: Infot siit!
Kui aru ei saa, siis küsi.
|
|
|
|
Shadow
Vana Pingviin
Vanus: 50
Liitunud: 16.07.2006
Postitused: 453
Distributsioon: Gentoo
|
|
Google vist andis natuke rohkem pointse, kes kasutab https -i. Chrome brauseri kohta jooksis kuskilt läbi uudis, et selle aasta jooksul kavatsevad http kohta kasutajat teavitama hakata - kasutad ebaturvalist lehte
Paroolide suhtes oleks mõistlik kasutada LastPass nimelist asja. Kui oled nõus natz maksma turvalisuse eest. Telefonis kasutamine vist oli raha eest.
Kui oled GNU sõber - siis KeePass.
Tekitavad mõlemad selle, et sa enam kunagi ei kasuta samat parooli. Ja nad on uniplatvorm.
|
|
|
|
_________________
|
|
|
|
hirax
Pingviini aktivist
Vanus: 54
Liitunud: 25.10.2013
Postitused: 266
Asukoht: maal ja merel
Distributsioon: KDE Neon 5.27, Linux Lite
|
|
Võib olla ei puutu otseselt teemasse, aga üldharivas võtmes küsimus, et
Kas need LastPass või KeePass on mingit moodi paremad kui linuxi distroga kohe kaasas olevad "kesksed paroolihaldajad" ???
(või kuidas neid Eesti keeli kutsudagi...)
Näiteks KDE-l on kohe kaasas KWallet nimeline ja Ubuntul oli nagu ka midagi sellist olemas.
Miks peaks eelistama üht või teist ???
|
|
|
|
|
|
|
|
erkiha
Uus kasutaja
Liitunud: 20.02.2015
Postitused: 10
|
|
hirax kirjutas: | Võib olla ei puutu otseselt teemasse, aga üldharivas võtmes küsimus, et
Kas need LastPass või KeePass on mingit moodi paremad kui linuxi distroga kohe kaasas olevad "kesksed paroolihaldajad" ???
(või kuidas neid Eesti keeli kutsudagi...)
Näiteks KDE-l on kohe kaasas KWallet nimeline ja Ubuntul oli nagu ka midagi sellist olemas.
Miks peaks eelistama üht või teist ??? |
Lastpass on erinev asi. See on teenus mis töötab igal pool. S.t. paroolid mis on Windowsis salvestatud on kasutatavad nii linuxis ku telefonis.
|
|
|
|
|
|
|
|
z
Pingviini kasutaja
Liitunud: 25.02.2009
Postitused: 75
Distributsioon: void
|
|
Algselt, kui infotehnoloogia insinöörid selle paroolivärgenduse välja mõtlesid, oli ette nähtud kaks peamist juhtpõhimõtet.
1. Parool on inimesel meeles
2. ta ei avalda oma parooli mitte kuskil
millele ajapikku lisandus
3. üle võrgu liikuv salasõna olgu tuvastamatu
(...kuna raali--terminali ja raali--raali vaheline ühendus arenes modemipõhisest punktidevahelisest topoloogiast võrkudeks.)
Kogu muusika.
Kõik, mida tehakse lisaks eelpooltoodule, mõjub seega teoreetiliselt igasugusele turvalisuse püüdlusele kehvasti.
|
|
|
|
|
|
|
|
sander85
Vana Pingviin
Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
imre kirjutas: | Turvalisus on sümbioos. Osalt serveri/rakenduse poolne teisalt jälle kasutaja poolne (enamasti).
pingviin.org serti vaadates, siis CN järgi on see omistatud portaal.pingviin.org jaoks. Seal taga ei paista aga midagi olevat.
https osa muutub www.pingviin.org jaoks seega mõttetuks - ei ole "turvaline" (browseri poolt vaadatuna).
Kuna tegu on "informatiivse portaaliga", siis ma ei leia, et peaks väga https osa kasutama. Kui siinsed paroolid kasutajatel on ka mujal kasutusel, siis ... kehv lugu.
Te ju ei kasuta sama võtit mitme erineva ukse avamiseks - miks siis internetis? |
Selle portaal.pingviin.org-iga on see teema, et mingi aeg spott ebaõnnestus www.pingviin.org-i serdi pikendamisega ja mina võõra kasutajana ei saanud sel ajal selle domeeni jaoks serti teha. Kuna serdi väljastaja annab ka igale serdile põhidomeeni toe, ehk pingviin.org, siis läksin seda teed. www. on obsolete enivei. Ja sert sai ise pandud seetõttu, et mõni tundis end siis kuivemalt.
Parooli saatmine on halb, tean. Aga hetkel ei tea ka mingit kuldset ideed, et kuidas see olukord paremaks saada. Ei ole selleks lihtsalt aega.
Paroolide haldamiseks on palju erinevaid võimalusi, sama parooliga mitmes saidis käia, see on juba igaühe enda probleem. Vahel tulebki jalga lasta, et õppust võetaks
|
|
|
|
_________________
|
|
|
|
imre
Vana Pingviin
Liitunud: 16.08.2005
Postitused: 2648
Asukoht: Saku kant
Distributsioon: Ubuntu
|
|
Parooli saatmise võiks siis koodi tasemel välja "lülitada".
Peaks olema user_welcome.tpl fail ja sealt eemaldada {PASSWORD}
|
|
|
|
_________________ Enne teema püstitamist kasutage OTSINGUT
Küsi targalt: Infot siit!
Kui aru ei saa, siis küsi.
|
|
|
|
Shadow
Vana Pingviin
Vanus: 50
Liitunud: 16.07.2006
Postitused: 453
Distributsioon: Gentoo
|
|
Äkki ekiha on meie kohaliku trolli uus nägu
Igatahes parooli saatmine või mitte saatmine - vahe erilist pole. Vahe oleks - kui muidu käib parooli muutmine üle https -i.
See, et sulle parool saadetakse. Näitab lihtsalt seda, et andmebaasi pihta pannes. Saab kodanike paroolide algse kuju taastada. Et ei kasutata ühesuunalist krüpteerimist.
Aga see on kirja pandud nähtavasti "tuule keerutamiseks". Tegelikult on siin foorumis regamine selleks ( vist ). Et peris Delfi -ks ei läheks
|
|
|
|
_________________
|
|
|
|
sander85
Vana Pingviin
Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
spott kirjutas: |
Lihtne on alati viriseda, kuid kui on teemaks olnud abi uuendamiste osas - siis seda pole tavaliselt kuskilt võtta.
Kuna endal jõudu ja jaksu pole asjaga enam tegeleda ja ka teistel administraatoritel pole aega, siis ma ei välista ka seda, et ühel hommikul on foorumil silt ees, et suletud. |
pole silmanud ka just abipalvet, või kui on siis ei ole silmanud? Probleemikirjeldused?
Sulgema ei ole vast vaja hakata, kui muidu ei saa siis võtame oma tiiva alla...
Teemaalgatajale niipalju, et kui parooli unustamise korral saadetakse sulle uus parool plain textina, siis sellest ei ole miskit hullu, sest:
*seda tuleb vaadata kui ajutist vaheparooli mis lubab sul oma parooli muuta
*kunagi ei tohiks jätta seda ajutist parooli endale permanentselt- see on ju kellegi teise poolt genereeritud
|
|
|
|
_________________ https://www.inlink.ee
|
|
|
|
erkiha
Uus kasutaja
Liitunud: 20.02.2015
Postitused: 10
|
|
Mul ei oleks midagi selle vastu kui mulle saadetakse ajutine genereeritud parool plain tekstina. See foorum aga regamisel käsib ise panna parooli ja siis saadab selle sama minu pandud parooli mulle veel ka plain tekstina meiliga. See on probleem.
|
|
|
|
|
|
|
|
imre
Vana Pingviin
Liitunud: 16.08.2005
Postitused: 2648
Asukoht: Saku kant
Distributsioon: Ubuntu
|
|
Enam ei saadeta parooli e-mailile registreerumisel.
|
|
|
|
_________________ Enne teema püstitamist kasutage OTSINGUT
Küsi targalt: Infot siit!
Kui aru ei saa, siis küsi.
|
|
|
|
A.I.V.O.
Pingviini aktivist
Liitunud: 10.07.2009
Postitused: 103
Asukoht: Tapa
Distributsioon: Mageia6, Elive3.0, LinuxMint19 Cinnamon
|
|
erkiha kirjutas: | Mul ei oleks midagi selle vastu kui mulle saadetakse ajutine genereeritud parool plain tekstina. See foorum aga regamisel käsib ise panna parooli ja siis saadab selle sama minu pandud parooli mulle veel ka plain tekstina meiliga. See on probleem. |
Too näide, et mujal ehk teistes foorumites sihukest "tempu" ei tehta.
Muide, seesinatine foorum on loodud ajal, mil kõik näis olevat turvaline - ammu enne sm. Snowdeni paljastusi, et NSA omab võimsat tööriista nimega Prizm ja sellega on seotud globaalsed teenusepakkujad.
Mna küll mingit probleemi siin ei näe, kuna Google, M$ vms. teab niiehknaa minust rohkem kui ma ise seda tunnistan..
Isiklikult mul on küll suht ükskõik, kui siinse foorumi parool saadetakse GMailile nn. PlainTexti-na, sest ega minu peakolu ole prügikast, et kõike meeles peaksin.
Piisab ühe parooli (antud juhul GMaili) meelespidamisest ja saan selle abil vajadusel kasutada oma teisi paroole.
|
|
|
|
_________________ Põrguinglist Taewakurat
|
|
|
|
imre
Vana Pingviin
Liitunud: 16.08.2005
Postitused: 2648
Asukoht: Saku kant
Distributsioon: Ubuntu
|
|
Alati on võimalus parool kohe ära vahetada peale registreerumist. Mingi pseudoprobleem minu meelest hetkel üles kruvitud.
|
|
|
|
_________________ Enne teema püstitamist kasutage OTSINGUT
Küsi targalt: Infot siit!
Kui aru ei saa, siis küsi.
|
|
|
|
erkiha
Uus kasutaja
Liitunud: 20.02.2015
Postitused: 10
|
|
Ma ei süüdistanud ju selles kedagi, rohkem nagu üritasin tähelepanu juhtida. Ja nagu näha võeti lõpuks kuulda. Suured tänud.
|
|
|
|
|
|
|
|
illukas
Vana Pingviin
Vanus: 44
Liitunud: 24.10.2006
Postitused: 2036
|
|
võkem rahulikult, tänud tähelepanu juhtimast
Igaks juhuks mainin, et see ei tähenda seda, et parooli plain textina hoitakse.
|
|
|
|
_________________ https://www.inlink.ee
|
|
|
|
|