Diskuse k článku

Změňte si heslo na Twitteru. Kvůli chybě byla některá nechráněná

Kvůli technické chybě se ukládaly přístupové údaje uživatelů k síti Twitter v nezaheslované podobě. Přesný počet takto uložených hesel firma nezveřejnila.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

F58i19l88i13p 70C37i92e48s34l94a53r 8252556487808

Proboha, vždyť když jsem už kdysi začínal s programování webu, tak první věc byla jasná - do DB vložit zahashované heslo, včetně soli..

Já to prostě nechápu..

0/0
4.5.2018 8:15

P74e87t27r 63F86u86k94a 8123546730285

Do db to ukládají správně. Problém byl v aplikačním logu.

0/0
4.5.2018 9:04

T60o77m42á95š 33V38a63n96č50u89r82a 4168895520838

A co takhle si to přečíst znovu? Vůbec se tam nepíše o tom, že se do DB ukládalo plaintext heslo. Když už se v tom vyznáte, tak jistě víte, že v jednom okamžiku je v aplikaci stále dostupné viditelné heslo než se nakonec zahashuje do DB. Získané čitelné heslo od uživatele musí nějakou funkci zahashovat (bcrypt) než pak takový hash uloží do databáze. A právě během tohoto procesu se objevila chyba, kdy se z nějakého důvodu ukládaly záznamy včetně hesla někam na disk serveru.

Vždyť je to tam napsané.

0/0
4.5.2018 9:17

P79e87t41r 19F91u46k13a 8263136130585

"Záznamy se ukládaly někam na disk serveru" zní pořád dost zlověstně.

Byl to aplikační log. Mohlo to být třeba automatické logování příchozích requestů, ze kterého by pro hesla a podobně bylo potřeba zajistit výjimku.

Snad nikdo neudělal explicitně log "uživatel xyz si nastavuje heslo ABC"

0/0
4.5.2018 12:19

S10t38a35n62d17a 43K39a51d76e25ř15á38b70e24k 7615574974909

Promiňte, ale zásadně nesouhlasím. Správně napsaná aplikace by nikdy neměla přenášet heslo na server, ani po HTTPS. Hash se MUSÍ udělat už na straně klienta. viz. např. debata zde https://stackoverflow.com/questions/3391242/should-i-hash-the-password-before-sending-it-to-the-server-side

0/0
4.5.2018 15:47

P90e81t37r 21F12u16k17a 8703456800815

Neříkám, jak je to správně. Snažím se jen odhadnout, co se v Twitteru stalo.

0/0
5.5.2018 1:41



Najdete na iDNES.cz