Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Diskuse k článku

Změňte si heslo na Twitteru. Kvůli chybě byla některá nechráněná

Kvůli technické chybě se ukládaly přístupové údaje uživatelů k síti Twitter v nezaheslované podobě. Přesný počet takto uložených hesel firma nezveřejnila.

Upozornění

Litujeme, ale tato diskuse byla uzavřena a již do ní nelze vkládat nové příspěvky.
Děkujeme za pochopení.

Zobrazit příspěvky: Všechny podle vláken Všechny podle času

F14i20l52i66p 49C57i16e59s89l51a26r 8382146267588

Proboha, vždyť když jsem už kdysi začínal s programování webu, tak první věc byla jasná - do DB vložit zahashované heslo, včetně soli..

Já to prostě nechápu..

0/0
4.5.2018 8:15

P80e40t34r 15F45u98k81a 8283626330615

Do db to ukládají správně. Problém byl v aplikačním logu.

0/0
4.5.2018 9:04

T72o44m70á12š 34V40a19n57č93u73r56a 4848515530728

A co takhle si to přečíst znovu? Vůbec se tam nepíše o tom, že se do DB ukládalo plaintext heslo. Když už se v tom vyznáte, tak jistě víte, že v jednom okamžiku je v aplikaci stále dostupné viditelné heslo než se nakonec zahashuje do DB. Získané čitelné heslo od uživatele musí nějakou funkci zahashovat (bcrypt) než pak takový hash uloží do databáze. A právě během tohoto procesu se objevila chyba, kdy se z nějakého důvodu ukládaly záznamy včetně hesla někam na disk serveru.

Vždyť je to tam napsané.

0/0
4.5.2018 9:17

P46e16t11r 40F55u28k44a 8973306600685

"Záznamy se ukládaly někam na disk serveru" zní pořád dost zlověstně.

Byl to aplikační log. Mohlo to být třeba automatické logování příchozích requestů, ze kterého by pro hesla a podobně bylo potřeba zajistit výjimku.

Snad nikdo neudělal explicitně log "uživatel xyz si nastavuje heslo ABC"

0/0
4.5.2018 12:19

S79t41a23n32d90a 89K42a86d83e71ř88á86b27e84k 7285564314849

Promiňte, ale zásadně nesouhlasím. Správně napsaná aplikace by nikdy neměla přenášet heslo na server, ani po HTTPS. Hash se MUSÍ udělat už na straně klienta. viz. např. debata zde https://stackoverflow.com/questions/3391242/should-i-hash-the-password-before-sending-it-to-the-server-side

0/0
4.5.2018 15:47

P34e55t82r 60F72u61k75a 8273326770435

Neříkám, jak je to správně. Snažím se jen odhadnout, co se v Twitteru stalo.

0/0
5.5.2018 1:41







Najdete na iDNES.cz