abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Neoprávněný přístup do GitLab instance používané konzultačním týmem Red Hatu
    dnes 01:11 | Bezpečnostní upozornění

    Red Hat řeší bezpečnostní incident, při kterém došlo k neoprávněnému přístupu do GitLab instance používané jejich konzultačním týmem.

    Ladislav Hagara | Komentářů: 0
    Immich 2.0.0
    včera 23:33 | Nová verze

    Immich byl vydán v první stabilní verzi 2.0.0 (YouTube). Jedná se o alternativu k výchozím aplikacím od Googlu a Applu pro správu fotografií a videí umožňující vlastní hosting serveru Immich. K vyzkoušení je demo. Immich je součástí balíčků open source aplikací FUTO. Zdrojové kódy jsou k dispozici na GitHubu pod licencí AGPL-3.0.

    Ladislav Hagara | Komentářů: 0
    ČTÚ vydal zprávy o vývoji cen a trhu elektronických komunikací se zaměřením na rok 2024
    včera 22:33 | IT novinky

    Český telekomunikační úřad vydal zprávy o vývoji cen a trhu elektronických komunikací se zaměřením na rok 2024. Jaká jsou hlavní zjištění? V roce 2024 bylo v ČR v rámci služeb přístupu k internetu v pevném místě přeneseno v průměru téměř 366 GB dat na jednu aktivní přípojku měsíčně – celkově jich tak uživateli bylo přeneseno přes 18 EB (Exabyte). Nejvyužívanějším způsobem přístupu k internetu v pevném místě zůstal v roce 2024 bezdrátový

    … více »
    Ladislav Hagara | Komentářů: 0
    Raspberry Pi OS 2025-10-01
    včera 12:11 | Nová verze

    Raspberry Pi OS, oficiální operační systém pro Raspberry Pi, byl vydán v nové verzi 2025-10-01. Přehled novinek v příspěvku na blogu Raspberry Pi a poznámkách k vydání. Jedná o první verzi postavenou na Debianu 13 Trixie.

    Ladislav Hagara | Komentářů: 0
    MuseScore Studio 4.6
    včera 05:22 | Nová verze

    Byla vydána nová verze 4.6 svobodného notačního programu MuseScore Studio (Wikipedie). Představení novinek v oznámení v diskusním fóru a také na YouTube.

    Ladislav Hagara | Komentářů: 0
    Společnost DuckDuckGo věnovala 1,1 milionu dolarů na podporu digitálních práv, online soukromí a lepšího internetového ekosystému
    včera 02:22 | Komunita

    Společnost DuckDuckGo stojící za stejnojmenným vyhledávačem věnovala 1,1 milionu dolarů (stejně jako loni) na podporu digitálních práv, online soukromí a lepšího internetového ekosystému. Rozdělila je mezi 29 organizací a projektů. Za 15 let rozdala 8 050 000 dolarů.

    Ladislav Hagara | Komentářů: 4
    Bevy 0.17
    1.10. 20:11 | Nová verze

    Svobodný multiplatformní herní engine Bevy napsaný v Rustu byl vydán ve verzi 0.17. Díky 278 přispěvatelům.

    Ladislav Hagara | Komentářů: 0
    openSUSE Leap 16
    1.10. 16:11 | Nová verze

    Bylo vydáno openSUSE Leap 16 (cs). Ve výchozím nastavení přichází s vypnutou 32bitovou (ia32) podporou. Uživatelům však poskytuje možnost ji ručně povolit a užívat si tak hraní her ve Steamu, který stále závisí na 32bitových knihovnách. Změnily se požadavky na hardware. Leap 16 nyní vyžaduje jako minimální úroveň architektury procesoru x86-64-v2, což obecně znamená procesory zakoupené v roce 2008 nebo později. Uživatelé se starším hardwarem mohou migrovat na Slowroll nebo Tumbleweed.

    Ladislav Hagara | Komentářů: 3
    Nový DeepTech fond podpoří vysoce inovativní startupy
    1.10. 16:00 | IT novinky

    Ministerstvo průmyslu a obchodu (MPO) ve spolupráci s Národní rozvojovou investiční (NRI) připravuje nový investiční nástroj zaměřený na podporu špičkových technologií – DeepTech fond. Jeho cílem je posílit inovační ekosystém české ekonomiky, rozvíjet projekty s vysokou přidanou hodnotou, podpořit vznik nových technologických lídrů a postupně zařadit Českou republiku mezi země s nejvyspělejší technologickou základnou.

    … více »
    Ladislav Hagara | Komentářů: 3
    Radicle 1.5.0
    1.10. 12:55 | Nová verze

    Radicle byl vydán ve verzi 1.5.0 s kódovým jménem Hibiscus. Jedná se o distribuovanou alternativu k softwarům pro spolupráci jako např. GitLab.

    Ladislav Hagara | Komentářů: 3
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (40%)
     (47%)
     (14%)
     (16%)
     (18%)
     (14%)
     (18%)
     (14%)
     (14%)
    Celkem 159 hlasů
     Komentářů: 10, poslední dnes 01:37
    Rozcestník
    AbcLinuxu
    HDmag.cz
    David Heidelberg - blog_
    Aktuální zápisy
    ?Přístup k archivovaným zápisům za jednotlivé měsíce. Archív

    ?Seznam mých oblíbených stránek, které pravidelně navštěvuji. Oblíbené stránky
    ?Poslední screenshot mého desktopu. Současný desktop
    Phoc / Phosh (GNOME-maps) na Nexus 7
    ?Přístup na osobní hlavní stranu a na hlavní stranu všech blogů. Navigace
    Nej blogů na AbcLinuxu
    Nejčtenější za poslední měsíc Nejkomentovanější za poslední měsíc
    AbcLinuxu:/ Blogy / blog_ / Linux / ABCLinuxu a bezpečnost hesla?
    Štítky: AbcLinuxu, bezpečnost

    ABCLinuxu a bezpečnost hesla?

    27.8.2007 03:28 | Linux

    Už jsem na toto téma před nějakou dobou něco psal, doopravdy mně hodně vadí jedna věc.

    Je to taková maličkost.

    Kdykoliv se přihlásím z na abclinuxu přes Wi-fi(třeba někde v kavárně, ale totéž platí z domova), tak internetem směrem k serveru projde tento text

    LOGIN=okias&PASSWORD=************&finish=OK&action=login2&url=

    zřejmě vám příjde, že na tom není nic špatného, ovšem ten problém vězí v tom, že místo hvězdiček je vaše heslo!!!

    0K!AS        

    Hodnocení: 36 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Nástroje: Začni sledovat (3) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

    Vložit další komentář

    Heron avatar 27.8.2007 07:22 Heron | skóre: 53 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Chjo. Webový magazín není banka.
    Heron
    27.8.2007 08:17 Tom.š Ze.le.in | skóre: 21 | blog: tz
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Což neznamená, že 87% uživatelů nemá pro oboje stejné heslo. Ok. Budu optimista. Na tomhle serveru jen 54%.
    27.8.2007 07:55 Ritchie | skóre: 27 | blog: Ritchie's | Berlin
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Tak si na přihlašovací stránce ručně změňte protokol na https, přihlašovací informace jsou pak odesílány rovněž přes https.
    27.8.2007 08:13 Christof | skóre: 22 | Havířov
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    ostatně jako na každém webu, kde se přihlašuješ a není to přes https
    27.8.2007 08:20 Tom.š Ze.le.in | skóre: 21 | blog: tz
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Ne nutně, viděl jsem případy kdy se heslo hashuje v javascriptu (a třeba i s nonce které poslal server). Vhodnost nekomentuju, všechno má svá pro a proti (ale https je zřejmě nejlepší ochranná čára).
    27.8.2007 10:20 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    A k čemu to to je, že se to hashuje v javascriptu, když potom logicky je samotným heslem ve skutečnosti ten hash a pokud ho zachytíš, tak se s ním autorizuješ?
    27.8.2007 10:30 happy barney | skóre: 34 | blog: dont_worry_be_happy
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla? 
    var prefix = 'unikatny-identifikator-session';

hash = make_hash (prefix + heslo);
    27.8.2007 10:30 Tom.š Ze.le.in | skóre: 21 | blog: tz
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Myslím, že jsem nonce zmínil. Takže ten hash je k něčemu jen pro to jedno navázání spojení. (ale zase musí být na serveru heslo víceméně v plain formátu).
    27.8.2007 10:41 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Tak dobře lidi, man-in-the-middle ok? Nonce prostě není řešení!!
    27.8.2007 10:47 Tom.š Ze.le.in | skóre: 21 | blog: tz
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Je to řešení jednoho z problémů, toho asi nejpravděpodobnějšího. MITM to nezabrání, zrovna tak mnoha dalším věcem - konče třeba podvrženým browserem - ale reagoval jsem na určitý příspěvek.
    xkucf03 avatar 28.8.2007 12:26 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Co se týče podvržených prohlížečů, tak metoda výzva-odpověď je super. Viděl jsem SSL proxy servery, které dešifrují komunikaci proudící přes HTTPS. Není to realizování prolomením SSL, ale tím, že klientům (obvykle ve firmách) se do prohlížečů nainstaluje nová certifikační autorita a tou je posvěcena veškerá komunikace mezi klientem a proxy. Klient (zaměstnanec) pak nemusí vůbec nic zpozorovat (žádné bezpečnostní varování prohlížeče, u adresy má "zámeček"). Klidně si takhle komunikuje třeba s bankou a mezitím zlý správce sítě čte jeho komunikaci. Výzva-odpověď tohle částečně řeší, protože útočník se aspoň nedostane k heslu (pokud se na tuto situaci předem nepřipravil)

    BTW: Kontrolujete si pravidelně CA nainstalované ve vašem firemním počítači? Nosíte s sebou otisky klíčů používaných serverů a autorit?
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    27.8.2007 13:34 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    to akoze ked nejake riesenie neriesi uplne vsetky mozne problemy, tak je na nic ?
    27.8.2007 13:37 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Neexistuje takové řešení, které by řešilo všechny možné problémy, existují jen částečná řešení. Nicméně nonce má příliš vysokou cenu vzhledem k tomu, jak málo nabízí.
    xkucf03 avatar 28.8.2007 10:05 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Nemusí, nemusí. Jestli chcete vědět, jak na to, tak zdrojáky jsou tady: http://sorry.vse.cz/~xkucf03/skola/4IZ228-bg.tar.bz2 a ukázka tady: http://sorry.vse.cz/~xkucf03/bg/prihlaseni.php
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    28.8.2007 10:22 Tom.š Ze.le.in | skóre: 21 | blog: tz
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Podívám se. Jsem lehce skeptický - už jsem v reálu toto viděl dvakrát tvrzeno, ani jednou to nebyla pravda :)
    xkucf03 avatar 28.8.2007 10:41 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Stručně pro ty, kteří nechtějí číst zdrojáky:
    • Server má uložený hash hesla v SHA1
    • Server vygeneruje náhodný řetězec (výzvu) a pošle ho klientovi (a zapamatuje si ji)
    • Klient (JavaScript) zahešuje heslo od uživatele a přilepí k němu výzvu -- tohle celé ještě jednou zahešuje.
    • Server zná první hash hesla a výzvu, takže udělá totéž, co klient a hodnoty porovná -- tím ověří uživatele.

    Tento postup je podle mě neprůstřelný (za předpokladu, že věříme SHA1). Pokud mne přesvědčíte o opaku, budu rád, protože budu moci vylepšit svůj program :-)

    Co jsem zatím nevyřešil:

    • přihlašování funguje uspokojivě jen ve Firefoxu: Konqueror 3.5.6 padá!, Opera se nepřihlásí a IE snad ani správně nezobrazí formulář. XHTML mám validní, takže je tam asi něco v JavaScriptu, na co jsem zatím nepřišel. Jakékoli rady a konstruktivní tipy uvítám.
    • Neřešil jsem jak dostat heslo bezpečně na server při registraci uživatele -- tohle asi bez SSL nejde, snad leda si v JS napsat vlastní asymetrické šifrování, což je samozřejmě nesmysl (když máme HTTPS)
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    28.8.2007 10:49 miso | skóre: 36 | blog: iSCSI_initiator_howto | Praha
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    alias CHAP ;-)
    Project Satan infects Calculon with Werecar virus
    xkucf03 avatar 28.8.2007 10:59 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    CHAP requires that both the client and server know the plaintext of the secret
    Kdežto v mém případě na serveru heslo není v čisté podobě ;-) A až to trochu přisolím, tak i ukradené hashe ze serveru budou útočníkovi k ničemu.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    28.8.2007 13:24 happy barney | skóre: 34 | blog: dont_worry_be_happy
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    ^plaintext^SHA1 hash^ princíp je jednoduchý, aj SHA1 hash, ak sa nemení, je vlastne plaintext. na útok postačuje vedieť ten hash, nemusí byť známy zdroj hash-u (heslo).
    28.8.2007 17:34 Franta
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    To jsou jenom prázdné kecy. Jestli máš lepší řešení, tak ho sem napsiš.

    Dalo by se ověřovat pomocí certifikátů (GPG/SSL/SSH...) a asymetrického šifrování -- pak by na serveru byl jen veřejný klíč uživatele a ten soukromý by byl v bezpečí u klientů. Vykradení serveru by pak nebylo rizikem z toho hlediska, že pomocí veřejných klíčů se nikdo nikam nepřihlásí.

    Ale pokud se přihlašujeme pomocí hesla, tak nic lepšího než posolený hash nemáme.
    28.8.2007 10:37 Tom.š Ze.le.in | skóre: 21 | blog: tz
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Nemám u sebe bz2 :( takže jen odhad dle prihlaseni.js:
    • serveru se posílá hash(hash(heslo),nonce)
    • předpokládám: na serveru je uloženo hash(heslo), aby bylo možné ověřit
    • hash(heslo) mi ale, pokud je získám, postačí k autorizaci - což jsem myslel výrazem "heslo víceméně v plain formátu"
    Pochopil jsem něco špatně?
    28.8.2007 10:40 Tom.š Ze.le.in | skóre: 21 | blog: tz
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    s/autorizaci/autentizaci/
    xkucf03 avatar 28.8.2007 10:54 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    • Máš bod za "reverzní inženýrství" :-) pochopil jsi to správně, výše jsem to teď i trochu polopaticky rozepsal.
    • S tím "heslo víceméně v plain formátu" máš i nemáš pravdu:

    Proč jsou špatná hesla na serveru v čistém textu:

    • Útočník* se může přihlásit k dané (naší) službě
    • Útočník může použít dané heslo i u jiných služeb, za předpokladu, že uživatel má všude stejné heslo.

    První bod nás nemusí trápit, protože když se nám někdo hrabe v serveru, tak je už asi jedno, že se přihlásí. Druhý bod je chyba v případě uživatel používá stejná hesla a jiné služby přijímají hesla od uživatele v SHA1. Tohle by se dalo řešit solí (--> TODO)

    *) po získání hesel ze serveru, případně správce serveru hned

    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    28.8.2007 11:07 Tom.š Ze.le.in | skóre: 21 | blog: tz
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    V podstatě souhlas. Jde jen o to, zda jak moc nás netrápí bod 1. Jsou situace kdy trápí - případy souborů dostupných zvenku pro čtení už se staly, že se někdo dostal k zálohám databáze taky.

    Sůl je rozumný nápad.
    xkucf03 avatar 4.11.2007 20:29 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Po čase jsem k tomu napsal něco jako dokumentaci - můžete kouknout tady: Ověřování uživatelů na webu
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    27.8.2007 10:41 Tom.š Ze.le.in | skóre: 21 | blog: tz
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    BTW, hezký a celkem bezpečný způsob ověřování je ten, kdy má server uloženo třeba 100x zahashované heslo, a při přihlašování klientu řekne, kolikrát má klient provést hashování - vždy o jedno méně než už server viděl. Jen je omezen počet přihlášení s jedním heslem. Nepamatuje se někdo jak se tenhle způsob jmenuje?
    27.8.2007 20:04 xm | skóre: 36 | blog: Osvobozený blog | Praha
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Platí známá poučka - security through obscurity je _ŠPATNÝ_ přístup a nefunguje.
    Svoboda je tím nejdůležitějším, co máme. Nenechte se o ní připravit, podporujte Pirátskou stranu!
    michich avatar 27.8.2007 21:01 michich | skóre: 51 | blog: ohrivane_parky
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    To jo, ale popsaný způsob není obscurity.
    xkucf03 avatar 28.8.2007 10:15 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    1) Omezený počet přihlášení je vlastnost, ale ve většině případů to bude chyba (uživatel pochopí, když si musí měnit heslo jednou za měsíc, ale asi si nebude chtít hlídat kolikrát se přihlásil).

    2) Když milionkrát zahešuji heslo, neohrožuje to bezpočnost? Není hash hashe snáze odhadnutelný než hash náhodného vstupu (hesla)?

    3) Jsou tu lepší metody: výzva-odpověď -- viz můj příspevek výše.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    28.8.2007 11:40 Tom.š Ze.le.in | skóre: 21 | blog: tz
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    1. To záleží na použití, co nastane dřív - zda povinná změna nebo počet. V praxi jsem s tím neviděl problém pokud se přihlašoval člověk (ne jiná aplikace).

    2. Pokud se to neošetří tak asi o něco snáze odhadnutelný je - podle třeba Handbook of Applied Cryptography, 2.34 by "po nekonečnu iterací" měl být počet dostupných hashů cca $\sqrt{\pi n/2}$. Pořád to je pro běžné účely řádově víc než prostor běžných hesel. A ošetřit to myslím jde.
    jnc avatar 27.8.2007 08:40 jnc | skóre: 6
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    no a?
    27.8.2007 09:07 maleprase | skóre: 28
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    a co projde internetem kdyz se prihlasis z ne wifi?
    27.8.2007 10:43 pasmen | skóre: 45 | blog: glob | Praha
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    To same. S tim rozdilem ze u Wi-fi to zachytne kazdy kdo bude chtit, u kabelu jen ten kdo ma pristup na router.
    27.8.2007 10:45 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Když tě to štve, proč nepoužíváš nějaký šifrovaný tunel k celkovému připojení k netu? (TorK||Tor) Nebo proč prostě nepřepíšeš to http:// na https:// a neužíváš si šifrovaného spojení?
    David Heidelberg avatar 27.8.2007 13:04 David Heidelberg | skóre: 46 | blog: blog_
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Super! A co takhle, aby se to automaticky přeplo na https při přihlášení a potom už to používalo http? přijde mně zbytečný u každý stránky otravovat s dialogem:

    Opouštíte zabezpečený mód. Přenosy již nebudou šifrované.

    Samozřejmě, že se to dá vypnout, ale pro jiné stránky to chci nechat povolené...

    0K!AS
    Mobilní telefony a tablety s GNU/Linuxem v roce 2020. Proč byste se měli zajímat?
    27.8.2007 13:29 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    A proč rovnou nepoužíváš šifrování na celý web?
    27.8.2007 13:40 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    a naco ? okrem hesla sa tam ziadne ine citlive informacie neprenasaju. absolutne nechapem kritiku tohto prispevku. vlastne hovorite, ze okias si je sam na vine, ze server/portal jeho heslo dostatocne dobre a pohodlne sam nezabezpeci ? a este sa aj opovazuje na to upozornovat a stazovat sa, to je ale drzost!.. co je toto za radoby logiku ??
    27.8.2007 13:46 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Vždyť server to zabezpečuje!!!! Je tu možnost šifrovat!!!!
    27.8.2007 13:53 azurIt | skóre: 34 | blog: zatial_bez_mena
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    "vlastne hovorite, ze okias si je sam na vine, ze server/portal jeho heslo dostatocne dobre a pohodlne sam nezabezpeci ?"

    sifrovanie (https) hesla by malo automaticke, nezavisle na sifrovani celeho webu

    ..!!!!!!!!! ;) to aby som ti odpovedal v tvojej reci.
    David Heidelberg avatar 27.8.2007 16:45 David Heidelberg | skóre: 46 | blog: blog_
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    sifrovanie (https) hesla by malo automaticke, nezavisle na sifrovani celeho webu
    +1
    Mobilní telefony a tablety s GNU/Linuxem v roce 2020. Proč byste se měli zajímat?
    27.8.2007 15:19 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Akorát to funguje dost blbě, "Dokončit" a některé další funkce přesměrovávají na nezabezpečenou verzi a ta hláška, kterou u toho vyhazuje prohlížeč, je dost otravná
    Quando omni flunkus moritati
    David Heidelberg avatar 27.8.2007 16:51 David Heidelberg | skóre: 46 | blog: blog_
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    +1
    Mobilní telefony a tablety s GNU/Linuxem v roce 2020. Proč byste se měli zajímat?
    28.8.2007 07:57 Leoš Literák | skóre: 74 | blog: LL | Praha
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Nevidim duvod. Vsechny odkazy a formulare maji relativni url, nikde nezacinaji jmenem serveru. Schvalne si to vyzkousim, zde je POST na /blog/EditDiscussion.
    Zakladatel tohoto portálu. Twitter, LinkedIn, blog, StackOverflow
    28.8.2007 07:59 Leoš Literák | skóre: 74 | blog: LL | Praha
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Presto jsem ted na http, coz moc nechapu. Na druhou stranu me to tesi, viz prispevek ;-)
    Zakladatel tohoto portálu. Twitter, LinkedIn, blog, StackOverflow
    28.8.2007 07:54 Leoš Literák | skóre: 74 | blog: LL | Praha
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Podporu https jsem nechal zavest na to, abychom ji mohli nasadit pro sifrovani prihlasovaciho formulare. Takze heslo by slo pres https a vzapeti byste byli presmerovani zpatky na http. Nicmene jsem se k tomu jeste nedostal, nemel jsem cas si s tim pohrat a zjistit, zda to bude fungovat spravne.

    Brouzdani ostatnich stranek pod https nechci, prijde mi to jako zbytecne plytvani vykonem serveru. Nelibi se mi a kdyby se rozmohlo (ze bych jej zaznamenal na zatezi serveru), tak bych https na abicku zakazal.
    Zakladatel tohoto portálu. Twitter, LinkedIn, blog, StackOverflow
    28.8.2007 14:22 Jiří (BoodOk) Kadeřávek | skóre: 19 | blog: BoodOk | Brno
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    No, on ten formulář může být klidně v http, s odesláním do https://... a následným redirectem na serveru zpět do http. Teď si jen nejsem jistý, jak a u kterého browseru povyskakují varovné hlášky. Takže bych na celém webu dal redirect z https do http s jedinou výjimkou, tedy URL v action formuláře. V zásadě to znamená změnu na dvou místech v kódu a lehká úprava v konfiguraci Apache.
    Věda má v sobě určitou zpupnost, že čím dokonalejší techniku vyvineme, čím více se dozvíme, tím lepší budou naše životy.
    xkucf03 avatar 28.8.2007 23:45 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Nemůže. Přihlašovací formulář už musí být v HTTPS, protože jinak by místo něj mohl útočník podstrčit svůj formulář, který by na HTTPS nesměřoval, nebo by na něj směřoval až po přesměrováním na útočníkovu stránku, kde by se heslo odchytilo. Takový útok by nebyl na první pohled vidět. Toto je také důvod, proč banky (alespoň ty seriózní) nemají na veřejném (tzn. nešifrovaném) webu přihlašovací formuláře.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    29.8.2007 09:33 Jiří (BoodOk) Kadeřávek | skóre: 19 | blog: BoodOk | Brno
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    To je pravda, ale na druhou stranu ábíčko není banka.
    Věda má v sobě určitou zpupnost, že čím dokonalejší techniku vyvineme, čím více se dozvíme, tím lepší budou naše životy.
    xkucf03 avatar 29.8.2007 10:54 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    To sice ne, ale když už tak už. Ono by pak celé to snažení bylo na nic a naopak by to v lidech vzbuzovalo falešný pocit bezpečí a přitom by jejich heslo mohl odposlechnout kde kdo.
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    29.8.2007 17:19 Leoš Literák | skóre: 74 | blog: LL | Praha
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Pak vubec. Kazde url, kde muze byt formular, muze obsahovat i login formular, pokud uzivatel neni prihlasen.
    Zakladatel tohoto portálu. Twitter, LinkedIn, blog, StackOverflow
    xkucf03 avatar 29.8.2007 22:37 xkucf03 | skóre: 49 | blog: xkucf03
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    A co přidělat k těm formulářům mechanismus výzva-odpověď (svoji implementaci jsem tu odkazoval). Bylo by to bezpečné a obešli bychom se bez HTTPS, akorát to vyžaduje javascript u klienta (počítá se jím SHA1 hash).
    Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes
    Luboš Doležel (Doli) avatar 27.8.2007 13:49 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Nikdy by mě nenapadlo lézt na nějaká přihlašovací místa v nějaké veřejné WiFi síti jen tak. SSHčkem domů/na server a protunelovat.
    27.8.2007 15:18 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Nikdy by mě nenapadlo lézt na nějaká přihlašovací místa v nějaké veřejné WiFi síti jen tak. SSHčkem domů/na server a protunelovat.
    Problém 1: Ne všichni to umí.

    Problém 2: Ne všichni mají doma server, na který by se dalo připojit.
    Quando omni flunkus moritati
    27.8.2007 17:38 Franta Gajdůšek | skóre: 15 | blog: co_me_prave_napadne
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Problém 3: Ne vsichni maji doma jine pripojeni nez nezabezpecene wifi.
    PlnýBus - spolujízda student taxi nejen pro studenty
    27.8.2007 20:56 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    To není problém, protože SSH je zašifrované samo o sobě.
    Quando omni flunkus moritati
    27.8.2007 21:08 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Tak si to za trest přečti ještě jednou ;-)
    28.8.2007 00:01 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Co?
    Quando omni flunkus moritati
    28.8.2007 00:45 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Doli hocoří o tom, že se protuneluje přes SSH domů a veškerou komunikaci směřuje přes tento tunel. Což má nějaký smysl, pokud komunikace z domova pokračuje šifrovaně, nebo po metalickém/optickém vedení, ale pokud z domu komunikace opět půjde nešifrovaně vzduchem tak je jedno jestli si na připojení domů použil SSH, nebo ne. Protože z tvého domu ta komunikace stejně půjde dále nešifrovaně vzduchem.
    28.8.2007 00:50 trekker.dk | skóre: 72
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Aha. Tak daleko jsem to nedomýšlel.
    Quando omni flunkus moritati
    8.9.2007 12:56 Hynek (Pichi) Vychodil | skóre: 43 | blog: Pichi | Brno
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Aha. Tak daleko jsem to nedomýšlel.
    To děláš často co jsem si všiml.
    XML je zbytečný, pomalý, nešikovný balast, znovu vynalézané kolo a ještě ke všemu šišaté, těžké a kýčovitě pomalované.
    AltOS avatar 28.8.2007 06:55 AltOS | Jizak
    Rozbalit Rozbalit vše Re: ABCLinuxu a bezpečnost hesla?
    Asi tak nejak...

    Založit nové vláknoNahoru

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.