În 2018, EuropaFM.ro stochează parolele în clar

Pentru că de ce să nu vadă departamentul IT ce parolă ai tu? Ce, acolo nu sunt oameni? Și îmi place că ora de la server este greșită.

Mulțumesc că ai citit acest articol.
Dacă vrei să susții acest blog, cumpără un abonament de 5$

27 comentarii

  1. unde scrie ca stockeaza in clar? In mailul de confirmare poti sa primesti parola direct din formular.
    fa un reset la parola, vezi atunci daca ti-o spune.

    00
    • plm, stocheaza*. am inceput sa sufar de romgleza.

      00
    • came here to say the same thing.

      Fa un reset, daca iti da aceasi parola, aia inseamna ca le stocheaza in clar sau sunt prosti :)

      00
    • NOU
      #4

      Bey! Lasati omul in pace! El se pricepe mai bine, da si consultanta.

      00
    • oricine are acces la webmail vede mailurile trimise, recte parolele. deci sunt in clar?

    • @Arhi, dacă e-mail-urile sunt trimise prin conexiune SMTP de la adresa aia. Cu mail() nu vezi nimic în sent.

      00
    • Toti oameni si pricep la fotbal, politica si mai nou, criptare/siguranta datelor.
      Spoiler alert, vorbiti pe langa, are dreptate zoso…

      00
    • @asdsa: Ba nu are dreptate zoso. El a spus ca stocarea se face in clar, ceea ce este doar o concluzie gresita bazata pe dovezile din articol. Faptul ca mail-ul acela poate fi citit prin diverse metode atat pe serverul expeditor, pe drum sau pe serverul destinatar, e alta chestie.

      00
    • ba are dreptate zoso. Dacă parola poate fi văzută în plain text de către platformă înseamnă că parola a fost stocată în clar. În cazul de față platforma are acces la parole în plain text, vezi dovada în poza 2. Stocarea criptată a parolelor înseamnă că platforma nu îți poate afla ție parola în plain text. În 2018 nicio platformă civilizată nu îți poate afla / afișa / citi / trimite parola în plain text și punct

      00
  2. Ma asteptam si eu sa vad vreun SELECT name from users WHERE name=” OR ”=” AND password=” OR ”=”– pe undeva

    00
  3. E un mail de confirmare.. Doar sistemele vechi au ramas asa configurate: sa iti trimita mail cu parola din formular. Cine are parola la webmaster@ poate intra in mailurile trimise si asa sa iti gaseasca parola.
    Altfel, afirmatia ta cum ca ei stocheaza in clar, „poate” fi falsa.

    00
  4. Zoso: Ai uant tu da bi ba best! Also, ai laic masinili!

    00
  5. Salut,
    Ne poți întreba oricând ai vreo nelămurire legată de modul în care sunt stocate datele sau prelucrate. Informația este în e-mail pentru confirmarea contului, în momentul în care este solicitată primirea acestor informații (opțiunea marcată ca default) în urma numeroaselor cereri primite de la utilizatorii care doreau să aibă aceste date în e-mail. Nu avem acces la parolele utilizatorilor, care sunt criptate și stocate astfel în baza de date.
    Pentru a evita situațiile în care e-mailurile sunt accesate accidental de alte persoane și astfel cineva ar putea avea acces la contul unui utilizator al siteului http://www.europafm.ro, am eliminat opțiunea default și poți primi parola prin e-mail doar în cazul solicitării explicite în acest sens.

    00
    • „și poți primi parola prin e-mail doar în cazul solicitării explicite în acest sens.”

      Parolele se criptează one way (hash) folosind o criptare lentă. Tocmai pentru a nu le avea și a nu avea ce pierde.

      Parolele nu se recupereaza, accesul la cont se recupereaza.

      00
    • Am accesat site-ul fara adblock si mi s-a dus procesorul in 100%. Plm, e optimizat pt i7 si 8GB de ram? Voi de gdpr nu ati auzit inca?

      00
    • „Parolele se criptează one way (hash) folosind o criptare lentă. Tocmai pentru a nu le avea și a nu avea ce pierde.”

      Corect. In sfarsit unul care intelege. Defapt cred ca si zoso intelege partial (miroase el ceva acolo), insa greseste la conluzii. La inscriere poate sa iti trimita parola pe mail si fara sa o stocheze ne-hashuita in baza de date. Pur si simplu o tine ca variabila (in RAM) in scriptul respectiv care face „post” si trimite un mail cu variabila aia, dar apoi in baza de date o stocheaza ca hash.
      Daca ulterior exista o optiune prin care sa iti trimiti mail de recuperare cu vechea parola in clar, atunci intradevar e o gaura de securitate acolo, inseamna ca parola nu e stocata cum trebuie in baza de date. Dar nu cred ca e cazul, acolo vad ca scrie „Resetare parola” nu „Recuperare parola”.

      00
    • N-am inteles nimic

      00
    • @Alex, de ce ar fi trebuit să înțelegi? Dacă nu înțelegi, atunci poate nu te pricepi la subiect, te-ai gândit la asta? :)

      00
  6. cine isi foloseste parolele „bune” pentru conturi pe astfel de siteuri.. isi cam merita tzeapa ce urmeaza sa vina :)

    00
  7. Pai asa se stocheaza parolele domne’. Ca sa poata adminu’ ala bun sa-ti zica ce parola ai pus atunci cand o uiti. Plus ca as putea sa fac pariu ca pe mail se trimit si sub conexiune necriptata ca sa o vada si aia de la ISP si SRI, sa ai astfel si plan de backup si de contingenta in acelasi timp.

    00
  8. În primul rând email nu e un canal securizat și poate fi interceptat, logat, etc.

    În al doilea rând, dacă nu ții parola în clar, de ce să o plimbi aiurea? Văzând-o în clar, pot specula cu bună credință că o țin în clar.

    În al treilea rând de ce cacat utilizatorul trebuie să primescă acest email? Ca să ce?

    00
  9. in trecut cand existau mail-urile @xnet, cei de la vodafone cica nu le tineau in clar, nu se vereau in CRM, apareau stelute.
    crm-ul era web-based si daca dadeai click dreapta-view source, parola era in clar in sursa :)

    00
  10. io nu inteleg de ce si-ar face cineva cont pe europafm, cu sau fara parole in clar.

    00
  11. Am avut ‘problema’ asta cand lucram la un site în Magento și implicit în mailul de confirmare se trimitea parola în clar doar la înregistrare, pentru ca în baza de date se salva criptat. Tot asa mai mulți ‘experti’ in securitate trimiteau mailuri pe suport ca salvam parola în clar. S-a ales varianta simpla, sa nu le explicam sistemul și am eliminat parola din mailul e confirmare.
    Asta nu înseamă ca Europa FM face la fel…

    00
    • Pe langa faptul ca magento e un rahat, faptul ca ‘expertilor’ de la voi (probabil tot programatori ajunsi peste noapte experti in ale securitatii) nu le-a tras un semnal de alarma acel aspect si a fost nevoie de clienti sa va spuna…spune destul de multe.

      Chiar daca parolele le salvati criptat, doar luzerii trimit parole plain, chiar si in cazul unui email de reset. Daca aveati un om care macar stia ceva notiuni va dadea niste consultanta cum sa o faceti elegant.

      Multi stiu, putini cunosc.

      00
  12. Asta era mai importanta si ai pierdut-o ;)
    Twitter posibil sa stocheze pass in clar:
    „Twitter announced today (May 3), that the passwords of every account—all 336 million of them—had been exposed in an internal log. ”
    https://qz.com/1269826/twitter-exposed-the-passwords-of-all-its-users-time-to-change-your-password/

    00

Adaugă un comentariu

Câmpurile marcate cu * sunt obligatorii! Adresa de email nu va fi publicată.

1. Linkurile utile în context sunt binevenite.
2. Comentariile asumate fac bine la blăniță.
3. Șterg comentariile care îmi strică buna dispoziție.
4. Nu fiți proști, agramați sau agresivi la primele 50 comentarii aici.

Susținere

Susține acest blog cumpărând de la eMAG sau de la Finestore.