Pieņemsim, ka jums ir slikta diena, un steigā ieiet iecienītākajā tīmekļa vietnē, un pēc tam nejauši iesniedziet savu paroli lietotājvārdu teksta lodziņā. Vai jums jāuztraucas un jāmaina šīs vietnes parole, vai arī tas ir vienkārši nepamatots bailes?
Šodienas jautājumu un atbilžu sesija mums priecājas par SuperUser - Stack Exchange dalību, kas ir kopienas vadīta Q & A tīmekļa vietņu grupa.
SuperUser lasītājs agentnega vēlas uzzināt, kādas ir draudi ievadīt savu paroli lietotājvārdu teksta lodziņā un nejauši iesniegt to:
Pieņemsim, ka esmu ievadījis savu paroli bieži apmeklētas vietnes lietotājvārda teksta lodziņā (protams, https) un nospiediet ievadīt, pirms es pamanīju to, ko daru.
Vai mana parole tagad ir slēgta vienkāršā tekstā žurnāla failā kaut kur? Kā mana kļūda varēja tikt izmantota ložīgs miscreant? Palīdziet man izprast faktisko ietekmi uz drošību neatkarīgi no tā, vai tā patiešām notiek.
Vai tas patiešām būtu kaut kas jāuztraucas, vai jūs to varētu uzskatīt par vienkāršu kļūdu un aizmirst par to?
SuperUser atbalstītāji Nikolajs un GregD mums ir atbilde. Pirmkārt, Nikolajs:
Tas ir atkarīgs no tīmekļa vietnes autentifikācijas sistēmas konfigurācijas. Ja tas bija iestatīts, lai reģistrētu visus mēģinājumus, tad jā, tas ir tagad žurnālā (teksta fails vai datu bāze) vienkāršā tekstā. Tas varētu izskatīties šādi:
12 februāris-2014 12:00:00 AM: neveiksmīgs pieteikšanās mēģinājuma lietotājs (YOUR_PASSSORD_HERE) no (YOUR_IP_HERE);
vai līdzīgi.
Tomēr joprojām ir taisnība, ka parole nebūs pieejama parastajiem lietotājiem, tikai tiem, kuriem ir piekļuve žurnālu failiem.
Kādas sekas tas nozīmē?
- Ja serveris jebkad tika apdraudēts, tad teorētiski hakeram būtu jūsu vienkāršā teksta parole.
- Tīmekļa vietnes administrators varētu kārtīgi iet caur žurnāla failiem un nejauši atrast jūsu paroli. Viņš pēc tam var atrast IP adresi, uz kuru šis ieraksts tika saņemts, un tādējādi viņš var teorētiski uzzināt, kas ir jūsu lietotājvārds un e-pasts (jo viņam ir piekļuve datubāzei).
Tātad, ja jūs izmantojat to pašu e-pastu / lietotājvārdu / paroli citās vietnēs, tad nekavējoties mainiet to. Tā kā vienmēr ir iespēja, ka tiks atklāta jūsu parole. Zāģi daudzus gadus var palikt serveros.
Seko GregD atbildei:
Tieši tāpat kā jūs teicāt, tīmekļa lietojumprogrammas parasti saglabā žurnālus par neveiksmīgiem pieteikšanās mēģinājumiem. Ja kāds apskatītu žurnālus, viņš varēja pieslēgt šo konkrēto pieslēgšanās mēģinājumu ar vienu no veiksmīgajiem mēģinājumiem (t.i., izmantojot IP adresi).
Lai gan es nedomāju, ka tas varētu notikt, jūs vienmēr varat to mainīt, lai tas būtu drošs.
Ar nepārtraukto datu pārrāvumu aizsprostojumu, ko mēs lasām un dzirdam par šīm dienām, būtu labāk mainīt attiecīgās vietnes paroli (un visi citi ar vienu un to pašu paroli) mieram. Labāk ir droši nekā atvainojamies, kad runa ir par jūsu tiešsaistes kontu drošību!
Vai kaut ko pievienot paskaidrojumam? Skatieties komentāros. Vēlaties lasīt citas atbildes no citiem tehnoloģiju savvy Stack Exchange lietotājiem? Šeit skatiet pilnu diskusiju pavedienu.
