Hej Medlem,
SvenskaFans.com hade natten till igår (onsdag) ett dataintrång där en hacker tog sig in i vårt system där vi bland annat hanterar användaruppgifter. Vi vet ännu inte omfattningen av intrånget, men för att vara på den säkra sidan vill vi därför be er att ni ändrar ert lösenord för er profil på SvenskaFans så snart som möjligt. Vi ber om ursäkt för detta missöde, vi ser mycket allvarligt på det inträffade och har under natten och dagen gjort flera uppgraderingar av vårt system för att förbättra säkerheten. Använder ni ert SvenskaFans-lösenord på andra ställen bör ni även byta det där. Med vänliga hälsningar SvenskaFans.com [email protected] /Thomas THL |
Riktigt pinsamt att ha lösenorden i klartext och t.om. ha ett gränssnitt där administratörer kan se användarnas lösenord.
Bild från artikeln på IDG |
Citat:
|
En liten fråga...
Varför har ni inte fixat kryptering m.m efter alla hack som ha varit nu om sidan är så stor? (Har aldrig hörttalas om den) Är det att ni är lata eller tänkt att det inte kommer hända er eller vaddå? |
Jag anser även att det handlar om integritet då alla användares lösenord visas i en lång lista. Man kan ju fundera över hur ofta admins har suttit och roat sig med att kolla vad folk använder för lösenord.
Sen kanske det är så att "det varierar beroende på vad för sajt det handlar", men nu handlade det om ingen mindre än svenskafans.com |
Citat:
|
Citat:
Sannolikt anser de inte att det finns någon särskilt känslig information som kan förloras och har därför inte lagt ner någon energi från att förbättra säkerheten i vad som väl är mer eller mindre ett hobbyprojekt från början. Att admins har kunnat se lösenord i klartext beror väl på att de ska kunna hjälpa användare med glömda lösenord. Givetvis är detta ganska extrema säkerhetsbrister som lätt har kunnat förbättras på kort tid och som inte skulle godtas av oss professionella webbutvecklare för fem öre men det kan man tycka vad man vill om. Alla tar olika stora risker och det är väl mer än åsiktsfråga om de står i proportion till eventuell förlust. |
Tråkigt att de saboterar.
Men samtidigt enormt pinsamt hur lösenordshanteringen skedde på sidan (ang. IDG bilden), trodde kanske att senaste tidens intrång skulle var något av ett "wakeup call" för många, men tydligen inte. En admin kan alltså logga in och se alla användares lösenord i klartext. Vad är det för slags integritet? det är som upplagt för missbruk, ett svek mot sidans användare, jag blir nästan irriterad. Edit: Jag kan på inget sätt förstå de som försvarar den här hanteringen av folks personliga uppgifter. Det är en väldigt enkel åtgärd att se över grundläggande säkerhetsfunktioner som t.ex hashing+salt+peppar. |
Citat:
Kanske är enda sättet att "få bort" sajter som ja skulle vilja säga missbrukar användarnas förtroende och integritet. |
Känns som en ominstallation borde vara på sin plats, inte bara updatera...
Vet aldrig vad som har blivit inbakat. |
Intressant. När man hackar en "lägsta bud"-sida och avslöjar att fusk sker på sidan så är man en "hjälte". Men när man på samma sätt hackar en sida och lägger ut medlemslistan så är man ett "svin". Aja inget konstigt i det antar jag, bara interssant =)
|
Citat:
Men jag förstår inte alls varför administratörer ska kunna se användarnas lösenord, vad är meningen med det? |
Är det ingen som ser användarvänlighet i att kunna tala om för användaren som har glömt sitt lösenord vad det var?
Personligen "vaknade" jag väl upp när aftonbladet blev hackat, och fixade till hashning av lösenord på mina större sajter. Det tråkiga är att det blir flera steg att gå igenom för en användare som har glömt sitt lösenord. Sen tycker jag att det är mer skrämmande att databaserna kommer på vift än att lösenorden är lagrade i klartext. Hur gör dom för att komma åt det? |
Citat:
|
Citat:
Sidan hanterar lösenorden i klartext, och ser själva alla password. Hackaren i sin tur, ville varna alla medlemmar om detta. Någon gör något straffbart för att stoppa nåt han uppfattade som dåligt, precis som i jämförelsen... |
Citat:
|
Nejdå.
Det är inte rätt, men alla uppfattar en människa som värre om den dödar en polis istället för en seriemördare. |
Om inte annat så borde det framgått tydligt att:
"OBS. ditt lösenord lagras i klartext och kan ses av sidans adminstratörer" |
Citat:
|
Jag finner det märkligt att Svenska Fans har så pass dålig säkerhet då företaget som har finansierat och äger projektet bör vara riktigt duktiga på just det, eftersom de är verksamma i en internetbransch som kräver en hel del säkerhet.
|
Alla tider är GMT +2. Klockan är nu 11:44. |
Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson