Curiosità sulle password.

[Swordself 196]

Kaos può sapere in qualche modo la nostra password? O Può conoscere solo un codice che corrisponde ad essa? 

[Flegyas 181]

Le password sono salvate in un database automaticamente da IPB stesso. Prima di essere salvate, al momento della registrazione, sulla password che l'utente inserisce viene calcolato un hash ovvero un "codice" come hai scritto tu dal quale non è possibile ricavare la password originaria.

[Carb© 876]

Kaos può sapere in qualche modo la nostra password? O Può conoscere solo un codice che corrisponde ad essa? 

 

Credo che ci sia una qualche forma di crittografia o di protezione dei dati privati nel codice della piattaforma Ip.Board o altre forum board, visto che molti utilizzano la stessa identica password ovunque. Di questo non ne sono sicuro, visto che non conosco il metodo di memorizzazione delle password del forum, ma è difficile che siano scritte in chiaro ovunque siano immagazzinate.

[Barrnet 1697]

Nel database solitamente è salvato un hash (in md5 o sha1, con eventuali salt) che corrisponde alla nostra password. Certo, Kaos potrebbe, ipoteticamente, aver modificato IPBoard per inviare e salvare in chiaro le password, modificando la funzione di registrazione e di verifica della password. Di ciò non ne possiamo avere certezza (salvo i vecchi iscritti, che si ritroverebbero all'improvviso un "password non riconosciuta" e si ritroverebbero, stranamente, a doverla cambiare poiché nel database rimarrebbe comunque salvato il vecchiohash) ma... cosa se ne farebbe?

Se utilizzate una password diversa per ogni sito o condividete una password solo per siti di poca importanza il fatto che un admin abbia in mano la tua password non è un problema, al massimo scopre chi rimorchiate su facebook, a patto di conoscere la vostra email di registrazione a facebook, che mi auguro non essere quella del forum.

 

Ad ogni modo l'eventuale vantaggio di avere le password in chiaro degli utenti è letteralmente nullificato dallo svantaggio in termini giuridici che avrebbe se qualcuno bucasse il database e si venisse a sapere: qualunque utente potrebbe denunciarlo per non aver custodito con le dovute precauzioni la propria password, che è riconosciuta a livello giuridico come dato personale, e verrebbe letteralmente inchiappettato in tribunale.

 

In sintesi? Non preoccuparti e ricorda che la legge principe di Internet è di usare una password diversa per ogni portale.

 

Ad ogni modo ti ricordo che in IP Board, come in qualsiasi altro forum, i messaggi privati sono salvati in chiaro e di libera lettura a chi gestisce il database ed è prevista come opzione di default in IPBoard la possibilità di loggare, tramite pannello da amministratore, nei profili degli utenti bypassando la richiesta della password.

 

 

Edit:

<ironia>

Poi certo, figurati se, nel caso le password siano davvero in chiaro, venga davvero a dirti "Ehi, si: posso leggere la tua password!".

Quella che hai posto è una domanda assai stupida, come chiedere all'oste se il vino è buono.

</ironia>

[Swordself 196]

Nel database solitamente è salvato un hash (in md5 o sha1, con eventuali salt) che corrisponde alla nostra password. Certo, Kaos potrebbe, ipoteticamente, aver modificato IPBoard per inviare e salvare in chiaro le password, modificando la funzione di registrazione e di verifica della password. Di ciò non ne possiamo avere certezza (salvo i vecchi iscritti, che si ritroverebbero all'improvviso un "password non riconosciuta" e si ritroverebbero, stranamente, a doverla cambiare poiché nel database rimarrebbe comunque salvato il vecchiohash) ma... cosa se ne farebbe?

Se utilizzate una password diversa per ogni sito o condividete una password solo per siti di poca importanza il fatto che un admin abbia in mano la tua password non è un problema, al massimo scopre chi rimorchiate su facebook, a patto di conoscere la vostra email di registrazione a facebook, che mi auguro non essere quella del forum.

 

Ad ogni modo l'eventuale vantaggio di avere le password in chiaro degli utenti è letteralmente nullificato dallo svantaggio in termini giuridici che avrebbe se qualcuno bucasse il database e si venisse a sapere: qualunque utente potrebbe denunciarlo per non aver custodito con le dovute precauzioni la propria password, che è riconosciuta a livello giuridico come dato personale, e verrebbe letteralmente inchiappettato in tribunale.

 

In sintesi? Non preoccuparti e ricorda che la legge principe di Internet è di usare una password diversa per ogni portale.

 

Ad ogni modo ti ricordo che in IP Board, come in qualsiasi altro forum, i messaggi privati sono salvati in chiaro e di libera lettura a chi gestisce il database ed è prevista come opzione di default in IPBoard la possibilità di loggare, tramite pannello da amministratore, nei profili degli utenti bypassando la richiesta della password.

Si l'ultimo non è un problema. 

 

 

 

 

Vado a cambiare le mie varie password...

[Kaos 1233]

Così è come IPB le crypta: https://www.invisionpower.com/support/guides/_/advanced-and-developers/miscellaneous/passwords-in-ipboard-r130 inoltre non è stata apportata nessuna modifica alle pagine di registrazione.

Il dubbio riportato da Barrnet, quello sulla modifica della pag. di reg., è universale e di qualsiasi sito di questo mondo.

[Frenesy 2431]

Si l'ultimo non è un problema. 

 

 

 

 

Vado a cambiare le mie varie password...

Troppo tardi, Kaos si è già pagato le vacanze in America con i soldi rubati dal tuo pc.

[Zikker 1017]

Troppo tardi, Kaos si è già pagato le vacanze in America con i soldi rubati dal tuo pc.

pregnami ora, ti prego

[Animalesco 325]

Frenesy é sposato con il suo lavoro! Flame!

[Swordself 196]

Nel database solitamente è salvato un hash (in md5 o sha1, con eventuali salt) che corrisponde alla nostra password. Certo, Kaos potrebbe, ipoteticamente, aver modificato IPBoard per inviare e salvare in chiaro le password, modificando la funzione di registrazione e di verifica della password. Di ciò non ne possiamo avere certezza (salvo i vecchi iscritti, che si ritroverebbero all'improvviso un "password non riconosciuta" e si ritroverebbero, stranamente, a doverla cambiare poiché nel database rimarrebbe comunque salvato il vecchiohash) ma... cosa se ne farebbe?

Se utilizzate una password diversa per ogni sito o condividete una password solo per siti di poca importanza il fatto che un admin abbia in mano la tua password non è un problema, al massimo scopre chi rimorchiate su facebook, a patto di conoscere la vostra email di registrazione a facebook, che mi auguro non essere quella del forum.

 

Ad ogni modo l'eventuale vantaggio di avere le password in chiaro degli utenti è letteralmente nullificato dallo svantaggio in termini giuridici che avrebbe se qualcuno bucasse il database e si venisse a sapere: qualunque utente potrebbe denunciarlo per non aver custodito con le dovute precauzioni la propria password, che è riconosciuta a livello giuridico come dato personale, e verrebbe letteralmente inchiappettato in tribunale.

 

In sintesi? Non preoccuparti e ricorda che la legge principe di Internet è di usare una password diversa per ogni portale.

 

Ad ogni modo ti ricordo che in IP Board, come in qualsiasi altro forum, i messaggi privati sono salvati in chiaro e di libera lettura a chi gestisce il database ed è prevista come opzione di default in IPBoard la possibilità di loggare, tramite pannello da amministratore, nei profili degli utenti bypassando la richiesta della password.

 

 

Edit:

<ironia>

Poi certo, figurati se, nel caso le password siano davvero in chiaro, venga davvero a dirti "Ehi, si: posso leggere la tua password!".

Quella che hai posto è una domanda assai stupida, come chiedere all'oste se il vino è buono.

</ironia>

Ma non l'ho fatta direttamente a kaos, non mi direbbe mai la verità nel caso fosse un superhackerciter.

[dukioooo 751]

E mentre leggevo questa discussione mi è comparso, sul logo, lo splashes "Kaos e i piccoli colpi di genio" .....

[Bishibazu 728]

Ma non l'ho fatta direttamente a kaos, non mi direbbe mai la verità nel caso fosse un superhackerciter.

Mi chiedi poi cosa se ne faccia delle password rubate...

Le rivende su ebay?

mah

[Swordself 196]

Mi chiedi poi cosa se ne faccia delle password rubate...

Le rivende su ebay?

mah

accede ai nostri account email nel caso le password fossere uguali, da li recupera le password di altri servizi a cui siamo iscritti e ci ruba tutto

[Kaos 1233]

Sicuro, mi preoccuperei di più di siti minori sconosciuti, di solito io in quelli uso password estremamente stupide e semplici per ricordarmele e visto lo scarso valore dell'account possono anche chiedermela direttamente per quello che mi riguarda.

[Bishibazu 728]

accede ai nostri account email nel caso le password fossere uguali, da li recupera le password di altri servizi a cui siamo iscritti e ci ruba tutto

Praticamente il 95% dell'utenza non supera i 18anni, quindi a meno di entrare in un account facebook non può mica rubare dal conto in banca :rotfl:

[Gooby 529]

Praticamente il 95% dell'utenza non supera i 18anni, quindi a meno di entrare in un account facebook non può mica rubare dal conto in banca :rotfl:

"Kaos e il fantastico spaccio di account feisbuk"

Nelle sale il 32 ottobre

[Barrnet 1697]

Così è come IPB le crypta: https://www.invisionpower.com/support/guides/_/advanced-and-developers/miscellaneous/passwords-in-ipboard-r130 inoltre non è stata apportata nessuna modifica alle pagine di registrazione.
Il dubbio riportato da Barrnet, quello sulla modifica della pag. di reg., è universale e di qualsiasi sito di questo mondo.

Io ti ho preso d'esempio perché sei tu il proprietario di codesto sito e calzavi quindi a pennello per l'esempio. Il fatto che IP Board vanilla cripti le password è vero, ma è anche vero che nessuno può avere la certezza che qualsiasi forum IP Board cripti le sue password: la modifica da fare per salvare le password in chiaro è fattibile e gli utenti non possono essere a conoscenza del contenuto "interno" del sito web che sta visitando, le uniche prove che hanno che il sito web cripti le loro password sono essenzialmente la conoscenza del pacchetto con cui è stato tirato su il forum (che non è detto che sia stato modificato per non criptare le informazioni sensibili) e la parola dell'amministratore, che in tal caso è tale e quale all'oste che garantisce per il vino.

Per quando ci riguarda potremmo comunque avere la certezza che se cambiassi il sistema in cui le password vengono memorizzate ci verrebbe richiesto un cambio password, ma anche questo è una cazzata: basterebbe aggiungere un nuovo campo nel database e salvare direttamente la richiesta POST fatta all'invio della password: otterresti tranquillamente una copia della nostra richiesta, password inclusa.

Insomma, voi non fidatevi a priori di qualunque webmaster, in fondo siamo su internet, non all'oratorio col prete.








Ma anche li c'è poco da fidarsi.