Podle me se k tomu postavili dobře. Říká se, že se to týká staré databáze ještě z doby, kdy to vlastnil Fryc a spol (ti na to minimálně rok pred prodejem provozně uplně kašlali...). Navíc je aktivní krok podle mě možná nepopulární, ale rozhodně lepší než to co nedávno v podobné situaci předvedl třeba T-mobile, kterej to asi tyden tajil, pak chvíli mlžil a pak to teprve přiznal.
Ty databáze určitě nebyly odděleny na starou a novou, ale jen u uživatelů bylo v db víc sloupců na hash. Před těmi patnácti+ lety, co Mall tak cca začínal, bylo MD5 považováno za ok. Dneska se používá bcrypt a za pár let to bude zase něco odpovídajícího budoucím standardům.Problém není v tom, že se dříve používalo MD5 nebo SHA1, ale v tom, že při každém přihlášení se to nepřevedlo do novějšího a starý hash nesmazal. Plus by tam mohla být funkce, že po pěti letech nečinnosti se heslo resetuje a musí obnovit přes email.(Navíc to trapné manipulování hlasy v diskuzi, kdy během hodiny negativní komentáře dostaly asi dvacet mínusů a jeden pozitivní dvacet nahoru... To asi dostala jedna směna za úkol, docela by mne zajímali IP adresy)
Žasnu nad celou diskusí odborníků, ve které padají slova, která jsem nikdá neslyšel:-O . Nějak se ale zapomíná na to, že doba je prostě taková a krádež osobních údajů bude čím dál běžnější, ale zároveň i mnohem sofistikovanější. Nějak ale pořád nemohu pochopit tu hysterii kolem takové blbosti u běžného eshopu. Všechny údaje, které jsou na tomto webu mnou uvedeny, jsou v podstatě dohledatelné i ve veřejných zdrojích, takže je mi celkem jedno, že tam "přišli" nějací hekřáci. Je to eshop, není to má banka. Takže přeju méně paranoi a vášní a více klidu 😀 😉
Ten den jsem se nemohl přihlásit (po asi 2 měsících, tedy živý účet). Nikde žádné upozornění, zaslání mailu. Tak jsem nejjednodšuji zažádal o obnovu hesla. Došlo do schránky asi po 4 hodinách. Obnoveno.ALE PROČ se neobtěžují zobrazit, že jsou nedostupní! Kdysi pře desítkou let to bývalo běžné.http://www.bdnsw.gov.bn/PublishingImages/page-und...
Naštěstí mám pro každou službu unikátní e-mail i heslo 🙂 Ale jako zabezpečení mají hodně chabé. Nechápu, proč třeba EU nenařídí aby na všech webech, kde se zadávají osobní údaje, byla informace o tom, jakým způsobem jsou skladována. Největší sranda je, když se pak člověk někde zaregistruje a oni mu ještě pošlou kopii hesla do e-mailu "pro jistotu" 😀 Z prohlížeče by cokoliv, co je v nemělo odcházet z uživatelova PC v plaintextu, to by zase mohli zařídit tvůrci prohlížečů a udělat kolem takových nebezpečných formulářů, nějaké pěkné Las Vegas efekty...
*CENZURA: Z prohlížeče by cokoliv, co je v input type = password nemělo
"odcházet z uživatelova PC v plaintextu". A jak server pak ověří identitu? Teoreticky by to šlo takto, prohlížeč heslo zahashuje a pošle serveru. Server pak pracuje jen s hashem, který pro něj bude vlastně "heslo" a to si také zahashuje. Tedy takový dvojitý hash. Jenže je v tom háček. Útočníkovi by stačil jen ten hash, co posílá prohlížeč. Nepozná sice původní heslo, ale s tím hashem by se tak jako tak dostal k datům. Tím bychom si moc nepomohli. Zvláště pak, když se zjistí, že použitý hashovací algoritmus prohlížeče bude kompromitován (jako u MD5, SHA1). Stačil by změnit algoritmus, ale to znamená jiný hash, jiné "heslo".V principu cokoli se pošle z prohlížeče na server se dá zneužit, takže je tak nějak zbytečné se pokoušet o vylepšení formuláře.Na tohle aktuálně stačí jediné - šifrovaný přenos HTTPS, kdy obsah formuláře zná jen prohlížeč a server.
No to sice ano, ale takovy hash nikdo nebude pridavat do slovnikovych utoku ;)
Myslíš? :) Jakmile zjistí hashovací algoritmus, tak jednoduše rozšíří slovník o zahashované hesla z již existujícího slovníku. Beztak uživatelé budou stále volit jednoduchá hesla. Tak není problém vedle "12345" přidat i odpovídající hash třeba "8cb2237d0679ca88db6464eac60da96345513964".
Navic staci vygenerovat na strane serveru par znaku pri generovani prihlasovaciho formulare a tyto pak zamichat do onoho hashe a na strane serveru overit jejich pritomnost. pak bude vzdy pro stejne heslo unikatni hash. Co se HTTPS týče, samozřejmě je to nejlepší řešení, ale mnoho lidí odradí to, že jim cena hostingu jednonásobně vzroste.
Muzes to prosim popsat detailneji? Nejak nejsem schopen pochopit, jak to myslis. A dost by mne to zajimalo. Idealne s nejakym prikladem. Diky!
Jak jsem pochopil, tak jde o princip solování. Server náhodně vygeneruje znaky (salt, token) a ten pošle spolu s formulářem. V současné době na tom funguje CSRF. Před odesláním formuláře se heslo zahashuje. Jelikož formulář obsahuje salt, tak hash ještě osolí. Na serveru se pak vytáhne hash z DB, osolí dočasně uloženým saltem a porovná. Onen salt existuje pouze v daném požadavku, takže hash hesla z prohlížeče je pokaždé jiný.To by šlo, ale stále je tu problém s tím dalším. Nelze předpokládat, že hashovací algoritmus prohlížeče bude existovat věčně. Jakmile se změní, změní se i hash a celý je to pak bude k ničemu, protože server nebude vědět, že se použil jiný algoritmus.
Nejak mi porad unika, jak se tim komplikuje zivot utocnikovi, ktery vidi tu plaintext komunikaci. A ktery tim padem vidi i ten jednorazovy "token".
Takhle nijak :) Komplikace je pouze v tom, že musí luštit o trošku déle. Navíc ten hash nemůže použít vícekrát. Tak si musí dát práci získáním toho "tokenu".
píšeme Vám, protože Vaše původní heslo k Mall.cz už nefunguje. Pro jistotu jsme se rozhodli ho z bezpečnostních důvodů zrušit, stali jsme se totiž obětí neoprávněného přístupu neznámého útočníka k některým zákaznickým údajům. Aby Váš účet nikdo nezneužil, neváhali jsme a neprodleně jej zablokovali.
Já tam nakoupil před lety asi dvakrát. Takže když přišel mail, resetoval jsem heslo a následně účet zrušil.
Ze jsi "zrusil" ucet jeste neznamena, ze smazali tve udaje...
To je zase vyčítání, že někdo udělal něco blbě.V první řadě je třeba pochválit, že se k tomu postavili čelem a přiznali to. Určitě je mraky e-shopů a jiných webů, které taky někdo napadl a zákazníkům se to neobtěžovali sdělit.
https://twitter.com/spazef0rze/status/9017937... "Mall.cz někdo hacknul. Napsali hezké upozornění a vyresetovali hesla. Jen škoda, že nezabezpečili i stará hesla 🙁"
Proč mi to přišlo, když mám heslo z roku 2014? 😀
Jo, už mi od nich přišel mail, nejdřiv jsem myslel že je to ňákej podvod, tak jsem šel na jejich stránky a neklikal jsem na odkaz v mailu. Nakupoval jsem tam naposled asi před 3 rokama.
Napadlo mi to samé.
Pokud je to pravda, tak doufám, že ÚOOÚ jejich dobrou práci po zásluze odmění.
no, po květnu 2018 (GDPR) by to měli kluci pěkně mastný...
Tak jedna věc je to, že se jim tam někdo naboural, to dělají něco špatně, když se jim tam někdo naboural, ne? A to jim pak může čmajznout data, ke kterým se nabouře. Třeba hashe hesel jsou už jen takový bonus.Druhá věc je jak ukládají hashe hesla a na ní nechápu dvě věci, proč to asi "normálně" ukládají až od loňska, netuším na čem jim to jede, ale třeba php má už to "normální" ukládání ve verzi 5.5.0, která tu byla v roce 2013, tedy před 4 lety... A jednak nechápu, proč to nemění za letu, tedy pokud změní hashovací proces tak proč při novém přihlášení uživatele s kontrolou oproti starému hashi ten hash nesmažou a nevytvoří jej v novém algoritmu.
Názor byl 1× upraven, naposled 27. 8. 2017 20:22
Část lidí se tam třeba nepřihlásila už roky.
Tak by tam měl furt ten starý hash. A problém by se tedy týkal třeba těch, co se nepřihlásili od roku 2012 a tedy nejspíš naprosto zanedbatelná část uživatelů.Každopádně problém hashování hesla je až druhotný problém, ten hlavní je, jak to že se jim tam někdo vůbec naboural...
V této diskuzi jsem ráno měl u tohoto komentáře negativně vyznívající text ("měli to při přihlášení přehashovat") a hodnocení tohoto komentáře mělo poměr hlasů cca 24:1, najednou se zcela obrátil. Když si pročtu další komentáře, jsem si téměř stoprocentně jist, že hodnocení bylo uměle manipulováno a nejspíš zde zafungovali nějací mallboti: tedy že tu někdo z Mallu proklikal hodnocení tak, aby vycházeli pro ně příznivěji.Samozřejmě nějaké plus nebo minus není důležité, ale zatímco nabourat mohou každého, chyba s nepřehashováním se stane, tohle je už ubohost.
Názor byl 2× upraven, naposled 28. 8. 2017 18:00
Přesně to samé jsem teď napsal pod tebou, taky nechápu proč to nepřehashovali, taky mě ta informace hned bouchla do hlavy 😀
Co když se někdo roky nepřihlásil?
Tak by tam měl furt ten starý hash. A problém by se tedy týkal třeba těch, co se nepřihlásili od roku 2012 a tedy nejspíš naprosto zanedbatelná část uživatelů.Každopádně problém hashování hesla je až druhotný problém, ten hlavní je, jak to že se jim tam někdo vůbec naboural.
Já tam nakupuji minimálně jednou ročně, takže mě by se to netýkalo a dnes týká. Konkrétně v mém případě tedy selhali a tou nedbalostí mé heslo uniklo.Tragédie to není, ale zamrzí. Asi by mělo být normou, že u každého vyplňovaného hesla bude informace, jak s ním kdo naloží. Pořád ještě ho občas někdo ukládá jako plain...
Potvrďte prosím přezdívku, kterou jsme náhodně vygenerovali, nebo si zvolte jinou. Zajistí, že váš profil bude unikátní.
Tato přezdívka je už obsazená, zvolte prosím jinou.