-
Data: 2007-04-08 10:27:53
Temat: Re: home.pl - szantażowane
Od: v...@g...com szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 8 Kwi, 10:06, Michal Zalewski <l...@d...ids.pl> wrote:
> Odnosiłem się tutaj do testowania zabezpieczeń cudzych witryn WWW jako
> takiego, bez rozpatrywania, jak sąd zinterpretuje konkretną aktywność, bo
> tego po prostu nie wiem, niezależnie od tego, ile ustaw przejrzę. Nie jest
> dla mnie jasne, do jakiego momentu "tajny" URI jest zabezpieczeniem
> symbolicznym, od jakiego - nietrywialnym; albo czy do różnych części URI
> należy stosować inne reguły (czyli czy np. '/stats' jest równoważne
> '/login?user=admin&pass=admin').
Pozwolę sobie zacytować wypowiedź rafian'a z forum hack.pl:
<cytat>
Witam.
Jestem klientem home.pl od wielu lat jak założyłem u nich konto
wszedłem sobie na swoją stronę z logami, stwierdziłem, że takie
informacje nie powinny być jawne i zabezpieczyłem ten katalog hasłem,
czynność zajęła o.k 1min.
</cytat>
Oraz Kwadrata
<cytat>
Najśmieszniejsze jest to że ja osobiście jakiś rok temu pisałem o tej
sprawie do home.pl :] Oficjalnie wysłałem pismo na a...@h...pl bo
sam MIAŁEM tam konto i zaniepokoiła mnie ta sytuacja Nawet sobie
zrobiłem generator linków :P Żeby sprawdzić czy faktycznie to się
sprawdza, bo aż nie mogłem uwierzyć :]
Na co dostałem odpowiedz od administatorów, żebym sobie zabezpieczył
konto/katalog i nie zawracał im gitary ;]
</cytat>
IMHO problemem adminow poszczegolnych kont na home.pl jest
niezakładanie hasła na statystyki.
To że nie jest to zrobione by default przy zakładaniu konta można
traktować jako niedopatrzenie, to że nie było jawnej instrukcji dla
klienta żeby sobie takie hasło założył niedopatrzeniem większym. Ale
nie traktowałbym tego jako dziury.
pozdrawiam,
Vladimir
Następne wpisy z tego wątku
- 08.04.07 10:49 wer
- 08.04.07 11:11 spit
- 08.04.07 12:27 futszaK
- 08.04.07 13:07 crazy bejbi
- 08.04.07 13:34 futszaK
- 08.04.07 13:44 crazy bejbi
- 08.04.07 13:56 Michał '2M1R' Różański
- 08.04.07 14:36 v...@g...com
- 08.04.07 16:31 Krzysztof Halasa
- 08.04.07 20:41 Tomasz Motyliński
- 08.04.07 22:56 wer
- 09.04.07 11:43 Tomasz Motyliński
- 09.04.07 19:43 Robert Święcki
- 09.04.07 19:51 Maciej Jan Broniarz
- 09.04.07 20:15 Robert Święcki
Najnowsze wątki z tej grupy
- Jest tutaj kto? Halo, Darius Expert?
- Czy to konieczne? ATMAN - 30.06.2019 - Wyłączenie news.atman.pl
- pl.internet.polip - is DEAD?
- ovh
- INEA
- Prośba o traceroute z Vectry
- BGP - wszyscy wkładają głowę w piasek.
- http://pl
- Re: Czemu jest wylaczany serwer w3cache.icm.edu.pl ?
- Taaaka integracaj na rynku, a tu nikt, nic..
- Alternatywna sieć dla internetu kiedyś w Polsce
- ooerator gsm + stały ip z revdns
- Dostęp do ip nostrady
- narzędzia do weryfikacji poprawności bazy WHOIS
- T-mobile bawi się w MITM....
Najnowsze wątki
- 2025-03-14 Spalił się autobus :-)
- 2025-03-14 Policjanci z Piątku
- 2025-03-14 Lublin => JavaScript / Node / Fullstack Developer <=
- 2025-03-14 Warszawa => Account Manager - Sprzedaż Usług Rekrutacyjnych <=
- 2025-03-14 Gliwice => Business Development Manager - Dział Sieci i Bezpieczeńst
- 2025-03-14 VAT-R Umowa najmu na adres zamieszkania
- 2025-03-14 Gliwice => IT Expert (Network Systems area) <=
- 2025-03-14 Warszawa => Junior Rekruter <=
- 2025-03-14 Wrocław => Konsultant wdrożeniowy Comarch XL/Optima (Księgowość i
- 2025-03-14 China-Kraków => Senior PHP Symfony Developer <=
- 2025-03-14 Żerniki => Dyspozytor Międzynarodowy <=
- 2025-03-13 Raspberry Pi 3 Model B+
- 2025-03-13 Kuchenka elektryczna
- 2025-03-12 test
- 2025-03-13 własny ekran startowy