-
Data: 2007-04-08 10:27:53
Temat: Re: home.pl - szantażowane
Od: v...@g...com szukaj wiadomości tego autora
[ pokaż wszystkie nagłówki ]On 8 Kwi, 10:06, Michal Zalewski <l...@d...ids.pl> wrote:
> Odnosiłem się tutaj do testowania zabezpieczeń cudzych witryn WWW jako
> takiego, bez rozpatrywania, jak sąd zinterpretuje konkretną aktywność, bo
> tego po prostu nie wiem, niezależnie od tego, ile ustaw przejrzę. Nie jest
> dla mnie jasne, do jakiego momentu "tajny" URI jest zabezpieczeniem
> symbolicznym, od jakiego - nietrywialnym; albo czy do różnych części URI
> należy stosować inne reguły (czyli czy np. '/stats' jest równoważne
> '/login?user=admin&pass=admin').
Pozwolę sobie zacytować wypowiedź rafian'a z forum hack.pl:
<cytat>
Witam.
Jestem klientem home.pl od wielu lat jak założyłem u nich konto
wszedłem sobie na swoją stronę z logami, stwierdziłem, że takie
informacje nie powinny być jawne i zabezpieczyłem ten katalog hasłem,
czynność zajęła o.k 1min.
</cytat>
Oraz Kwadrata
<cytat>
Najśmieszniejsze jest to że ja osobiście jakiś rok temu pisałem o tej
sprawie do home.pl :] Oficjalnie wysłałem pismo na a...@h...pl bo
sam MIAŁEM tam konto i zaniepokoiła mnie ta sytuacja Nawet sobie
zrobiłem generator linków :P Żeby sprawdzić czy faktycznie to się
sprawdza, bo aż nie mogłem uwierzyć :]
Na co dostałem odpowiedz od administatorów, żebym sobie zabezpieczył
konto/katalog i nie zawracał im gitary ;]
</cytat>
IMHO problemem adminow poszczegolnych kont na home.pl jest
niezakładanie hasła na statystyki.
To że nie jest to zrobione by default przy zakładaniu konta można
traktować jako niedopatrzenie, to że nie było jawnej instrukcji dla
klienta żeby sobie takie hasło założył niedopatrzeniem większym. Ale
nie traktowałbym tego jako dziury.
pozdrawiam,
Vladimir
Następne wpisy z tego wątku
- 08.04.07 10:49 wer
- 08.04.07 11:11 spit
- 08.04.07 12:27 futszaK
- 08.04.07 13:07 crazy bejbi
- 08.04.07 13:34 futszaK
- 08.04.07 13:44 crazy bejbi
- 08.04.07 13:56 Michał '2M1R' Różański
- 08.04.07 14:36 v...@g...com
- 08.04.07 16:31 Krzysztof Halasa
- 08.04.07 20:41 Tomasz Motyliński
- 08.04.07 22:56 wer
- 09.04.07 11:43 Tomasz Motyliński
- 09.04.07 19:43 Robert Święcki
- 09.04.07 19:51 Maciej Jan Broniarz
- 09.04.07 20:15 Robert Święcki
Najnowsze wątki z tej grupy
- Jest tutaj kto? Halo, Darius Expert?
- Czy to konieczne? ATMAN - 30.06.2019 - Wyłączenie news.atman.pl
- pl.internet.polip - is DEAD?
- ovh
- INEA
- Prośba o traceroute z Vectry
- BGP - wszyscy wkładają głowę w piasek.
- http://pl
- Re: Czemu jest wylaczany serwer w3cache.icm.edu.pl ?
- Taaaka integracaj na rynku, a tu nikt, nic..
- Alternatywna sieć dla internetu kiedyś w Polsce
- ooerator gsm + stały ip z revdns
- Dostęp do ip nostrady
- narzędzia do weryfikacji poprawności bazy WHOIS
- T-mobile bawi się w MITM....
Najnowsze wątki
- 2025-03-05 Zielona GĂłra => Konsultant wdroĹźeniowy Comarch XL/Optima (KsiÄgowoĹ
- 2025-03-05 Białystok => Spedytor Międzynarodowy (handel ładunkami/prowadzenie
- 2025-03-05 Warszawa => Specjalista ds. Sprzedaży (transport drogowy) <=
- 2025-03-05 Środa Wielkopolska => Konsultant wewnętrzny SAP FI/CO <=
- 2025-03-05 Zielona Góra => Senior Field Sales (system ERP) <=
- 2025-03-05 Warszawa => Data Engineer (Tech Lead) <=
- 2025-03-05 Kraków => Business Development Manager - Network and Network Security
- 2025-03-05 Zaniepokojeni mieszkańcy
- 2025-03-05 Ile pieniędzy ma bank?
- 2025-03-05 Ostrów Świętokrzy => Node.js / Fullstack Developer <=
- 2025-03-05 Białystok => Architekt rozwiązań (doświadczenie w obszarze Java, A
- 2025-03-05 Warszawa => Frontend Developer (Angular13+) <=
- 2025-03-05 Warszawa => Frontend Developer (obszar Angular13+) <=
- 2025-03-05 Chiny-Kraków => Backend Developer (Node + Java) <=
- 2025-03-05 Warszawa => JavaScript / Node / Fullstack Developer <=