Re: [vpsFree.cz: community-list] vpsAdmin delka root hesla

Tak v ramci teto debaty jsme zjistili, ze hesla nastavena pres vpsadmin jsou v db v plaintextu, tak ted se debatuje co s tim. Kdyz uz se na to prislo a zacalo se to resit v tomto vlakne, aspon ja nevim jak relevantni emaily presunout jinam. On Fri, 10 Feb 2012 15:03:45 +0100 Adam Motvi ka &lt;adam(a)motvicka.cz&gt; wrote: >> -----BEGIN PGP SIGNED MESSAGE----- >> Hash: SHA1 >> >> Nj, lidi prestanou davat pozor, procti si to a zjistis ze uz resime >> neco jineho ;) >> >> On Fri, 10 Feb 2012 14:57:22 +0100 >> Adam Motvi ka &lt;adam(a)motvicka.cz&gt; wrote: >> >>> Prosím, je opravdu nutné Yeait minimální délku hesla ve vpsAdminu >>> ve tYinácti rozných emailech v community-listu? Myslím ~e to není >>> nic, nad >> ím >>> by se mla dlat takhle sáhodlouhá veYejná diskuze. Brzo takhle >>> ka~dý na podobné emaily ztratí focus. >>> >>> Adam >>> >>> Dne 10. února 2012 14:53 Tomas Volf &lt;volf.tomas(a)gmail.com&gt; >>> napsal(a): >>> >>>> -----BEGIN PGP SIGNED MESSAGE----- >>>> Hash: SHA1 >>>> >>>> Kricet by nemel, ale souhlasim s nim v tom, ze by to u >>>> formulare ve vpsAdminu melo byt napsane... :) >>>> >>>> On Fri, 10 Feb 2012 14:47:15 +0100 >>>> Pavel Snajdr &lt;snajpa(a)snajpa.net&gt; wrote: >>>> >>>>> -----BEGIN PGP SIGNED MESSAGE----- >>>>> Hash: SHA256 >>>>> >>>>> Jedna vec je vyvolavat paniku, druha vec je o tom nevedet >>>>> vubec... >>>>> >>>>> Vezmi si, kde vsude davas svoje heslo - NIKDE tomu nemuzes >>>>> verit. >>>>> >>>>> VSUDE musis mit jine heslo. >>>>> >>>>> A nezapominej, ze stejni lide, kteri maji pristup do te >>>>> databaze, >> maji >>>>> primy pristup na ty VPS. >>>>> >>>>> Proto si myslim, ze je totalne zbytecne vyvolavat paniku. >>>>> >>>>> Ano, je to hnusne reseni, ne, nelibi se mi, ale je to tak a >>>>> to co >> pisu >>>>> vyse je proste pravda. >>>>> >>>>> Takze opravdu, ale opravdu zadna panika netreba, a uz vubec >>>>> na nas nemusis kricet velkym pismem :) >>>>> >>>>> Pavel Snajdr >>>>> >>>>> +420 720 107 791 >>>>> >>>>> http://vpsfree.cz >>>>> >>>>> On 02/10/2012 02:44 PM, Tomáa Valouaek wrote: >>>>>> M to vobec nenapadlo, ale tohle je fakt bezpe nostní díra >>>>>> jako prase, která by mla být tou hlavní a >>>>>> nepYehlédnutelnou informací pro ka~dého lena: POZOR, HESLO >>>>>> ZMNNÉ PXES VPSADMIN JE ULO}ENÉ KDESI V PLAINTEXTU. ZMGTE >>>>>> SI HESLO POMOCÍ PASSWD!!!!! >>>>>> >>>>>> Dne 10. února 2012 13:33 Pavel Snajdr &lt;snajpa(a)snajpa.net >>>>>> <mailto:snajpa@snajpa.net>> napsal(a): >>>>>> >>>>>> Nelibit se ti to muze, ale to je asi tak vsechno :) >>>>>> >>>>>> V podstate nemam jinou moznost, musi to tam bejt v nejaky >>>>>> podobe a ta podoba musi bejt rozsifrovatelna - protoze se >>>>>> to uklada ve forme transakci, ktery si pak vyzvedava >>>>>> backend, a ten aby to heslo mohl zmenit ho musi dostat v >>>>>> plaintextu. >>>>>> >>>>>> Musel bych leda zpetne ty transakce mazat (nepripada v >>>>>> uvahu), nebo je cenzurovat po nastaveni - coz stejne >>>>>> falesnej pocit bezpeci. >>>>>> >>>>>> Pravda je, ze bych to tam mohl nekde vyznacit, aby to bylo >>>>>> obvious. >>>>>> >>>>>> Pavel Snajdr >>>>>> >>>>>> +420 720 107 791 >>>>>> >>>>>> http://vpsfree.cz >>>>>> >>>>>> On 02/10/2012 01:34 PM, Tomas Volf wrote: >>>>>>> Ahoj, >>>>>>> muj puvodni dotaz spis smeroval smerem "proc vyzaduje >>>>>>> alespon 5 >>>>>> znaku, proc >>>>>>> nenechat zabezpeceni na uzivateli". >>>>>> >>>>>>> Hm, proc se to heslo vlastne uklada? A kdyz uz sme u toho, >>>>>>> tak proc v plaintextu? >>>>>> >>>>>>> Musim priznat, ze tohle se mi moc nelibi... >>>>>> >>>>>>> On Fri, 10 Feb 2012 13:26:58 +0100 >>>>>>> Pavel Snajdr &lt;snajpa(a)snajpa.net <mailto:snajpa@snajpa.net>> >> wrote: >>>>>> >>>>>>>> -----BEGIN PGP SIGNED MESSAGE----- >>>>>>>> Hash: SHA256 >>>>>> >>>>>>>> Ahoj, >>>>>> >>>>>>>> urcite nechci, aby vpsAdmin umoznoval ulozeni dlouhych >>>>>>>> hesel, >>>>>> protoze to >>>>>>>> heslo je pak v plaintextu v databazi vpsAdminu. >>>>>> >>>>>>>> To ma bejt hlavne na to, aby ses dostal do VPS poprvy, >>>>>>>> nebo kdyz zapomenes heslo. >>>>>> >>>>>>>> Pavel Snajdr >>>>>> >>>>>>>> +420 720 107 791 >>>>>> >>>>>>>> http://vpsfree.cz >>>>>> >>>>>>>> On 02/10/2012 11:30 AM, Tomas Volf wrote: >>>>>>>>> Ahoj, >>>>>>>>> jenom takova myslenka... vpsAdmin vynucuje delka hesla >>>>>>>>> pro roota >>>>>> 5 a vice >>>>>>>>> znaku... Mne osobne se nelibi "vynucena" bezpecnost :) >>>>>>>>> Jenom mne >>>>>> zajima >>>>>>>>> nazor ostatnich na tohle tema... >>>>>>>>> >>>>>>>>> PS: jo, vim, pres passwd jde heslo roota zmenit klidne >>>>>>>>> na jeden >>>>>> znak :) Tim >>>>>>>>> spis jestli dava smysl neco vynucovat ve vpsAdminovi... >>>>>>>>> >>>>>>>>> >>>>>>>>> >>>>>>>>> _______________________________________________ >>>>>>>>> Community-list mailing list >>>>>>>>> Community-list(a)lists.vpsfree.cz >>>>>> <mailto:Community-list@lists.vpsfree.cz> >>>>>>>>> http://lists.vpsfree.cz/listinfo/community-list >>>>>>>> >>>>>> >>>>>> _______________________________________________ >>>>>> Community-list mailing list >>>>>> Community-list(a)lists.vpsfree.cz >>>>>> <mailto:Community-list@lists.vpsfree.cz> >>>>>> http://lists.vpsfree.cz/listinfo/community-list >>>>> _______________________________________________ >>>>> Community-list mailing list >>>>> Community-list(a)lists.vpsfree.cz >>>>> <mailto:Community-list@lists.vpsfree.cz> >>>>> http://lists.vpsfree.cz/listinfo/community-list >>>>> >>>>>> _______________________________________________ >>>>>> Community-list mailing list >>>>>> Community-list(a)lists.vpsfree.cz >>>>>> http://lists.vpsfree.cz/listinfo/community-list >>>>>