10 Feb
2012
10 Feb
'12
1:59 p.m.
Vůbec nemám obavu o "cracknutí" serveru správcem VPS. Mám obavu z toho, že
cokoliv připojeného do internetu může být cracknuto a pokud zjistím že
nejsem jediným rootem na mém serveru je dobré vyloučit to, že někdo napadl
backend vpsadminu a přečetl si heslo v plaintextu.
Dne 10. února 2012 14:47 Pavel Snajdr <snajpa(a)snajpa.net> napsal(a):
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Jedna vec je vyvolavat paniku, druha vec je o tom nevedet vubec...
Vezmi si, kde vsude davas svoje heslo - NIKDE tomu nemuzes verit.
VSUDE musis mit jine heslo.
A nezapominej, ze stejni lide, kteri maji pristup do te databaze, maji
primy pristup na ty VPS.
Proto si myslim, ze je totalne zbytecne vyvolavat paniku.
Ano, je to hnusne reseni, ne, nelibi se mi, ale je to tak a to co pisu
vyse je proste pravda.
Takze opravdu, ale opravdu zadna panika netreba, a uz vubec na nas
nemusis kricet velkym pismem :)
Pavel Snajdr
+420 720 107 791
http://vpsfree.cz
On 02/10/2012 02:44 PM, Tomáš Valoušek wrote:
Mě to vůbec nenapadlo, ale tohle je fakt
bezpečnostní díra jako prase,
která by měla být tou hlavní a nepřehlédnutelnou informací pro každého
člena: POZOR, HESLO ZMĚNĚNÉ PŘES VPSADMIN JE ULOŽENÉ KDESI V PLAINTEXTU.
ZMĚŇTE SI HESLO POMOCÍ PASSWD!!!!!
Dne 10. února 2012 13:33 Pavel Snajdr <snajpa(a)snajpa.net
<mailto:snajpa@snajpa.net>> napsal(a):
Nelibit se ti to muze, ale to je asi tak vsechno :)
V podstate nemam jinou moznost, musi to tam bejt v nejaky podobe a ta
podoba musi bejt rozsifrovatelna - protoze se to uklada ve forme
transakci, ktery si pak vyzvedava backend, a ten aby to heslo mohl
zmenit ho musi dostat v plaintextu.
Musel bych leda zpetne ty transakce mazat (nepripada v uvahu), nebo je
cenzurovat po nastaveni - coz stejne falesnej pocit bezpeci.
Pravda je, ze bych to tam mohl nekde vyznacit, aby to bylo obvious.
Pavel Snajdr
+420 720 107 791
http://vpsfree.cz
On 02/10/2012 01:34 PM, Tomas Volf wrote:
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
muj puvodni dotaz spis smeroval smerem "proc vyzaduje alespon 5
znaku, proc
nenechat zabezpeceni na uzivateli".
Hm, proc se to heslo vlastne uklada? A kdyz uz
sme u toho, tak proc v
plaintextu?
Musim priznat, ze tohle se mi moc nelibi...
On Fri, 10 Feb 2012 13:26:58 +0100
Pavel Snajdr <snajpa(a)snajpa.net <mailto:snajpa@snajpa.net>> wrote:
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA256
> Ahoj,
> urcite nechci, aby vpsAdmin umoznoval ulozeni
dlouhych hesel,
protoze to
> heslo je pak v plaintextu v databazi
vpsAdminu.
> To ma bejt hlavne na to, aby ses dostal do
VPS poprvy, nebo kdyz
> zapomenes heslo.
> Pavel Snajdr
> +420 720 107 791
>> On 02/10/2012 11:30 AM, Tomas Volf wrote:
> > Ahoj,
>>> jenom takova
myslenka... vpsAdmin vynucuje delka hesla pro roota
5 a vice
>> znaku... Mne osobne se nelibi
"vynucena" bezpecnost :) Jenom mne
zajima
>> nazor ostatnich na tohle tema...
>>
>> PS: jo, vim, pres passwd jde heslo roota zmenit klidne na jeden
znak :)
Tim
>> spis jestli dava smysl neco vynucovat ve
vpsAdminovi...
>>
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list _______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
-----BEGIN PGP
SIGNATURE-----
Version: GnuPG v1.4.11 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
iF4EAREIAAYFAk81H+EACgkQdh+64ds5Daa4twD9EVUCahfSypQceXQEb2QFpo6P
IWa9aOnibki1cqp5jZUA/0yVVeFRkBZ8Bk/x9iWp0IlgGUDrHiyqcrRQtai7vF2a
=QRuo
-----END PGP SIGNATURE-----
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list