vpsAdmin delka root hesla

List overview All Threads
Download

newer

older

Zajimave/dulezite cteni: Jak bude...

Re: [vpsFree.cz: community-list]...

Tomas Volf

10 Feb 2012 10 Feb '12

10:30 a.m.

Ahoj, jenom takova myslenka... vpsAdmin vynucuje delka hesla pro roota 5 a vice znaku... Mne osobne se nelibi "vynucena" bezpecnost :) Jenom mne zajima nazor ostatnich na tohle tema...

PS: jo, vim, pres passwd jde heslo roota zmenit klidne na jeden znak :) Tim spis jestli dava smysl neco vynucovat ve vpsAdminovi...

Attachments:

signature.asc (application/pgp-signature — 836 bytes)

Show replies by date

Erich Stark

10 Feb 10 Feb

10:31 a.m.

Vecsinou tak ci tak pouzivas heslo dlhsie ako 5 znakov takze je to asi v poriadku. Myslim si ze vpsfree ta chce ubezpecit ze mas dobre heslo :D

2012/2/10 Tomas Volf volf.tomas@gmail.com

...

Ahoj, jenom takova myslenka... vpsAdmin vynucuje delka hesla pro roota 5 a vice znaku... Mne osobne se nelibi "vynucena" bezpecnost :) Jenom mne zajima nazor ostatnich na tohle tema...

PS: jo, vim, pres passwd jde heslo roota zmenit klidne na jeden znak :) Tim spis jestli dava smysl neco vynucovat ve vpsAdminovi...

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-- Erich Stark

Petr Šigut

10:50 a.m.

Ale zase je v zájmu všech aby z poloviny VPSek nebyli zombíci co posílají spam... mě osobně nenapadá případ že by 5 znaků mohlo někomu vadit, stejně jsou pohodlnější klíče.

...

Ahoj, jenom takova myslenka... vpsAdmin vynucuje delka hesla pro roota 5 a vice znaku... Mne osobne se nelibi "vynucena" bezpecnost :) Jenom mne zajima nazor ostatnich na tohle tema...

Tomas Volf

11:08 a.m.

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Chapu no :) ja taky pouzivam klice, je to pohodlnejsi i bezpecnejsi... Ale proste nemam rad kdyz mne system do neceho nuti, tak mne napadlo to zminit :)

On Fri, 10 Feb 2012 11:50:01 +0100 Petr Šigut petr@sigut.net wrote:

...

Ale zase je v zájmu všech aby z poloviny VPSek nebyli zombíci co posílají spam... mě osobně nenapadá případ že by 5 znaků mohlo někomu vadit, stejně jsou pohodlnější klíče.

...
Ahoj, jenom takova myslenka... vpsAdmin vynucuje delka hesla pro roota 5 a vice znaku... Mne osobne se nelibi "vynucena" bezpecnost :) Jenom mne zajima nazor ostatnich na tohle tema...

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...PGP SIGNATURE...

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) iQIcBAEBAgAGBQJPNPqdAAoJEID0iULc54subsMP/RkdkUEtF9j1D5SozScNYvnT GppfneJ/JPqo+LvzOrcHQqflwG9HnBd9Zg3iKcuKqCC6YFrEf3q3SvcJi+osfWFz 29X8Ef6SzUy4ajAW4wMeby/xMX30VnlafVyVsTwQfkuwFIpK9NnCgHevAAZ2bU/z 9gVC3Or5JW/QdTLCompRiQcWp7K59F0ocpNycRL4m4lAwdhoZL+9/f/iRMJ1IpCH J6rZNZ4NKHG0pZx/MuxPQhwE5HkOzNJzC+kuwOjCNUdMwwXbUOHnj6u3UH5IUnm/ onXew+XVNV8B7hBwqoQZLNPz3qjBNq3FaFyqU0Zkzqsb0P3E3UBxqMY3KKokRmof XIVaJ9PujIT9NREhRZsOeRrl1SNuRmY/37UGSiWn0JueBECu44mJhz/xurLrKOlO gnmmvbGVT+6ZxLPSvi4krcd3216ZhIs/hVRaCkltp00tTkZFY1UFPTAd+/fflAW9 C2zwQf4kU0AChXSEwvh8wt3+ZL6SUxsyHQfn8lE0rllNHNHrd6PdHp0462W0wWlS b2j+DYPmVV8Jks8ENI5FoeP0pCRco4/HAP02uueqHiPitt/oHnhKF5p2RYt2qQN4 0dZJY73LlZ1o/NnuWrHHcXibszF/rfVzIfCVFTvXkHAndRTTbe1LejloGskK0sX/ 5Txk8VA/cyQJUMBLd7pS =9glj -----END PGP SIGNATURE-----

Pavel Snajdr

12:26 p.m.

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

Ahoj,

urcite nechci, aby vpsAdmin umoznoval ulozeni dlouhych hesel, protoze to heslo je pak v plaintextu v databazi vpsAdminu.

To ma bejt hlavne na to, aby ses dostal do VPS poprvy, nebo kdyz zapomenes heslo.

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 11:30 AM, Tomas Volf wrote:

...

Ahoj, jenom takova myslenka... vpsAdmin vynucuje delka hesla pro roota 5 a vice znaku... Mne osobne se nelibi "vynucena" bezpecnost :) Jenom mne zajima nazor ostatnich na tohle tema...

PS: jo, vim, pres passwd jde heslo roota zmenit klidne na jeden znak :) Tim spis jestli dava smysl neco vynucovat ve vpsAdminovi...

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...PGP SIGNATURE...

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iF4EAREIAAYFAk81DREACgkQdh+64ds5DaahZgEA0zVNYunA+MsCd0+/NLwYe328 ZoX4DZ8UPiBFAZ9QrxMBANo4yzBrwmRlHSTlHsgMBEMtjRzNCbiOOeVZTJEPXbK7 =l4V9 -----END PGP SIGNATURE-----

Tomas Volf

12:34 p.m.

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Ahoj, muj puvodni dotaz spis smeroval smerem "proc vyzaduje alespon 5 znaku, proc nenechat zabezpeceni na uzivateli".

Hm, proc se to heslo vlastne uklada? A kdyz uz sme u toho, tak proc v plaintextu?

Musim priznat, ze tohle se mi moc nelibi...

On Fri, 10 Feb 2012 13:26:58 +0100 Pavel Snajdr snajpa@snajpa.net wrote:

...

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

Ahoj,

urcite nechci, aby vpsAdmin umoznoval ulozeni dlouhych hesel, protoze to heslo je pak v plaintextu v databazi vpsAdminu.

To ma bejt hlavne na to, aby ses dostal do VPS poprvy, nebo kdyz zapomenes heslo.

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 11:30 AM, Tomas Volf wrote:

...
Ahoj, jenom takova myslenka... vpsAdmin vynucuje delka hesla pro roota 5 a vice znaku... Mne osobne se nelibi "vynucena" bezpecnost :) Jenom mne zajima nazor ostatnich na tohle tema...

PS: jo, vim, pres passwd jde heslo roota zmenit klidne na jeden znak :) Tim spis jestli dava smysl neco vynucovat ve vpsAdminovi...

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iF4EAREIAAYFAk81DREACgkQdh+64ds5DaahZgEA0zVNYunA+MsCd0+/NLwYe328 ZoX4DZ8UPiBFAZ9QrxMBANo4yzBrwmRlHSTlHsgMBEMtjRzNCbiOOeVZTJEPXbK7 =l4V9 -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...PGP SIGNATURE...

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) iQIcBAEBAgAGBQJPNQ7IAAoJEID0iULc54suAlAP/2FyRgHnzsg7P5ABeSvOrmg8 RbyqDtrcQ2o1sAPEb7vuCdrhMY1zY86/We0JYvF2wiZDy47Y5OkgbEv+7BTsm9cb Y2jfXdP/vbKrgorHTlW933HTQIzNqDOxu0OxInpxymqHDSEU0xe8WfXXqUIyRTjq zyZIVybL0uwDbUUg8rH0BxxNiFDxPm8oePlJSbD94f/kOGCitAWe0vQBVcH7QCp9 G5zv5XgNYXY/lLsOVt3emrO1FeSILtHYguDe4zhzrrHqssziZkcaK2eVMRDqBc6v YsNFhGfSo4UrbSO+kR82FSSGjS3iMuuZbNU+1llRDpT90iRBOR1lewwV33R6a4dp VQqHWI9iGZNjO1MsenIS+IgsHQS8nNuiiKuf2+pfIIvz1hLKOlReZKphsJbTgCRA oJa4xGxR895dd3Yxteq/Xb1ML7E5s6CfRSrMNksYSeIlr1qjo83Zei2GQ4+6ZBVo FF/vK9Ece5IBz2BHR3PYPe9MaubyqNcOa7/gaWfIROD40Bdgc9FMsx/wR5MbHKxh WQW6YPSxReBqtt00eWGMOJfcNZxjyjgSqRbsGJHqqPQ4IF/gjchS85QgnhNlB366 /xiv4Q58TymahjevD2Q9d/TzqZb3CqMk21YJCQdLShcwnwji7msZt5vTTDv6ktaF Y0yvXAQoxZbWX5Xewumw =WzEE -----END PGP SIGNATURE-----

Pavel Snajdr

12:33 p.m.

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

Nelibit se ti to muze, ale to je asi tak vsechno :)

V podstate nemam jinou moznost, musi to tam bejt v nejaky podobe a ta podoba musi bejt rozsifrovatelna - protoze se to uklada ve forme transakci, ktery si pak vyzvedava backend, a ten aby to heslo mohl zmenit ho musi dostat v plaintextu.

Musel bych leda zpetne ty transakce mazat (nepripada v uvahu), nebo je cenzurovat po nastaveni - coz stejne falesnej pocit bezpeci.

Pravda je, ze bych to tam mohl nekde vyznacit, aby to bylo obvious.

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 01:34 PM, Tomas Volf wrote:

...

Ahoj, muj puvodni dotaz spis smeroval smerem "proc vyzaduje alespon 5 znaku, proc nenechat zabezpeceni na uzivateli".

Hm, proc se to heslo vlastne uklada? A kdyz uz sme u toho, tak proc v plaintextu?

Musim priznat, ze tohle se mi moc nelibi...

On Fri, 10 Feb 2012 13:26:58 +0100 Pavel Snajdr snajpa@snajpa.net wrote:

...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

...
Ahoj,

...
urcite nechci, aby vpsAdmin umoznoval ulozeni dlouhych hesel, protoze to heslo je pak v plaintextu v databazi vpsAdminu.

...
To ma bejt hlavne na to, aby ses dostal do VPS poprvy, nebo kdyz zapomenes heslo.

...
Pavel Snajdr

...
+420 720 107 791

...
http://vpsfree.cz

...
On 02/10/2012 11:30 AM, Tomas Volf wrote:

...
Ahoj, jenom takova myslenka... vpsAdmin vynucuje delka hesla pro roota 5 a vice znaku... Mne osobne se nelibi "vynucena" bezpecnost :) Jenom mne zajima nazor ostatnich na tohle tema...

PS: jo, vim, pres passwd jde heslo roota zmenit klidne na jeden znak :) Tim spis jestli dava smysl neco vynucovat ve vpsAdminovi...

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...PGP SIGNATURE...

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iF4EAREIAAYFAk81DqAACgkQdh+64ds5DaZv1QEAuMJ6UyaPf3yWHB14FZiPx0xZ QsdmX0Q0v5yDQsCOoKEA/1J+jgDPlihVMBOtS/Zc2B7BMYVOZcTsXa6S8cspzqsn =5omd -----END PGP SIGNATURE-----

Tomas Volf

1:10 p.m.

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Aha... chapu no.

Ale aspon napsat k tomu by to chtelo :) Neco jako "pouzijte pro prvni nastaveni/v pripade zapomenuti a heslo co nejdrive zmente pres passwd" nebo tak neco :)

On Fri, 10 Feb 2012 13:33:36 +0100 Pavel Snajdr snajpa@snajpa.net wrote:

...

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

Nelibit se ti to muze, ale to je asi tak vsechno :)

V podstate nemam jinou moznost, musi to tam bejt v nejaky podobe a ta podoba musi bejt rozsifrovatelna - protoze se to uklada ve forme transakci, ktery si pak vyzvedava backend, a ten aby to heslo mohl zmenit ho musi dostat v plaintextu.

Musel bych leda zpetne ty transakce mazat (nepripada v uvahu), nebo je cenzurovat po nastaveni - coz stejne falesnej pocit bezpeci.

Pravda je, ze bych to tam mohl nekde vyznacit, aby to bylo obvious.

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 01:34 PM, Tomas Volf wrote:

...
Ahoj, muj puvodni dotaz spis smeroval smerem "proc vyzaduje alespon 5 znaku, proc nenechat zabezpeceni na uzivateli".

Hm, proc se to heslo vlastne uklada? A kdyz uz sme u toho, tak proc v plaintextu?

Musim priznat, ze tohle se mi moc nelibi...

On Fri, 10 Feb 2012 13:26:58 +0100 Pavel Snajdr snajpa@snajpa.net wrote:

...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

...
Ahoj,

...
urcite nechci, aby vpsAdmin umoznoval ulozeni dlouhych hesel, protoze to heslo je pak v plaintextu v databazi vpsAdminu.

...
To ma bejt hlavne na to, aby ses dostal do VPS poprvy, nebo kdyz zapomenes heslo.

...
Pavel Snajdr

...
+420 720 107 791

...
http://vpsfree.cz

...
On 02/10/2012 11:30 AM, Tomas Volf wrote:

...
Ahoj, jenom takova myslenka... vpsAdmin vynucuje delka hesla pro roota 5 a vice znaku... Mne osobne se nelibi "vynucena" bezpecnost :) Jenom mne zajima nazor ostatnich na tohle tema...

PS: jo, vim, pres passwd jde heslo roota zmenit klidne na jeden znak :) Tim spis jestli dava smysl neco vynucovat ve vpsAdminovi...

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iF4EAREIAAYFAk81DqAACgkQdh+64ds5DaZv1QEAuMJ6UyaPf3yWHB14FZiPx0xZ QsdmX0Q0v5yDQsCOoKEA/1J+jgDPlihVMBOtS/Zc2B7BMYVOZcTsXa6S8cspzqsn =5omd -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...PGP SIGNATURE...

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) iQIcBAEBAgAGBQJPNRdTAAoJEID0iULc54suaI4P/24BvpHwU1l0aac2q/rU2j0X 6GYPosq0RQfyWtjd5afOJNZvzugPoE0VnkeVip7PxHWalVKgzEkddKF1biw2xZG2 3suetfMBGyzivSIgBKgImNiUz6RqDE2jHHLBwnBUu2ahv7aHdl4+gT4ppkWQAORL z2v2HH3ae6A6IZfhmeuGzdDyXhFozlgHx+lTfiJQ8wM8QZs920RuMSAbxSKXQUSy nF66aVuHMClLbtv3N2l0iHGCzK2LvtUqQZIAgWhD4zV2a0cGwxB/TBdLig08v0b1 v2gZMOn7haRboWwjVz3RIrjNXe4QTdU1d1VxqqPBYmM5xY4O4+lalltoLQqrc3DR Dsh593IgCScTJ0A+UbzYMANu4xEHT9nQutqJqCVrLv6JS9H5mK+iUq7/9xin8+J8 IMJb8MyMpJ4rn8TiSxnUnhXd39JqRETSIDzMnXtAAD8lXas3FPrfoh8Ss7BXQh1s o92WNmrWfVSOyi4lCbvP6gHyKD3vKxSYvTqg2NeElXSNYgiCwZ7+DfEbhrkeyfm6 AbczqkbhaOFEHrmFjvsDW75Fs5OsNjNV1oWruUIxyxZIMB0tP2vkMMxAJLRnbdKk zk81Y1Nfg2/AHnqza40QDLPVDrmxr43TEk8dT+506IWnORurfENDjayvy7hZsCng T6lPTcIwP3BVMh+AmfQ7 =Lwfm -----END PGP SIGNATURE-----

Tomáš Valoušek

1:44 p.m.

Mě to vůbec nenapadlo, ale tohle je fakt bezpečnostní díra jako prase, která by měla být tou hlavní a nepřehlédnutelnou informací pro každého člena: POZOR, HESLO ZMĚNĚNÉ PŘES VPSADMIN JE ULOŽENÉ KDESI V PLAINTEXTU. ZMĚŇTE SI HESLO POMOCÍ PASSWD!!!!!

Dne 10. února 2012 13:33 Pavel Snajdr snajpa@snajpa.net napsal(a):

...

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

Nelibit se ti to muze, ale to je asi tak vsechno :)

V podstate nemam jinou moznost, musi to tam bejt v nejaky podobe a ta podoba musi bejt rozsifrovatelna - protoze se to uklada ve forme transakci, ktery si pak vyzvedava backend, a ten aby to heslo mohl zmenit ho musi dostat v plaintextu.

Musel bych leda zpetne ty transakce mazat (nepripada v uvahu), nebo je cenzurovat po nastaveni - coz stejne falesnej pocit bezpeci.

Pravda je, ze bych to tam mohl nekde vyznacit, aby to bylo obvious.

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 01:34 PM, Tomas Volf wrote:

...
Ahoj, muj puvodni dotaz spis smeroval smerem "proc vyzaduje alespon 5 znaku,

proc

...
nenechat zabezpeceni na uzivateli".

Hm, proc se to heslo vlastne uklada? A kdyz uz sme u toho, tak proc v plaintextu?

Musim priznat, ze tohle se mi moc nelibi...

On Fri, 10 Feb 2012 13:26:58 +0100 Pavel Snajdr snajpa@snajpa.net wrote:

...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

...
Ahoj,

...
urcite nechci, aby vpsAdmin umoznoval ulozeni dlouhych hesel, protoze to heslo je pak v plaintextu v databazi vpsAdminu.

...
To ma bejt hlavne na to, aby ses dostal do VPS poprvy, nebo kdyz zapomenes heslo.

...
Pavel Snajdr

...
+420 720 107 791

...
http://vpsfree.cz

...
On 02/10/2012 11:30 AM, Tomas Volf wrote:

...
Ahoj, jenom takova myslenka... vpsAdmin vynucuje delka hesla pro roota 5 a

vice

...
...
...
znaku... Mne osobne se nelibi "vynucena" bezpecnost :) Jenom mne zajima nazor ostatnich na tohle tema...

PS: jo, vim, pres passwd jde heslo roota zmenit klidne na jeden znak

:) Tim

...
...
...
spis jestli dava smysl neco vynucovat ve vpsAdminovi...

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iF4EAREIAAYFAk81DqAACgkQdh+64ds5DaZv1QEAuMJ6UyaPf3yWHB14FZiPx0xZ QsdmX0Q0v5yDQsCOoKEA/1J+jgDPlihVMBOtS/Zc2B7BMYVOZcTsXa6S8cspzqsn =5omd -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Pavel Snajdr

1:47 p.m.

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

Jedna vec je vyvolavat paniku, druha vec je o tom nevedet vubec...

Vezmi si, kde vsude davas svoje heslo - NIKDE tomu nemuzes verit.

VSUDE musis mit jine heslo.

A nezapominej, ze stejni lide, kteri maji pristup do te databaze, maji primy pristup na ty VPS.

Proto si myslim, ze je totalne zbytecne vyvolavat paniku.

Ano, je to hnusne reseni, ne, nelibi se mi, ale je to tak a to co pisu vyse je proste pravda.

Takze opravdu, ale opravdu zadna panika netreba, a uz vubec na nas nemusis kricet velkym pismem :)

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 02:44 PM, Tomáš Valoušek wrote:

...

Mě to vůbec nenapadlo, ale tohle je fakt bezpečnostní díra jako prase, která by měla být tou hlavní a nepřehlédnutelnou informací pro každého člena: POZOR, HESLO ZMĚNĚNÉ PŘES VPSADMIN JE ULOŽENÉ KDESI V PLAINTEXTU. ZMĚŇTE SI HESLO POMOCÍ PASSWD!!!!!

Dne 10. února 2012 13:33 Pavel Snajdr <snajpa@snajpa.net mailto:snajpa@snajpa.net> napsal(a):

Nelibit se ti to muze, ale to je asi tak vsechno :)

V podstate nemam jinou moznost, musi to tam bejt v nejaky podobe a ta podoba musi bejt rozsifrovatelna - protoze se to uklada ve forme transakci, ktery si pak vyzvedava backend, a ten aby to heslo mohl zmenit ho musi dostat v plaintextu.

Musel bych leda zpetne ty transakce mazat (nepripada v uvahu), nebo je cenzurovat po nastaveni - coz stejne falesnej pocit bezpeci.

Pravda je, ze bych to tam mohl nekde vyznacit, aby to bylo obvious.

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 01:34 PM, Tomas Volf wrote:

...
Ahoj, muj puvodni dotaz spis smeroval smerem "proc vyzaduje alespon 5

znaku, proc

...
nenechat zabezpeceni na uzivateli".

...
Hm, proc se to heslo vlastne uklada? A kdyz uz sme u toho, tak proc v plaintextu?

...
Musim priznat, ze tohle se mi moc nelibi...

...
On Fri, 10 Feb 2012 13:26:58 +0100 Pavel Snajdr <snajpa@snajpa.net mailto:snajpa@snajpa.net> wrote:

...
...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

...
...
Ahoj,

...
...
urcite nechci, aby vpsAdmin umoznoval ulozeni dlouhych hesel,

protoze to

...
...
heslo je pak v plaintextu v databazi vpsAdminu.

...
...
To ma bejt hlavne na to, aby ses dostal do VPS poprvy, nebo kdyz zapomenes heslo.

...
...
Pavel Snajdr

...
...
+420 720 107 791

...
...
http://vpsfree.cz

...
...
On 02/10/2012 11:30 AM, Tomas Volf wrote:

...
Ahoj, jenom takova myslenka... vpsAdmin vynucuje delka hesla pro roota

5 a vice

...
...
...
znaku... Mne osobne se nelibi "vynucena" bezpecnost :) Jenom mne

zajima

...
...
...
nazor ostatnich na tohle tema...

PS: jo, vim, pres passwd jde heslo roota zmenit klidne na jeden

znak :) Tim

...
...
...
spis jestli dava smysl neco vynucovat ve vpsAdminovi...

Community-list mailing list Community-list@lists.vpsfree.cz

mailto:Community-list@lists.vpsfree.cz

...
...
...
http://lists.vpsfree.cz/listinfo/community-list

Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...PGP SIGNATURE...

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iF4EAREIAAYFAk81H+EACgkQdh+64ds5Daa4twD9EVUCahfSypQceXQEb2QFpo6P IWa9aOnibki1cqp5jZUA/0yVVeFRkBZ8Bk/x9iWp0IlgGUDrHiyqcrRQtai7vF2a =QRuo -----END PGP SIGNATURE-----

Tomas Volf

1:53 p.m.

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Kricet by nemel, ale souhlasim s nim v tom, ze by to u formulare ve vpsAdminu melo byt napsane... :)

On Fri, 10 Feb 2012 14:47:15 +0100 Pavel Snajdr snajpa@snajpa.net wrote:

...

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

Jedna vec je vyvolavat paniku, druha vec je o tom nevedet vubec...

Vezmi si, kde vsude davas svoje heslo - NIKDE tomu nemuzes verit.

VSUDE musis mit jine heslo.

A nezapominej, ze stejni lide, kteri maji pristup do te databaze, maji primy pristup na ty VPS.

Proto si myslim, ze je totalne zbytecne vyvolavat paniku.

Ano, je to hnusne reseni, ne, nelibi se mi, ale je to tak a to co pisu vyse je proste pravda.

Takze opravdu, ale opravdu zadna panika netreba, a uz vubec na nas nemusis kricet velkym pismem :)

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 02:44 PM, Tomáš Valoušek wrote:

...
Mě to vůbec nenapadlo, ale tohle je fakt bezpečnostní díra jako prase, která by měla být tou hlavní a nepřehlédnutelnou informací pro každého člena: POZOR, HESLO ZMĚNĚNÉ PŘES VPSADMIN JE ULOŽENÉ KDESI V PLAINTEXTU. ZMĚŇTE SI HESLO POMOCÍ PASSWD!!!!!

Dne 10. února 2012 13:33 Pavel Snajdr <snajpa@snajpa.net mailto:snajpa@snajpa.net> napsal(a):

Nelibit se ti to muze, ale to je asi tak vsechno :)

V podstate nemam jinou moznost, musi to tam bejt v nejaky podobe a ta podoba musi bejt rozsifrovatelna - protoze se to uklada ve forme transakci, ktery si pak vyzvedava backend, a ten aby to heslo mohl zmenit ho musi dostat v plaintextu.

Musel bych leda zpetne ty transakce mazat (nepripada v uvahu), nebo je cenzurovat po nastaveni - coz stejne falesnej pocit bezpeci.

Pravda je, ze bych to tam mohl nekde vyznacit, aby to bylo obvious.

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 01:34 PM, Tomas Volf wrote:

...
Ahoj, muj puvodni dotaz spis smeroval smerem "proc vyzaduje alespon 5

znaku, proc

...
nenechat zabezpeceni na uzivateli".

...
Hm, proc se to heslo vlastne uklada? A kdyz uz sme u toho, tak proc v plaintextu?

...
Musim priznat, ze tohle se mi moc nelibi...

...
On Fri, 10 Feb 2012 13:26:58 +0100 Pavel Snajdr <snajpa@snajpa.net mailto:snajpa@snajpa.net> wrote:

...
...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

...
...
Ahoj,

...
...
urcite nechci, aby vpsAdmin umoznoval ulozeni dlouhych hesel,

protoze to

...
...
heslo je pak v plaintextu v databazi vpsAdminu.

...
...
To ma bejt hlavne na to, aby ses dostal do VPS poprvy, nebo kdyz zapomenes heslo.

...
...
Pavel Snajdr

...
...
+420 720 107 791

...
...
http://vpsfree.cz

...
...
On 02/10/2012 11:30 AM, Tomas Volf wrote:

...
Ahoj, jenom takova myslenka... vpsAdmin vynucuje delka hesla pro roota

5 a vice

...
...
...
znaku... Mne osobne se nelibi "vynucena" bezpecnost :) Jenom mne

zajima

...
...
...
nazor ostatnich na tohle tema...

PS: jo, vim, pres passwd jde heslo roota zmenit klidne na jeden

znak :) Tim

...
...
...
spis jestli dava smysl neco vynucovat ve vpsAdminovi...

Community-list mailing list Community-list@lists.vpsfree.cz

mailto:Community-list@lists.vpsfree.cz

...
...
...
http://lists.vpsfree.cz/listinfo/community-list

Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iF4EAREIAAYFAk81H+EACgkQdh+64ds5Daa4twD9EVUCahfSypQceXQEb2QFpo6P IWa9aOnibki1cqp5jZUA/0yVVeFRkBZ8Bk/x9iWp0IlgGUDrHiyqcrRQtai7vF2a =QRuo -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...PGP SIGNATURE...

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) iQIcBAEBAgAGBQJPNSFsAAoJEID0iULc54suK24QAMarncUNjtIYMQF2Tcl0bzMP g7oTcwUkatAg+IKUKG4lUIh33hcZGux+VfSZZHUbrcvmKLJ1pGr4CfchuyCYehpn 0FFjJvwGjeLDLEBYR0Eff25wSDpRSUgvAVz/gsktyMbA1NEZFydvp1h1me0yJ310 FdOV1s3pIKMRPCz2j29huaZEtxhhj5sOpNW0CTgk/cUJXHs23sr3snEZt60qibNh +RZBq4rq+QXKKEjZzDo+gGjKRTec5Q0r5Zmkot1TGJCMAVk/FQGWolibgvp0NFkr K3N0v+8SwqHxPQ0WbwaNZ+kaH5Hcoxg9nWqkHaGqAFIxvKTuEuGZEuOJ5yjt58ZU mgE4hM5elVz1J0h1RNt9D1GUiYTW9uBBIJvLNV4aHf7VPWvpHxW66lpLGJnBY/9B qDicb4Nx3VduA859ibjIMvZGD3lYqDLVOoLkdL7i1Vdc3QPkseICYZ27zu3kFmDd jOuJRtsUvz3B5okFDqL5IBp7zQ/dByCgP8s10xU1pDJVb37WxUYNu9MANfpWd5Sg Txzmf+NXtGSGiBxeWMJIZPppDqUSHpkgD3t/OfZ35C78guNbQBzfvBbb9k3xiorp q9T6eYmk/ThbkOD/GBmEpNjpbywg9IQpG1zF5azzm5TdOofbbOxW0BvxXNT54mlI QzlZf/TbriUolvUNh+0V =qYh/ -----END PGP SIGNATURE-----

Adam Motvička

1:57 p.m.

Prosím, je opravdu nutné řešit minimální délku hesla ve vpsAdminu ve třinácti různých emailech v community-listu? Myslím že to není nic, nad čím by se měla dělat takhle sáhodlouhá veřejná diskuze. Brzo takhle každý na podobné emaily ztratí focus.

Adam

Dne 10. února 2012 14:53 Tomas Volf volf.tomas@gmail.com napsal(a):

...

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Kricet by nemel, ale souhlasim s nim v tom, ze by to u formulare ve vpsAdminu melo byt napsane... :)

On Fri, 10 Feb 2012 14:47:15 +0100 Pavel Snajdr snajpa@snajpa.net wrote:

...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

Jedna vec je vyvolavat paniku, druha vec je o tom nevedet vubec...

Vezmi si, kde vsude davas svoje heslo - NIKDE tomu nemuzes verit.

VSUDE musis mit jine heslo.

A nezapominej, ze stejni lide, kteri maji pristup do te databaze, maji primy pristup na ty VPS.

Proto si myslim, ze je totalne zbytecne vyvolavat paniku.

Ano, je to hnusne reseni, ne, nelibi se mi, ale je to tak a to co pisu vyse je proste pravda.

Takze opravdu, ale opravdu zadna panika netreba, a uz vubec na nas nemusis kricet velkym pismem :)

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 02:44 PM, Tomáš Valoušek wrote:

...
Mě to vůbec nenapadlo, ale tohle je fakt bezpečnostní díra jako prase, která by měla být tou hlavní a nepřehlédnutelnou informací pro každého člena: POZOR, HESLO ZMĚNĚNÉ PŘES VPSADMIN JE ULOŽENÉ KDESI V PLAINTEXTU. ZMĚŇTE SI HESLO POMOCÍ PASSWD!!!!!

Dne 10. února 2012 13:33 Pavel Snajdr <snajpa@snajpa.net mailto:snajpa@snajpa.net> napsal(a):

Nelibit se ti to muze, ale to je asi tak vsechno :)

V podstate nemam jinou moznost, musi to tam bejt v nejaky podobe a ta podoba musi bejt rozsifrovatelna - protoze se to uklada ve forme transakci, ktery si pak vyzvedava backend, a ten aby to heslo mohl zmenit ho musi dostat v plaintextu.

Musel bych leda zpetne ty transakce mazat (nepripada v uvahu), nebo je cenzurovat po nastaveni - coz stejne falesnej pocit bezpeci.

Pravda je, ze bych to tam mohl nekde vyznacit, aby to bylo obvious.

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 01:34 PM, Tomas Volf wrote:

...
Ahoj, muj puvodni dotaz spis smeroval smerem "proc vyzaduje alespon 5

znaku, proc

...
nenechat zabezpeceni na uzivateli".

...
Hm, proc se to heslo vlastne uklada? A kdyz uz sme u toho, tak proc v plaintextu?

...
Musim priznat, ze tohle se mi moc nelibi...

...
On Fri, 10 Feb 2012 13:26:58 +0100 Pavel Snajdr <snajpa@snajpa.net mailto:snajpa@snajpa.net> wrote:

...
...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

...
...
Ahoj,

...
...
urcite nechci, aby vpsAdmin umoznoval ulozeni dlouhych hesel,

protoze to

...
...
heslo je pak v plaintextu v databazi vpsAdminu.

...
...
To ma bejt hlavne na to, aby ses dostal do VPS poprvy, nebo kdyz zapomenes heslo.

...
...
Pavel Snajdr

...
...
+420 720 107 791

...
...
http://vpsfree.cz

...
...
On 02/10/2012 11:30 AM, Tomas Volf wrote:

...
Ahoj, jenom takova myslenka... vpsAdmin vynucuje delka hesla pro roota

5 a vice

...
...
...
znaku... Mne osobne se nelibi "vynucena" bezpecnost :) Jenom mne

zajima

...
...
...
nazor ostatnich na tohle tema...

PS: jo, vim, pres passwd jde heslo roota zmenit klidne na jeden

znak :) Tim

...
...
...
spis jestli dava smysl neco vynucovat ve vpsAdminovi...

Community-list mailing list Community-list@lists.vpsfree.cz

mailto:Community-list@lists.vpsfree.cz

...
...
...
http://lists.vpsfree.cz/listinfo/community-list

Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iF4EAREIAAYFAk81H+EACgkQdh+64ds5Daa4twD9EVUCahfSypQceXQEb2QFpo6P IWa9aOnibki1cqp5jZUA/0yVVeFRkBZ8Bk/x9iWp0IlgGUDrHiyqcrRQtai7vF2a =QRuo -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux)

iQIcBAEBAgAGBQJPNSFsAAoJEID0iULc54suK24QAMarncUNjtIYMQF2Tcl0bzMP g7oTcwUkatAg+IKUKG4lUIh33hcZGux+VfSZZHUbrcvmKLJ1pGr4CfchuyCYehpn 0FFjJvwGjeLDLEBYR0Eff25wSDpRSUgvAVz/gsktyMbA1NEZFydvp1h1me0yJ310 FdOV1s3pIKMRPCz2j29huaZEtxhhj5sOpNW0CTgk/cUJXHs23sr3snEZt60qibNh +RZBq4rq+QXKKEjZzDo+gGjKRTec5Q0r5Zmkot1TGJCMAVk/FQGWolibgvp0NFkr K3N0v+8SwqHxPQ0WbwaNZ+kaH5Hcoxg9nWqkHaGqAFIxvKTuEuGZEuOJ5yjt58ZU mgE4hM5elVz1J0h1RNt9D1GUiYTW9uBBIJvLNV4aHf7VPWvpHxW66lpLGJnBY/9B qDicb4Nx3VduA859ibjIMvZGD3lYqDLVOoLkdL7i1Vdc3QPkseICYZ27zu3kFmDd jOuJRtsUvz3B5okFDqL5IBp7zQ/dByCgP8s10xU1pDJVb37WxUYNu9MANfpWd5Sg Txzmf+NXtGSGiBxeWMJIZPppDqUSHpkgD3t/OfZ35C78guNbQBzfvBbb9k3xiorp q9T6eYmk/ThbkOD/GBmEpNjpbywg9IQpG1zF5azzm5TdOofbbOxW0BvxXNT54mlI QzlZf/TbriUolvUNh+0V =qYh/ -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Tomas Volf

2:04 p.m.

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Nj, lidi prestanou davat pozor, procti si to a zjistis ze uz resime neco jineho ;)

On Fri, 10 Feb 2012 14:57:22 +0100 Adam Motvička adam@motvicka.cz wrote:

...

Prosím, je opravdu nutné řešit minimální délku hesla ve vpsAdminu ve třinácti různých emailech v community-listu? Myslím že to není nic, nad čím by se měla dělat takhle sáhodlouhá veřejná diskuze. Brzo takhle každý na podobné emaily ztratí focus.

Adam

Dne 10. února 2012 14:53 Tomas Volf volf.tomas@gmail.com napsal(a):

...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Kricet by nemel, ale souhlasim s nim v tom, ze by to u formulare ve vpsAdminu melo byt napsane... :)

On Fri, 10 Feb 2012 14:47:15 +0100 Pavel Snajdr snajpa@snajpa.net wrote:

...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

Jedna vec je vyvolavat paniku, druha vec je o tom nevedet vubec...

Vezmi si, kde vsude davas svoje heslo - NIKDE tomu nemuzes verit.

VSUDE musis mit jine heslo.

A nezapominej, ze stejni lide, kteri maji pristup do te databaze, maji primy pristup na ty VPS.

Proto si myslim, ze je totalne zbytecne vyvolavat paniku.

Ano, je to hnusne reseni, ne, nelibi se mi, ale je to tak a to co pisu vyse je proste pravda.

Takze opravdu, ale opravdu zadna panika netreba, a uz vubec na nas nemusis kricet velkym pismem :)

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 02:44 PM, Tomáš Valoušek wrote:

...
Mě to vůbec nenapadlo, ale tohle je fakt bezpečnostní díra jako prase, která by měla být tou hlavní a nepřehlédnutelnou informací pro každého člena: POZOR, HESLO ZMĚNĚNÉ PŘES VPSADMIN JE ULOŽENÉ KDESI V PLAINTEXTU. ZMĚŇTE SI HESLO POMOCÍ PASSWD!!!!!

Dne 10. února 2012 13:33 Pavel Snajdr <snajpa@snajpa.net mailto:snajpa@snajpa.net> napsal(a):

Nelibit se ti to muze, ale to je asi tak vsechno :)

V podstate nemam jinou moznost, musi to tam bejt v nejaky podobe a ta podoba musi bejt rozsifrovatelna - protoze se to uklada ve forme transakci, ktery si pak vyzvedava backend, a ten aby to heslo mohl zmenit ho musi dostat v plaintextu.

Musel bych leda zpetne ty transakce mazat (nepripada v uvahu), nebo je cenzurovat po nastaveni - coz stejne falesnej pocit bezpeci.

Pravda je, ze bych to tam mohl nekde vyznacit, aby to bylo obvious.

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 01:34 PM, Tomas Volf wrote:

...
Ahoj, muj puvodni dotaz spis smeroval smerem "proc vyzaduje alespon 5

znaku, proc

...
nenechat zabezpeceni na uzivateli".

...
Hm, proc se to heslo vlastne uklada? A kdyz uz sme u toho, tak proc v plaintextu?

...
Musim priznat, ze tohle se mi moc nelibi...

...
On Fri, 10 Feb 2012 13:26:58 +0100 Pavel Snajdr <snajpa@snajpa.net mailto:snajpa@snajpa.net> wrote:

...
...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

...
...
Ahoj,

...
...
urcite nechci, aby vpsAdmin umoznoval ulozeni dlouhych hesel,

protoze to

...
...
heslo je pak v plaintextu v databazi vpsAdminu.

...
...
To ma bejt hlavne na to, aby ses dostal do VPS poprvy, nebo kdyz zapomenes heslo.

...
...
Pavel Snajdr

...
...
+420 720 107 791

...
...
http://vpsfree.cz

...
...
On 02/10/2012 11:30 AM, Tomas Volf wrote: > Ahoj, > jenom takova myslenka... vpsAdmin vynucuje delka hesla pro roota

5 a vice

...
...
> znaku... Mne osobne se nelibi "vynucena" bezpecnost :) Jenom mne

zajima

...
...
> nazor ostatnich na tohle tema... > > PS: jo, vim, pres passwd jde heslo roota zmenit klidne na jeden

znak :) Tim

...
...
> spis jestli dava smysl neco vynucovat ve vpsAdminovi... > > > > _______________________________________________ > Community-list mailing list > Community-list@lists.vpsfree.cz

mailto:Community-list@lists.vpsfree.cz

...
...
> http://lists.vpsfree.cz/listinfo/community-list

Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iF4EAREIAAYFAk81H+EACgkQdh+64ds5Daa4twD9EVUCahfSypQceXQEb2QFpo6P IWa9aOnibki1cqp5jZUA/0yVVeFRkBZ8Bk/x9iWp0IlgGUDrHiyqcrRQtai7vF2a =QRuo -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux)

iQIcBAEBAgAGBQJPNSFsAAoJEID0iULc54suK24QAMarncUNjtIYMQF2Tcl0bzMP g7oTcwUkatAg+IKUKG4lUIh33hcZGux+VfSZZHUbrcvmKLJ1pGr4CfchuyCYehpn 0FFjJvwGjeLDLEBYR0Eff25wSDpRSUgvAVz/gsktyMbA1NEZFydvp1h1me0yJ310 FdOV1s3pIKMRPCz2j29huaZEtxhhj5sOpNW0CTgk/cUJXHs23sr3snEZt60qibNh +RZBq4rq+QXKKEjZzDo+gGjKRTec5Q0r5Zmkot1TGJCMAVk/FQGWolibgvp0NFkr K3N0v+8SwqHxPQ0WbwaNZ+kaH5Hcoxg9nWqkHaGqAFIxvKTuEuGZEuOJ5yjt58ZU mgE4hM5elVz1J0h1RNt9D1GUiYTW9uBBIJvLNV4aHf7VPWvpHxW66lpLGJnBY/9B qDicb4Nx3VduA859ibjIMvZGD3lYqDLVOoLkdL7i1Vdc3QPkseICYZ27zu3kFmDd jOuJRtsUvz3B5okFDqL5IBp7zQ/dByCgP8s10xU1pDJVb37WxUYNu9MANfpWd5Sg Txzmf+NXtGSGiBxeWMJIZPppDqUSHpkgD3t/OfZ35C78guNbQBzfvBbb9k3xiorp q9T6eYmk/ThbkOD/GBmEpNjpbywg9IQpG1zF5azzm5TdOofbbOxW0BvxXNT54mlI QzlZf/TbriUolvUNh+0V =qYh/ -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...PGP SIGNATURE...

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) iQIcBAEBAgAGBQJPNSPUAAoJEID0iULc54suNkkQAM/PgtvC9BpQnHy0nV7PJPzm Ix0WT/LXcIyXKljbtk0uqzdomDeL2YGp1vJrwq68jOoutCYTWR8sWIaHBysa2Krk NWbGY69D1xX02zoc8SN/BK8A7gyrFlxYGclal2EKr729ARme2oo5cNv/5zz+0Lkv KGlp1yq3aStbjAEbXoss/kd8bGcoN6+QMeJoAxljCJdSjn5JJe46vFrP90kgkwhR Uk38picmgz/oqLSZ9WZauZFDacVjH6kl6YnEjRRltodRDABRE8LZzWoBIEhIofE2 sCBTw9cEixPTe8ilEO+7mfjsbXiVoWW/PbQggGcm0W+7v9ikT5glsDsPB7HReLT2 +jPVpwHCe9ywM0N0CBMom9tiYbx0VUwFft7KYX3T4p2U7lo8BDU9vQrcz2E052Vd shaD72OPwwg+qjiZU/9mIvQQ2pZ0XuxTJ75uxrw0139lCbuB4oySUk0BZMHNJXrt CC4sCcXKUiCD2JC32HH4L99rbQA9qk2KmPY89jSwZiqGjQoMw5W2VerPF71hslkp dzJ7bw6QWABnr2OfveZi6e8wMA4N34l+2fb6xDXzN6oAgpfFEnR0ebOFNu6g4iIB gxUdfsAguf1CtpMmpeVg62zV89GW1EpXliZKDJUNa/zYbIMb0+t6HjNzMZmViIjw c8CMQ2qnpMdMnJeyJzgr =6TaP -----END PGP SIGNATURE-----

Adam Motvička

2:03 p.m.

Já tady v subjectu čtu: "vpsAdmin delka root hesla". Přečtu prvních několik nesmyslných emailů a zbytek prostě nemám sílů číst, jelikož se dle mého jedná o nesmyslnou diskuzi. Pokud o 5 mailů dál ve stejném vlákně řešíte něco jiného, důležitějšího, co už se opravdu "community-listu" týká...?

Dne 10. února 2012 15:04 Tomas Volf volf.tomas@gmail.com napsal(a):

...

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Nj, lidi prestanou davat pozor, procti si to a zjistis ze uz resime neco jineho ;)

On Fri, 10 Feb 2012 14:57:22 +0100 Adam Motvička adam@motvicka.cz wrote:

...
Prosím, je opravdu nutné řešit minimální délku hesla ve vpsAdminu ve třinácti různých emailech v community-listu? Myslím že to není nic, nad

čím

...
by se měla dělat takhle sáhodlouhá veřejná diskuze. Brzo takhle každý na podobné emaily ztratí focus.

Adam

Dne 10. února 2012 14:53 Tomas Volf volf.tomas@gmail.com napsal(a):

...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Kricet by nemel, ale souhlasim s nim v tom, ze by to u formulare ve vpsAdminu melo byt napsane... :)

On Fri, 10 Feb 2012 14:47:15 +0100 Pavel Snajdr snajpa@snajpa.net wrote:

...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

Jedna vec je vyvolavat paniku, druha vec je o tom nevedet vubec...

Vezmi si, kde vsude davas svoje heslo - NIKDE tomu nemuzes verit.

VSUDE musis mit jine heslo.

A nezapominej, ze stejni lide, kteri maji pristup do te databaze,

maji

...
...
...
primy pristup na ty VPS.

Proto si myslim, ze je totalne zbytecne vyvolavat paniku.

Ano, je to hnusne reseni, ne, nelibi se mi, ale je to tak a to co

pisu

...
...
...
vyse je proste pravda.

Takze opravdu, ale opravdu zadna panika netreba, a uz vubec na nas nemusis kricet velkym pismem :)

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 02:44 PM, Tomáš Valoušek wrote:

...
Mě to vůbec nenapadlo, ale tohle je fakt bezpečnostní díra jako prase, která by měla být tou hlavní a nepřehlédnutelnou informací pro každého člena: POZOR, HESLO ZMĚNĚNÉ PŘES VPSADMIN JE ULOŽENÉ KDESI V PLAINTEXTU. ZMĚŇTE SI HESLO POMOCÍ PASSWD!!!!!

Dne 10. února 2012 13:33 Pavel Snajdr <snajpa@snajpa.net mailto:snajpa@snajpa.net> napsal(a):

Nelibit se ti to muze, ale to je asi tak vsechno :)

V podstate nemam jinou moznost, musi to tam bejt v nejaky podobe a ta podoba musi bejt rozsifrovatelna - protoze se to uklada ve forme transakci, ktery si pak vyzvedava backend, a ten aby to heslo mohl zmenit ho musi dostat v plaintextu.

Musel bych leda zpetne ty transakce mazat (nepripada v uvahu), nebo je cenzurovat po nastaveni - coz stejne falesnej pocit bezpeci.

Pravda je, ze bych to tam mohl nekde vyznacit, aby to bylo obvious.

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 01:34 PM, Tomas Volf wrote:

...
Ahoj, muj puvodni dotaz spis smeroval smerem "proc vyzaduje alespon 5

znaku, proc

...
nenechat zabezpeceni na uzivateli".

...
Hm, proc se to heslo vlastne uklada? A kdyz uz sme u toho, tak proc v plaintextu?

...
Musim priznat, ze tohle se mi moc nelibi...

...
On Fri, 10 Feb 2012 13:26:58 +0100 Pavel Snajdr <snajpa@snajpa.net mailto:snajpa@snajpa.net>

wrote:

...
...
...
...
...
> -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA256

...
> Ahoj,

...
> urcite nechci, aby vpsAdmin umoznoval ulozeni dlouhych hesel,

protoze to

...
> heslo je pak v plaintextu v databazi vpsAdminu.

...
> To ma bejt hlavne na to, aby ses dostal do VPS poprvy, nebo kdyz > zapomenes heslo.

...
> Pavel Snajdr

...
> +420 720 107 791

...
> http://vpsfree.cz

...
> On 02/10/2012 11:30 AM, Tomas Volf wrote: >> Ahoj, >> jenom takova myslenka... vpsAdmin vynucuje delka hesla pro roota

5 a vice

...
>> znaku... Mne osobne se nelibi "vynucena" bezpecnost :) Jenom mne

zajima

...
>> nazor ostatnich na tohle tema... >> >> PS: jo, vim, pres passwd jde heslo roota zmenit klidne na jeden

znak :) Tim

...
>> spis jestli dava smysl neco vynucovat ve vpsAdminovi... >> >> >> >> _______________________________________________ >> Community-list mailing list >> Community-list@lists.vpsfree.cz

mailto:Community-list@lists.vpsfree.cz

...
>> http://lists.vpsfree.cz/listinfo/community-list >

Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iF4EAREIAAYFAk81H+EACgkQdh+64ds5Daa4twD9EVUCahfSypQceXQEb2QFpo6P IWa9aOnibki1cqp5jZUA/0yVVeFRkBZ8Bk/x9iWp0IlgGUDrHiyqcrRQtai7vF2a =QRuo -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux)

iQIcBAEBAgAGBQJPNSFsAAoJEID0iULc54suK24QAMarncUNjtIYMQF2Tcl0bzMP g7oTcwUkatAg+IKUKG4lUIh33hcZGux+VfSZZHUbrcvmKLJ1pGr4CfchuyCYehpn 0FFjJvwGjeLDLEBYR0Eff25wSDpRSUgvAVz/gsktyMbA1NEZFydvp1h1me0yJ310 FdOV1s3pIKMRPCz2j29huaZEtxhhj5sOpNW0CTgk/cUJXHs23sr3snEZt60qibNh +RZBq4rq+QXKKEjZzDo+gGjKRTec5Q0r5Zmkot1TGJCMAVk/FQGWolibgvp0NFkr K3N0v+8SwqHxPQ0WbwaNZ+kaH5Hcoxg9nWqkHaGqAFIxvKTuEuGZEuOJ5yjt58ZU mgE4hM5elVz1J0h1RNt9D1GUiYTW9uBBIJvLNV4aHf7VPWvpHxW66lpLGJnBY/9B qDicb4Nx3VduA859ibjIMvZGD3lYqDLVOoLkdL7i1Vdc3QPkseICYZ27zu3kFmDd jOuJRtsUvz3B5okFDqL5IBp7zQ/dByCgP8s10xU1pDJVb37WxUYNu9MANfpWd5Sg Txzmf+NXtGSGiBxeWMJIZPppDqUSHpkgD3t/OfZ35C78guNbQBzfvBbb9k3xiorp q9T6eYmk/ThbkOD/GBmEpNjpbywg9IQpG1zF5azzm5TdOofbbOxW0BvxXNT54mlI QzlZf/TbriUolvUNh+0V =qYh/ -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux)

iQIcBAEBAgAGBQJPNSPUAAoJEID0iULc54suNkkQAM/PgtvC9BpQnHy0nV7PJPzm Ix0WT/LXcIyXKljbtk0uqzdomDeL2YGp1vJrwq68jOoutCYTWR8sWIaHBysa2Krk NWbGY69D1xX02zoc8SN/BK8A7gyrFlxYGclal2EKr729ARme2oo5cNv/5zz+0Lkv KGlp1yq3aStbjAEbXoss/kd8bGcoN6+QMeJoAxljCJdSjn5JJe46vFrP90kgkwhR Uk38picmgz/oqLSZ9WZauZFDacVjH6kl6YnEjRRltodRDABRE8LZzWoBIEhIofE2 sCBTw9cEixPTe8ilEO+7mfjsbXiVoWW/PbQggGcm0W+7v9ikT5glsDsPB7HReLT2 +jPVpwHCe9ywM0N0CBMom9tiYbx0VUwFft7KYX3T4p2U7lo8BDU9vQrcz2E052Vd shaD72OPwwg+qjiZU/9mIvQQ2pZ0XuxTJ75uxrw0139lCbuB4oySUk0BZMHNJXrt CC4sCcXKUiCD2JC32HH4L99rbQA9qk2KmPY89jSwZiqGjQoMw5W2VerPF71hslkp dzJ7bw6QWABnr2OfveZi6e8wMA4N34l+2fb6xDXzN6oAgpfFEnR0ebOFNu6g4iIB gxUdfsAguf1CtpMmpeVg62zV89GW1EpXliZKDJUNa/zYbIMb0+t6HjNzMZmViIjw c8CMQ2qnpMdMnJeyJzgr =6TaP -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Tomas Volf

2:09 p.m.

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Tak v ramci teto debaty jsme zjistili, ze hesla nastavena pres vpsadmin jsou v db v plaintextu, tak ted se debatuje co s tim. Kdyz uz se na to prislo a zacalo se to resit v tomto vlakne, aspon ja nevim jak relevantni emaily presunout jinam.

On Fri, 10 Feb 2012 15:03:45 +0100 Adam Motvička adam@motvicka.cz wrote:

...

Já tady v subjectu čtu: "vpsAdmin delka root hesla". Přečtu prvních několik nesmyslných emailů a zbytek prostě nemám sílů číst, jelikož se dle mého jedná o nesmyslnou diskuzi. Pokud o 5 mailů dál ve stejném vlákně řešíte něco jiného, důležitějšího, co už se opravdu "community-listu" týká...?

Dne 10. února 2012 15:04 Tomas Volf volf.tomas@gmail.com napsal(a):

...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Nj, lidi prestanou davat pozor, procti si to a zjistis ze uz resime neco jineho ;)

On Fri, 10 Feb 2012 14:57:22 +0100 Adam Motvička adam@motvicka.cz wrote:

...
Prosím, je opravdu nutné řešit minimální délku hesla ve vpsAdminu ve třinácti různých emailech v community-listu? Myslím že to není nic, nad

čím

...
by se měla dělat takhle sáhodlouhá veřejná diskuze. Brzo takhle každý na podobné emaily ztratí focus.

Adam

Dne 10. února 2012 14:53 Tomas Volf volf.tomas@gmail.com napsal(a):

...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Kricet by nemel, ale souhlasim s nim v tom, ze by to u formulare ve vpsAdminu melo byt napsane... :)

On Fri, 10 Feb 2012 14:47:15 +0100 Pavel Snajdr snajpa@snajpa.net wrote:

...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

Jedna vec je vyvolavat paniku, druha vec je o tom nevedet vubec...

Vezmi si, kde vsude davas svoje heslo - NIKDE tomu nemuzes verit.

VSUDE musis mit jine heslo.

A nezapominej, ze stejni lide, kteri maji pristup do te databaze,

maji

...
...
...
primy pristup na ty VPS.

Proto si myslim, ze je totalne zbytecne vyvolavat paniku.

Ano, je to hnusne reseni, ne, nelibi se mi, ale je to tak a to co

pisu

...
...
...
vyse je proste pravda.

Takze opravdu, ale opravdu zadna panika netreba, a uz vubec na nas nemusis kricet velkym pismem :)

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 02:44 PM, Tomáš Valoušek wrote:

...
Mě to vůbec nenapadlo, ale tohle je fakt bezpečnostní díra jako prase, která by měla být tou hlavní a nepřehlédnutelnou informací pro každého člena: POZOR, HESLO ZMĚNĚNÉ PŘES VPSADMIN JE ULOŽENÉ KDESI V PLAINTEXTU. ZMĚŇTE SI HESLO POMOCÍ PASSWD!!!!!

Dne 10. února 2012 13:33 Pavel Snajdr <snajpa@snajpa.net mailto:snajpa@snajpa.net> napsal(a):

Nelibit se ti to muze, ale to je asi tak vsechno :)

V podstate nemam jinou moznost, musi to tam bejt v nejaky podobe a ta podoba musi bejt rozsifrovatelna - protoze se to uklada ve forme transakci, ktery si pak vyzvedava backend, a ten aby to heslo mohl zmenit ho musi dostat v plaintextu.

Musel bych leda zpetne ty transakce mazat (nepripada v uvahu), nebo je cenzurovat po nastaveni - coz stejne falesnej pocit bezpeci.

Pravda je, ze bych to tam mohl nekde vyznacit, aby to bylo obvious.

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 01:34 PM, Tomas Volf wrote: > Ahoj, > muj puvodni dotaz spis smeroval smerem "proc vyzaduje > alespon 5 znaku, proc > nenechat zabezpeceni na uzivateli".

> Hm, proc se to heslo vlastne uklada? A kdyz uz sme u toho, > tak proc v plaintextu?

> Musim priznat, ze tohle se mi moc nelibi...

> On Fri, 10 Feb 2012 13:26:58 +0100 > Pavel Snajdr <snajpa@snajpa.net mailto:snajpa@snajpa.net>

wrote:

...
...
...
...
>> -----BEGIN PGP SIGNED MESSAGE----- >> Hash: SHA256

>> Ahoj,

>> urcite nechci, aby vpsAdmin umoznoval ulozeni dlouhych >> hesel, protoze to >> heslo je pak v plaintextu v databazi vpsAdminu.

>> To ma bejt hlavne na to, aby ses dostal do VPS poprvy, >> nebo kdyz zapomenes heslo.

>> Pavel Snajdr

>> +420 720 107 791

>> http://vpsfree.cz

>> On 02/10/2012 11:30 AM, Tomas Volf wrote: >>> Ahoj, >>> jenom takova myslenka... vpsAdmin vynucuje delka hesla >>> pro roota 5 a vice >>> znaku... Mne osobne se nelibi "vynucena" bezpecnost :) >>> Jenom mne zajima >>> nazor ostatnich na tohle tema... >>> >>> PS: jo, vim, pres passwd jde heslo roota zmenit klidne >>> na jeden znak :) Tim >>> spis jestli dava smysl neco vynucovat ve vpsAdminovi... >>> >>> >>> >>> _______________________________________________ >>> Community-list mailing list >>> Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz >>> http://lists.vpsfree.cz/listinfo/community-list >>

Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iF4EAREIAAYFAk81H+EACgkQdh+64ds5Daa4twD9EVUCahfSypQceXQEb2QFpo6P IWa9aOnibki1cqp5jZUA/0yVVeFRkBZ8Bk/x9iWp0IlgGUDrHiyqcrRQtai7vF2a =QRuo -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux)

iQIcBAEBAgAGBQJPNSFsAAoJEID0iULc54suK24QAMarncUNjtIYMQF2Tcl0bzMP g7oTcwUkatAg+IKUKG4lUIh33hcZGux+VfSZZHUbrcvmKLJ1pGr4CfchuyCYehpn 0FFjJvwGjeLDLEBYR0Eff25wSDpRSUgvAVz/gsktyMbA1NEZFydvp1h1me0yJ310 FdOV1s3pIKMRPCz2j29huaZEtxhhj5sOpNW0CTgk/cUJXHs23sr3snEZt60qibNh +RZBq4rq+QXKKEjZzDo+gGjKRTec5Q0r5Zmkot1TGJCMAVk/FQGWolibgvp0NFkr K3N0v+8SwqHxPQ0WbwaNZ+kaH5Hcoxg9nWqkHaGqAFIxvKTuEuGZEuOJ5yjt58ZU mgE4hM5elVz1J0h1RNt9D1GUiYTW9uBBIJvLNV4aHf7VPWvpHxW66lpLGJnBY/9B qDicb4Nx3VduA859ibjIMvZGD3lYqDLVOoLkdL7i1Vdc3QPkseICYZ27zu3kFmDd jOuJRtsUvz3B5okFDqL5IBp7zQ/dByCgP8s10xU1pDJVb37WxUYNu9MANfpWd5Sg Txzmf+NXtGSGiBxeWMJIZPppDqUSHpkgD3t/OfZ35C78guNbQBzfvBbb9k3xiorp q9T6eYmk/ThbkOD/GBmEpNjpbywg9IQpG1zF5azzm5TdOofbbOxW0BvxXNT54mlI QzlZf/TbriUolvUNh+0V =qYh/ -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux)

iQIcBAEBAgAGBQJPNSPUAAoJEID0iULc54suNkkQAM/PgtvC9BpQnHy0nV7PJPzm Ix0WT/LXcIyXKljbtk0uqzdomDeL2YGp1vJrwq68jOoutCYTWR8sWIaHBysa2Krk NWbGY69D1xX02zoc8SN/BK8A7gyrFlxYGclal2EKr729ARme2oo5cNv/5zz+0Lkv KGlp1yq3aStbjAEbXoss/kd8bGcoN6+QMeJoAxljCJdSjn5JJe46vFrP90kgkwhR Uk38picmgz/oqLSZ9WZauZFDacVjH6kl6YnEjRRltodRDABRE8LZzWoBIEhIofE2 sCBTw9cEixPTe8ilEO+7mfjsbXiVoWW/PbQggGcm0W+7v9ikT5glsDsPB7HReLT2 +jPVpwHCe9ywM0N0CBMom9tiYbx0VUwFft7KYX3T4p2U7lo8BDU9vQrcz2E052Vd shaD72OPwwg+qjiZU/9mIvQQ2pZ0XuxTJ75uxrw0139lCbuB4oySUk0BZMHNJXrt CC4sCcXKUiCD2JC32HH4L99rbQA9qk2KmPY89jSwZiqGjQoMw5W2VerPF71hslkp dzJ7bw6QWABnr2OfveZi6e8wMA4N34l+2fb6xDXzN6oAgpfFEnR0ebOFNu6g4iIB gxUdfsAguf1CtpMmpeVg62zV89GW1EpXliZKDJUNa/zYbIMb0+t6HjNzMZmViIjw c8CMQ2qnpMdMnJeyJzgr =6TaP -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...PGP SIGNATURE...

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.12 (GNU/Linux) iQIcBAEBAgAGBQJPNSUqAAoJEID0iULc54suzPAQAOV8Eu6qi/gBFB2c8ovkhWiZ A8XBAU0yk4gsQW7mvav4ltIK6T4LezvTuePiFxUbLzPR23vZyaChGKE77PYxlmM9 2OZ77tjUcxMgMvrNdKG5ORPYQdy2A6eVbY3F67cUQIS1d0y9cy/4bPl3G+vGiBoA 791m1eTdERhoIHna4Y9mmAfy7cHGCensiCx8KeGQ9aDYPv959CUx0fGmycXvZwaw qBcwuSzPZbk8klEyYXQALC0HfEYPKHDdt5gWevnNbgqOh7dUWxk7Ga04AmNtg8CR zLsGSHpK3m3JoFtipwZ8z7LljfEfSvw+99QwAYC6cDDCRqnlmJrkKeMpvvxRh9Fq DD6vZJ/aXhdhlX2/MITzPszESkRdeOdaUCn6g8eK/L9KBaGh+YTEgSo/zGAgENDH 79xBy4+/JvmwjpYIv4xZj/95c6PNtIG+tqSA3dI1m+urlbQiuVQwJdpH5cztPwxf RkiQp0AtlCfPPyfPWPGrf+yQbYMtDWTZOWCNa29+HC+3JDXsJstFlWAoBHLC+fhR UucCo4cRGxfQTzkslTO1jtTf5AM50ioBgOjXX2i7o6+nVZ3BrPJp+eowebNvXfUL 6cpxooK4UhvARHb8r8kb8dV7xF7e7lR8HszrVYLLjwXAEYyVDxax44CA4RHkq4D9 0ScxW5no9gUFAkEwzTv6 =oPjb -----END PGP SIGNATURE-----

František Kučera

2:59 p.m.

New subject: poznámky ke konferenci

Dne 10.2.2012 15:09, Tomas Volf napsal(a):

...

aspon ja nevim jak relevantni emaily presunout jinam.

Stačí změnit předmět e-mailu (a pokud je to hodně mimo původní téma, neposílat to jako odpověď, ale jako nový e-mail do konference)

BTW: taky není nutné, aby tu byly kilometr dlouhé citace předchozích e-mailů – všem by snad mělo fungovat řazení e-mailů do vláken (stromový pohled).

Franta

Tomáš Volf

4:44 p.m.

New subject: [vpsFree.cz: community-list] poznámky ke konferenci

Tak to vim, ale uz pred tim byly jine relevantni maily... Kazdopadne chapu jak to myslis, do budoucna se budu snazit vice drzet relevance.

No, a kazdemu by melo fungovat baleni citaci ne? :-P

10.02.12, František Kučera xkucf03@seznam.cz:

...

Dne 10.2.2012 15:09, Tomas Volf napsal(a):

...
aspon ja nevim jak relevantni emaily presunout jinam.

Stačí změnit předmět e-mailu (a pokud je to hodně mimo původní téma, neposílat to jako odpověď, ale jako nový e-mail do konference)

BTW: taky není nutné, aby tu byly kilometr dlouhé citace předchozích e-mailů – všem by snad mělo fungovat řazení e-mailů do vláken (stromový pohled).

Franta

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-- Odesláno z mobilního zařízení Tomas P4l4cl][n Volf -- "There are only 10 types of people in the world: Those who understand binary, and those who don't."

Pavel Snajdr

3:39 p.m.

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

Abych uklidnil paranoiky - zamyslim se nad tim a asi dneska v noci to nejak prekodim, databazi promazu.

Pak dam vedet, jak jsem to vymyslel.

Nebudu delat, ze se za ten kod nestydim - vsak jsem to kdysi zacal kodit jako prvni seriozni projekt, tak to tak vypada, od te doby jsem se (snad) dost zvednul na urovni, ale starej kod tam zustal, protoze nebyl cas ho prepsat.

Hodila by se mi pomocna ruka, protoze casu mam po malu.

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 03:09 PM, Tomas Volf wrote:

...

Tak v ramci teto debaty jsme zjistili, ze hesla nastavena pres vpsadmin jsou v db v plaintextu, tak ted se debatuje co s tim. Kdyz uz se na to prislo a zacalo se to resit v tomto vlakne, aspon ja nevim jak relevantni emaily presunout jinam.

On Fri, 10 Feb 2012 15:03:45 +0100 Adam Motvi ka adam@motvicka.cz wrote:

...
Já tady v subjectu tu: "vpsAdmin delka root hesla". PYe tu prvních nkolik nesmyslných emailo a zbytek prost nemám sílo íst, jeliko~ se dle mého jedná o nesmyslnou diskuzi. Pokud o 5 mailo dál ve stejném vlákn Yeaíte nco jiného, dole~itjaího, co u~ se opravdu "community-listu" týká...?

...
Dne 10. února 2012 15:04 Tomas Volf volf.tomas@gmail.com napsal(a):

...
...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Nj, lidi prestanou davat pozor, procti si to a zjistis ze uz resime neco jineho ;)

On Fri, 10 Feb 2012 14:57:22 +0100 Adam Motvi ka adam@motvicka.cz wrote:

...
Prosím, je opravdu nutné Yeait minimální délku hesla ve vpsAdminu ve tYinácti rozných emailech v community-listu? Myslím ~e to není nic, nad

ím

...
by se mla dlat takhle sáhodlouhá veYejná diskuze. Brzo takhle ka~dý na podobné emaily ztratí focus.

Adam

Dne 10. února 2012 14:53 Tomas Volf volf.tomas@gmail.com napsal(a):

...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Kricet by nemel, ale souhlasim s nim v tom, ze by to u formulare ve vpsAdminu melo byt napsane... :)

On Fri, 10 Feb 2012 14:47:15 +0100 Pavel Snajdr snajpa@snajpa.net wrote:

...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

Jedna vec je vyvolavat paniku, druha vec je o tom nevedet vubec...

Vezmi si, kde vsude davas svoje heslo - NIKDE tomu nemuzes verit.

VSUDE musis mit jine heslo.

A nezapominej, ze stejni lide, kteri maji pristup do te databaze,

maji

...
...
...
primy pristup na ty VPS.

Proto si myslim, ze je totalne zbytecne vyvolavat paniku.

Ano, je to hnusne reseni, ne, nelibi se mi, ale je to tak a to co

pisu

...
...
...
vyse je proste pravda.

Takze opravdu, ale opravdu zadna panika netreba, a uz vubec na nas nemusis kricet velkym pismem :)

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 02:44 PM, Tomáa Valouaek wrote: > M to vobec nenapadlo, ale tohle je fakt bezpe nostní díra > jako prase, která by mla být tou hlavní a > nepYehlédnutelnou informací pro ka~dého lena: POZOR, HESLO > ZMNNÉ PXES VPSADMIN JE ULO}ENÉ KDESI V PLAINTEXTU. ZMGTE > SI HESLO POMOCÍ PASSWD!!!!! > > Dne 10. února 2012 13:33 Pavel Snajdr <snajpa@snajpa.net > mailto:snajpa@snajpa.net> napsal(a): > > Nelibit se ti to muze, ale to je asi tak vsechno :) > > V podstate nemam jinou moznost, musi to tam bejt v nejaky > podobe a ta podoba musi bejt rozsifrovatelna - protoze se > to uklada ve forme transakci, ktery si pak vyzvedava > backend, a ten aby to heslo mohl zmenit ho musi dostat v > plaintextu. > > Musel bych leda zpetne ty transakce mazat (nepripada v > uvahu), nebo je cenzurovat po nastaveni - coz stejne > falesnej pocit bezpeci. > > Pravda je, ze bych to tam mohl nekde vyznacit, aby to bylo > obvious. > > Pavel Snajdr > > +420 720 107 791 > > http://vpsfree.cz > > On 02/10/2012 01:34 PM, Tomas Volf wrote: >> Ahoj, >> muj puvodni dotaz spis smeroval smerem "proc vyzaduje >> alespon 5 > znaku, proc >> nenechat zabezpeceni na uzivateli". > >> Hm, proc se to heslo vlastne uklada? A kdyz uz sme u toho, >> tak proc v plaintextu? > >> Musim priznat, ze tohle se mi moc nelibi... > >> On Fri, 10 Feb 2012 13:26:58 +0100 >> Pavel Snajdr <snajpa@snajpa.net mailto:snajpa@snajpa.net>

wrote:

...
...
...
> >>> -----BEGIN PGP SIGNED MESSAGE----- >>> Hash: SHA256 > >>> Ahoj, > >>> urcite nechci, aby vpsAdmin umoznoval ulozeni dlouhych >>> hesel, > protoze to >>> heslo je pak v plaintextu v databazi vpsAdminu. > >>> To ma bejt hlavne na to, aby ses dostal do VPS poprvy, >>> nebo kdyz zapomenes heslo. > >>> Pavel Snajdr > >>> +420 720 107 791 > >>> http://vpsfree.cz > >>> On 02/10/2012 11:30 AM, Tomas Volf wrote: >>>> Ahoj, >>>> jenom takova myslenka... vpsAdmin vynucuje delka hesla >>>> pro roota > 5 a vice >>>> znaku... Mne osobne se nelibi "vynucena" bezpecnost :) >>>> Jenom mne > zajima >>>> nazor ostatnich na tohle tema... >>>> >>>> PS: jo, vim, pres passwd jde heslo roota zmenit klidne >>>> na jeden > znak :) Tim >>>> spis jestli dava smysl neco vynucovat ve vpsAdminovi... >>>> >>>> >>>> >>>> _______________________________________________ >>>> Community-list mailing list >>>> Community-list@lists.vpsfree.cz > mailto:Community-list@lists.vpsfree.cz >>>> http://lists.vpsfree.cz/listinfo/community-list >>> > > _______________________________________________ > Community-list mailing list > Community-list@lists.vpsfree.cz > mailto:Community-list@lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

> _______________________________________________ > Community-list mailing list > Community-list@lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list

_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...PGP SIGNATURE...

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iF4EAREIAAYFAk81OjIACgkQdh+64ds5DaYh+gEAsB1SR59GbbKqyNrGhc1j/VLa DvpoxeHbQFOsjv3BI6EBAN6NAjeUlUic96n+H4avSvJW6AMQUmo13XmuJmf7oODj =YGvB -----END PGP SIGNATURE-----

Tomáš Volf

4:42 p.m.

Jestli mas malo casu, tak plaintext je sice "hnusny", ale postaci pridat k formulari varovani, to vidim jako upravu templatu mozna i na 60 vterin?

Jinak jestli potrebujes pomocnou ruku, rad vypomuzu (kdyz budu umet, aspon se neco dalsiho priucim), ale to asi mimo community list :-) mas na me jak mail tak jabber, tak pripadne se ozvi :-)

10.02.12, Pavel Snajdr snajpa@snajpa.net:

...

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

Abych uklidnil paranoiky - zamyslim se nad tim a asi dneska v noci to nejak prekodim, databazi promazu.

Pak dam vedet, jak jsem to vymyslel.

Nebudu delat, ze se za ten kod nestydim - vsak jsem to kdysi zacal kodit jako prvni seriozni projekt, tak to tak vypada, od te doby jsem se (snad) dost zvednul na urovni, ale starej kod tam zustal, protoze nebyl cas ho prepsat.

Hodila by se mi pomocna ruka, protoze casu mam po malu.

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 03:09 PM, Tomas Volf wrote:

...
Tak v ramci teto debaty jsme zjistili, ze hesla nastavena pres vpsadmin jsou v db v plaintextu, tak ted se debatuje co s tim. Kdyz uz se na to prislo a zacalo se to resit v tomto vlakne, aspon ja nevim jak relevantni emaily presunout jinam.

On Fri, 10 Feb 2012 15:03:45 +0100 Adam Motvi ka adam@motvicka.cz wrote:

...
Já tady v subjectu tu: "vpsAdmin delka root hesla". PYe tu prvních n kolik nesmyslných emailo a zbytek prost nemám sílo íst, jeliko~ se dle mého jedná o nesmyslnou diskuzi. Pokud o 5 mailo dál ve stejném vlákn Yeaíte n co jiného, dole~it jaího, co u~ se opravdu "community-listu" týká...?

...
Dne 10. února 2012 15:04 Tomas Volf volf.tomas@gmail.com napsal(a):

...
...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Nj, lidi prestanou davat pozor, procti si to a zjistis ze uz resime neco jineho ;)

On Fri, 10 Feb 2012 14:57:22 +0100 Adam Motvi ka adam@motvicka.cz wrote:

...
Prosím, je opravdu nutné Yeait minimální délku hesla ve vpsAdminu ve tYinácti rozných emailech v community-listu? Myslím ~e to není nic, nad

ím

...
by se m la d lat takhle sáhodlouhá veYejná diskuze. Brzo takhle ka~dý na podobné emaily ztratí focus.

Adam

Dne 10. února 2012 14:53 Tomas Volf volf.tomas@gmail.com napsal(a):

...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1

Kricet by nemel, ale souhlasim s nim v tom, ze by to u formulare ve vpsAdminu melo byt napsane... :)

On Fri, 10 Feb 2012 14:47:15 +0100 Pavel Snajdr snajpa@snajpa.net wrote:

> -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA256 > > Jedna vec je vyvolavat paniku, druha vec je o tom nevedet > vubec... > > Vezmi si, kde vsude davas svoje heslo - NIKDE tomu nemuzes > verit. > > VSUDE musis mit jine heslo. > > A nezapominej, ze stejni lide, kteri maji pristup do te > databaze,

maji

...
...
> primy pristup na ty VPS. > > Proto si myslim, ze je totalne zbytecne vyvolavat paniku. > > Ano, je to hnusne reseni, ne, nelibi se mi, ale je to tak a > to co

pisu

...
...
> vyse je proste pravda. > > Takze opravdu, ale opravdu zadna panika netreba, a uz vubec > na nas nemusis kricet velkym pismem :) > > Pavel Snajdr > > +420 720 107 791 > > http://vpsfree.cz > > On 02/10/2012 02:44 PM, Tomáa Valouaek wrote: >> M to vobec nenapadlo, ale tohle je fakt bezpe nostní díra >> jako prase, která by m la být tou hlavní a >> nepYehlédnutelnou informací pro ka~dého lena: POZOR, HESLO >> ZM N NÉ PXES VPSADMIN JE ULO}ENÉ KDESI V PLAINTEXTU. ZM GTE >> SI HESLO POMOCÍ PASSWD!!!!! >> >> Dne 10. února 2012 13:33 Pavel Snajdr <snajpa@snajpa.net >> mailto:snajpa@snajpa.net> napsal(a): >> >> Nelibit se ti to muze, ale to je asi tak vsechno :) >> >> V podstate nemam jinou moznost, musi to tam bejt v nejaky >> podobe a ta podoba musi bejt rozsifrovatelna - protoze se >> to uklada ve forme transakci, ktery si pak vyzvedava >> backend, a ten aby to heslo mohl zmenit ho musi dostat v >> plaintextu. >> >> Musel bych leda zpetne ty transakce mazat (nepripada v >> uvahu), nebo je cenzurovat po nastaveni - coz stejne >> falesnej pocit bezpeci. >> >> Pravda je, ze bych to tam mohl nekde vyznacit, aby to bylo >> obvious. >> >> Pavel Snajdr >> >> +420 720 107 791 >> >> http://vpsfree.cz >> >> On 02/10/2012 01:34 PM, Tomas Volf wrote: >>> Ahoj, >>> muj puvodni dotaz spis smeroval smerem "proc vyzaduje >>> alespon 5 >> znaku, proc >>> nenechat zabezpeceni na uzivateli". >> >>> Hm, proc se to heslo vlastne uklada? A kdyz uz sme u toho, >>> tak proc v plaintextu? >> >>> Musim priznat, ze tohle se mi moc nelibi... >> >>> On Fri, 10 Feb 2012 13:26:58 +0100 >>> Pavel Snajdr <snajpa@snajpa.net mailto:snajpa@snajpa.net>

wrote:

...
...
>> >>>> -----BEGIN PGP SIGNED MESSAGE----- >>>> Hash: SHA256 >> >>>> Ahoj, >> >>>> urcite nechci, aby vpsAdmin umoznoval ulozeni dlouhych >>>> hesel, >> protoze to >>>> heslo je pak v plaintextu v databazi vpsAdminu. >> >>>> To ma bejt hlavne na to, aby ses dostal do VPS poprvy, >>>> nebo kdyz zapomenes heslo. >> >>>> Pavel Snajdr >> >>>> +420 720 107 791 >> >>>> http://vpsfree.cz >> >>>> On 02/10/2012 11:30 AM, Tomas Volf wrote: >>>>> Ahoj, >>>>> jenom takova myslenka... vpsAdmin vynucuje delka hesla >>>>> pro roota >> 5 a vice >>>>> znaku... Mne osobne se nelibi "vynucena" bezpecnost :) >>>>> Jenom mne >> zajima >>>>> nazor ostatnich na tohle tema... >>>>> >>>>> PS: jo, vim, pres passwd jde heslo roota zmenit klidne >>>>> na jeden >> znak :) Tim >>>>> spis jestli dava smysl neco vynucovat ve vpsAdminovi... >>>>> >>>>> >>>>> >>>>> _______________________________________________ >>>>> Community-list mailing list >>>>> Community-list@lists.vpsfree.cz >> mailto:Community-list@lists.vpsfree.cz >>>>> http://lists.vpsfree.cz/listinfo/community-list >>>> >> >> _______________________________________________ >> Community-list mailing list >> Community-list@lists.vpsfree.cz >> mailto:Community-list@lists.vpsfree.cz >> http://lists.vpsfree.cz/listinfo/community-list > _______________________________________________ > Community-list mailing list > Community-list@lists.vpsfree.cz > mailto:Community-list@lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list > >> _______________________________________________ >> Community-list mailing list >> Community-list@lists.vpsfree.cz >> http://lists.vpsfree.cz/listinfo/community-list >

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iF4EAREIAAYFAk81OjIACgkQdh+64ds5DaYh+gEAsB1SR59GbbKqyNrGhc1j/VLa DvpoxeHbQFOsjv3BI6EBAN6NAjeUlUic96n+H4avSvJW6AMQUmo13XmuJmf7oODj =YGvB -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-- Odesláno z mobilního zařízení Tomas P4l4cl][n Volf -- "There are only 10 types of people in the world: Those who understand binary, and those who don't."

Tomáš Valoušek

1:59 p.m.

Vůbec nemám obavu o "cracknutí" serveru správcem VPS. Mám obavu z toho, že cokoliv připojeného do internetu může být cracknuto a pokud zjistím že nejsem jediným rootem na mém serveru je dobré vyloučit to, že někdo napadl backend vpsadminu a přečetl si heslo v plaintextu.

Dne 10. února 2012 14:47 Pavel Snajdr snajpa@snajpa.net napsal(a):

...

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

Jedna vec je vyvolavat paniku, druha vec je o tom nevedet vubec...

Vezmi si, kde vsude davas svoje heslo - NIKDE tomu nemuzes verit.

VSUDE musis mit jine heslo.

A nezapominej, ze stejni lide, kteri maji pristup do te databaze, maji primy pristup na ty VPS.

Proto si myslim, ze je totalne zbytecne vyvolavat paniku.

Ano, je to hnusne reseni, ne, nelibi se mi, ale je to tak a to co pisu vyse je proste pravda.

Takze opravdu, ale opravdu zadna panika netreba, a uz vubec na nas nemusis kricet velkym pismem :)

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 02:44 PM, Tomáš Valoušek wrote:

...
Mě to vůbec nenapadlo, ale tohle je fakt bezpečnostní díra jako prase, která by měla být tou hlavní a nepřehlédnutelnou informací pro každého člena: POZOR, HESLO ZMĚNĚNÉ PŘES VPSADMIN JE ULOŽENÉ KDESI V PLAINTEXTU. ZMĚŇTE SI HESLO POMOCÍ PASSWD!!!!!

Dne 10. února 2012 13:33 Pavel Snajdr <snajpa@snajpa.net mailto:snajpa@snajpa.net> napsal(a):

Nelibit se ti to muze, ale to je asi tak vsechno :)

V podstate nemam jinou moznost, musi to tam bejt v nejaky podobe a ta podoba musi bejt rozsifrovatelna - protoze se to uklada ve forme transakci, ktery si pak vyzvedava backend, a ten aby to heslo mohl zmenit ho musi dostat v plaintextu.

Musel bych leda zpetne ty transakce mazat (nepripada v uvahu), nebo je cenzurovat po nastaveni - coz stejne falesnej pocit bezpeci.

Pravda je, ze bych to tam mohl nekde vyznacit, aby to bylo obvious.

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 01:34 PM, Tomas Volf wrote:

...
Ahoj, muj puvodni dotaz spis smeroval smerem "proc vyzaduje alespon 5

znaku, proc

...
nenechat zabezpeceni na uzivateli".

...
Hm, proc se to heslo vlastne uklada? A kdyz uz sme u toho, tak proc v plaintextu?

...
Musim priznat, ze tohle se mi moc nelibi...

...
On Fri, 10 Feb 2012 13:26:58 +0100 Pavel Snajdr <snajpa@snajpa.net mailto:snajpa@snajpa.net> wrote:

...
...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

...
...
Ahoj,

...
...
urcite nechci, aby vpsAdmin umoznoval ulozeni dlouhych hesel,

protoze to

...
...
heslo je pak v plaintextu v databazi vpsAdminu.

...
...
To ma bejt hlavne na to, aby ses dostal do VPS poprvy, nebo kdyz zapomenes heslo.

...
...
Pavel Snajdr

...
...
+420 720 107 791

...
...
http://vpsfree.cz

...
...
On 02/10/2012 11:30 AM, Tomas Volf wrote:

...
Ahoj, jenom takova myslenka... vpsAdmin vynucuje delka hesla pro roota

5 a vice

...
...
...
znaku... Mne osobne se nelibi "vynucena" bezpecnost :) Jenom mne

zajima

...
...
...
nazor ostatnich na tohle tema...

PS: jo, vim, pres passwd jde heslo roota zmenit klidne na jeden

znak :) Tim

...
...
...
spis jestli dava smysl neco vynucovat ve vpsAdminovi...

Community-list mailing list Community-list@lists.vpsfree.cz

mailto:Community-list@lists.vpsfree.cz

...
...
...
http://lists.vpsfree.cz/listinfo/community-list

Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/

iF4EAREIAAYFAk81H+EACgkQdh+64ds5Daa4twD9EVUCahfSypQceXQEb2QFpo6P IWa9aOnibki1cqp5jZUA/0yVVeFRkBZ8Bk/x9iWp0IlgGUDrHiyqcrRQtai7vF2a =QRuo -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

mila.zajicek＠screenprotector.cz

2:08 p.m.

Nechcete tohle vlakno uz opustit. Proste to tak je, uz to vime a me to zily netrha. Vpsfree je komunitni sluzba. Pokud lidem kteri davaji do sdruzeni daleko vic nez jsou moje tri stovky nebudu verit, nebudu tady. -----Original Message----- From: Pavel Snajdr snajpa@snajpa.net Sender: community-list-bounces@lists.vpsfree.cz Date: Fri, 10 Feb 2012 14:47:15 To: vpsFree.cz Community listcommunity-list@lists.vpsfree.cz Reply-To: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] vpsAdmin delka root hesla

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

Jedna vec je vyvolavat paniku, druha vec je o tom nevedet vubec...

Vezmi si, kde vsude davas svoje heslo - NIKDE tomu nemuzes verit.

VSUDE musis mit jine heslo.

A nezapominej, ze stejni lide, kteri maji pristup do te databaze, maji primy pristup na ty VPS.

Proto si myslim, ze je totalne zbytecne vyvolavat paniku.

Ano, je to hnusne reseni, ne, nelibi se mi, ale je to tak a to co pisu vyse je proste pravda.

Takze opravdu, ale opravdu zadna panika netreba, a uz vubec na nas nemusis kricet velkym pismem :)

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 02:44 PM, Tomáš Valoušek wrote:

...

Mě to vůbec nenapadlo, ale tohle je fakt bezpečnostní díra jako prase, která by měla být tou hlavní a nepřehlédnutelnou informací pro každého člena: POZOR, HESLO ZMĚNĚNÉ PŘES VPSADMIN JE ULOŽENÉ KDESI V PLAINTEXTU. ZMĚŇTE SI HESLO POMOCÍ PASSWD!!!!!

Dne 10. února 2012 13:33 Pavel Snajdr <snajpa@snajpa.net mailto:snajpa@snajpa.net> napsal(a):

Nelibit se ti to muze, ale to je asi tak vsechno :)

V podstate nemam jinou moznost, musi to tam bejt v nejaky podobe a ta podoba musi bejt rozsifrovatelna - protoze se to uklada ve forme transakci, ktery si pak vyzvedava backend, a ten aby to heslo mohl zmenit ho musi dostat v plaintextu.

Musel bych leda zpetne ty transakce mazat (nepripada v uvahu), nebo je cenzurovat po nastaveni - coz stejne falesnej pocit bezpeci.

Pravda je, ze bych to tam mohl nekde vyznacit, aby to bylo obvious.

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 01:34 PM, Tomas Volf wrote:

...
Ahoj, muj puvodni dotaz spis smeroval smerem "proc vyzaduje alespon 5

znaku, proc

...
nenechat zabezpeceni na uzivateli".

...
Hm, proc se to heslo vlastne uklada? A kdyz uz sme u toho, tak proc v plaintextu?

...
Musim priznat, ze tohle se mi moc nelibi...

...
On Fri, 10 Feb 2012 13:26:58 +0100 Pavel Snajdr <snajpa@snajpa.net mailto:snajpa@snajpa.net> wrote:

...
...
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

...
...
Ahoj,

...
...
urcite nechci, aby vpsAdmin umoznoval ulozeni dlouhych hesel,

protoze to

...
...
heslo je pak v plaintextu v databazi vpsAdminu.

...
...
To ma bejt hlavne na to, aby ses dostal do VPS poprvy, nebo kdyz zapomenes heslo.

...
...
Pavel Snajdr

...
...
+420 720 107 791

...
...
http://vpsfree.cz

...
...
On 02/10/2012 11:30 AM, Tomas Volf wrote:

...
Ahoj, jenom takova myslenka... vpsAdmin vynucuje delka hesla pro roota

5 a vice

...
...
...
znaku... Mne osobne se nelibi "vynucena" bezpecnost :) Jenom mne

zajima

...
...
...
nazor ostatnich na tohle tema...

PS: jo, vim, pres passwd jde heslo roota zmenit klidne na jeden

znak :) Tim

...
...
...
spis jestli dava smysl neco vynucovat ve vpsAdminovi...

Community-list mailing list Community-list@lists.vpsfree.cz

mailto:Community-list@lists.vpsfree.cz

...
...
...
http://lists.vpsfree.cz/listinfo/community-list

Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...PGP SIGNATURE...

_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

Pavel Snajdr

12:37 p.m.

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

Nicmene koukam, ze jsem ti neodpovedel.

Kratsi heslo jsem tam nechtel kvuli snadne bruteforcovatelnosti - schvalne, zacni si logovat pokusy prihlaseni roota, pokud nelogujes, budes prekvapeny kolik botu tam proste zkousi a zkousi.

[aaaano, existuji veci typu fail2ban atd., ale tady se bavime o "zabezpeceni" default instalace]

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 11:30 AM, Tomas Volf wrote:

...

Ahoj, jenom takova myslenka... vpsAdmin vynucuje delka hesla pro roota 5 a vice znaku... Mne osobne se nelibi "vynucena" bezpecnost :) Jenom mne zajima nazor ostatnich na tohle tema...

PS: jo, vim, pres passwd jde heslo roota zmenit klidne na jeden znak :) Tim spis jestli dava smysl neco vynucovat ve vpsAdminovi...

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...PGP SIGNATURE...

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iF4EAREIAAYFAk81D6YACgkQdh+64ds5Dab8cgEAuGroGZdDmkXLSPp5Aonak8vN f4ArccpH1XLUUgXmC1ABALUohIAdpotCyjl8MGB3OZYOmNg3ldlTDl8eET1tMEkv =I5VM -----END PGP SIGNATURE-----

Pavel Snajdr

12:41 p.m.

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256

A jeste jedna vec - to heslo muze mit maximalne 8 znaku, protoze je sifrovane snad jeste DESem... Neptej se me proc, proste je to fakt - OpenVZ. Muzem byt radi, ze vubec umi nastavit heslo a ze jsem si to nemusel kodit po svem [i kdyz o 3 roky vic zkusenosti, tak uz napada z fleku lepsi implementace, no...]

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 01:37 PM, Pavel Snajdr wrote:

...

Nicmene koukam, ze jsem ti neodpovedel.

Kratsi heslo jsem tam nechtel kvuli snadne bruteforcovatelnosti - schvalne, zacni si logovat pokusy prihlaseni roota, pokud nelogujes, budes prekvapeny kolik botu tam proste zkousi a zkousi.

[aaaano, existuji veci typu fail2ban atd., ale tady se bavime o "zabezpeceni" default instalace]

Pavel Snajdr

+420 720 107 791

http://vpsfree.cz

On 02/10/2012 11:30 AM, Tomas Volf wrote:

...
Ahoj, jenom takova myslenka... vpsAdmin vynucuje delka hesla pro roota 5 a vice znaku... Mne osobne se nelibi "vynucena" bezpecnost :) Jenom mne zajima nazor ostatnich na tohle tema...

...
PS: jo, vim, pres passwd jde heslo roota zmenit klidne na jeden znak :) Tim spis jestli dava smysl neco vynucovat ve vpsAdminovi...

...

Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list

...PGP SIGNATURE...

-----BEGIN PGP SIGNATURE----- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iF4EAREIAAYFAk81EIMACgkQdh+64ds5Dab3+AEAnE964L0BTc/NH8joWbh3r59k LFjVDp0xrpHB1d362ikA/i0+TvTWDMYlXjERof4yp5TsBh2rsxaS/4oe1VuSNS+Z =nVua -----END PGP SIGNATURE-----

4991

Age (days ago)

4991

Last active (days ago)

community-list@lists.vpsfree.cz

22 comments

8 participants

tags (0)

participants (8)

Adam Motvička
Erich Stark
František Kučera
mila.zajicek＠screenprotector.cz
Pavel Snajdr
Petr Šigut
Tomas Volf
Tomáš Valoušek