[vpsFree.cz: community-list] vpsAdmin delka root hesla
Tomáš Valoušek
valy23 at gmail.com
Fri Feb 10 14:44:23 CET 2012
Mě to vůbec nenapadlo, ale tohle je fakt bezpečnostní díra jako prase,
která by měla být tou hlavní a nepřehlédnutelnou informací pro každého
člena: POZOR, HESLO ZMĚNĚNÉ PŘES VPSADMIN JE ULOŽENÉ KDESI V PLAINTEXTU.
ZMĚŇTE SI HESLO POMOCÍ PASSWD!!!!!
Dne 10. února 2012 13:33 Pavel Snajdr <snajpa at snajpa.net> napsal(a):
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA256
>
> Nelibit se ti to muze, ale to je asi tak vsechno :)
>
> V podstate nemam jinou moznost, musi to tam bejt v nejaky podobe a ta
> podoba musi bejt rozsifrovatelna - protoze se to uklada ve forme
> transakci, ktery si pak vyzvedava backend, a ten aby to heslo mohl
> zmenit ho musi dostat v plaintextu.
>
> Musel bych leda zpetne ty transakce mazat (nepripada v uvahu), nebo je
> cenzurovat po nastaveni - coz stejne falesnej pocit bezpeci.
>
> Pravda je, ze bych to tam mohl nekde vyznacit, aby to bylo obvious.
>
> Pavel Snajdr
>
> +420 720 107 791
>
> http://vpsfree.cz
>
> On 02/10/2012 01:34 PM, Tomas Volf wrote:
> > Ahoj,
> > muj puvodni dotaz spis smeroval smerem "proc vyzaduje alespon 5 znaku,
> proc
> > nenechat zabezpeceni na uzivateli".
> >
> > Hm, proc se to heslo vlastne uklada? A kdyz uz sme u toho, tak proc v
> > plaintextu?
> >
> > Musim priznat, ze tohle se mi moc nelibi...
> >
> > On Fri, 10 Feb 2012 13:26:58 +0100
> > Pavel Snajdr <snajpa at snajpa.net> wrote:
> >
> >> -----BEGIN PGP SIGNED MESSAGE-----
> >> Hash: SHA256
> >
> >> Ahoj,
> >
> >> urcite nechci, aby vpsAdmin umoznoval ulozeni dlouhych hesel, protoze to
> >> heslo je pak v plaintextu v databazi vpsAdminu.
> >
> >> To ma bejt hlavne na to, aby ses dostal do VPS poprvy, nebo kdyz
> >> zapomenes heslo.
> >
> >> Pavel Snajdr
> >
> >> +420 720 107 791
> >
> >> http://vpsfree.cz
> >
> >> On 02/10/2012 11:30 AM, Tomas Volf wrote:
> >>> Ahoj,
> >>> jenom takova myslenka... vpsAdmin vynucuje delka hesla pro roota 5 a
> vice
> >>> znaku... Mne osobne se nelibi "vynucena" bezpecnost :) Jenom mne zajima
> >>> nazor ostatnich na tohle tema...
> >>>
> >>> PS: jo, vim, pres passwd jde heslo roota zmenit klidne na jeden znak
> :) Tim
> >>> spis jestli dava smysl neco vynucovat ve vpsAdminovi...
> >>>
> >>>
> >>>
> >>> _______________________________________________
> >>> Community-list mailing list
> >>> Community-list at lists.vpsfree.cz
> >>> http://lists.vpsfree.cz/listinfo/community-list
> >>
>
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.11 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/
>
> iF4EAREIAAYFAk81DqAACgkQdh+64ds5DaZv1QEAuMJ6UyaPf3yWHB14FZiPx0xZ
> QsdmX0Q0v5yDQsCOoKEA/1J+jgDPlihVMBOtS/Zc2B7BMYVOZcTsXa6S8cspzqsn
> =5omd
> -----END PGP SIGNATURE-----
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20120210/2fa269e0/attachment-0002.html>
More information about the Community-list
mailing list