Z uwagi na nieczyste zagrania konkurencji wzmocniliśmy bezpieczeństwo kont użytkowników na naszym portalu. Hasła użytkowników zostały zmienione. Aby zalogować się na swoje konto należy skorzystać z opcji odzyskiwania konta podająć swój email. W dniu jutrzejszym 11.10.2012 roześlemy nowe hasła do wszystkich użytkowników. Problem polegał na tym, iż nieuczciwa konkurencja wchodziła na konta naszych użytkowników którzy mieli takie same konta i hasła na naszej i ich stronie. Radzimy uważać na konkurencyjne strony, ponieważ po takich zagraniach nie wiecie czego możecie się po nich spodziewać i możecie stracić znacznie więcej niż konto na naszej stronie.
Pewnie większość z Was ma konto w wielu serwisach. Z pewnością część loginów i haseł jest taka sama na Majszole, Juszole, Szołapie itp. Jak widać to bardzo niebezpieczne. Nie padła tu oczywiście nazwa żadnej z firm konkurencyjnych, niemniej jednak sytuacja nie wygląda ciekawie. Z technicznego punktu widzenia żaden administrator bazy danych nie powinien móc odczytać jakie hasło posiadam. Mechanizm logowania powinien być zabezpieczony sesją SSL (czyli nikt komu uda się przechwycić nasze dane nie będzie mógł ich odczytać) oraz samo hasło w bazie danych powinno być zapisane jako ciąg znaczków i krzaczków. To standard w przetwarzaniu danych osobowych. Jeśli u któregoś z serwisów wygląda to inaczej to jest to naruszenie prawa.
Nie bez winy są też sami admini. W celu większego zabezpieczenia należy stosować krótką zasadę dobrego hasła. Niewiele wysiłku potrzeba, by już w samym procesie rejestracji i ustanawiania swojego hasła wykluczyć błędy kardynalne typu:
- hasło takie jak login
- proste hasło typu 1234
- itp. itd.
To są już gotowe rozwiązania, których można użyć. Nie rozumiem dlaczego nikt tego nie robi.
No i Panie Majszoł! Weź Pan zmień komunikat o błędnym działaniu SQL'a:
Jawna informacja o tym jaki jest login do serwera SQL mija się nieco z profesjonalizmem!
majszoł to idioci, od dawna o tym wiadomo :D
OdpowiedzUsuń