Hlavní navigace

Názory k článku Útok na GitHub využil úniků hesel z jiných služeb

  • Článek je starý, nové názory již nelze přidávat.
  • 20. 6. 2016 9:19

    Filip Jirsák

    Pořád je to chyba především autorů webových prohlížečů a webových standardů. Primární chyba je v tom, že prohlížeč vezme heslo uživatele a bez sebemenšího varování ho předá webové stránce a pak serveru. Bezpečné heslo je jedině takové, které nezná nikdo jiný než uživatel a jeho důvěryhodná zařízení.

    Problémy s úniky hesel nepřestanou do té doby, než autoři prohlížečů nezačnou brát bezpečnost vážně, nezačnou pro přihlašování a registraci uživatelů vyžadovat alespoň HTTP Digest (nebo raději něco modernějšího) a nebudou velmi rychle tlačit na označení formulářového pole password jako nebezpečného.

    Svalovat vinu na uživatele je akorát alibismu, nikdo si neodkáže zapamatovat stovky unikátních hesel, a neexistuje snadno použitelná infrastruktura pro použití správců hesel. Už jenom jejich integrace do desktopového prohlížeče je všelijaká, správce hesel se pokouší uhodnout kdy heslo zadáváte a kdy ho měníte, někdy se mu to podaří a někdy ne.

  • 20. 6. 2016 19:39

    . . (neregistrovaný)

    s alibismem souhlas, správce hesel je jen dočasné řešení, cesta je úplně zrušit hesla.

    HTTP digest se nikdy nezačal moc používat, protože žádný prohlížeč ho neměl uživatelsky naimplementovaný, nebyl jednoduše konfigurovatelný a zaháčkování md5 byla brzda už i v počátcích, nic novějšího nikdy nevzniklo.

    Obecně mi vyhovuje způsob, kdy mi autorizaci potvrdí jiná pro mě důvěryhodná služba. V praxi třeba přihlášení přes oauth, kdy nemusím zadávat heslo. Nebo stejně jako u Applu, kdy nové zařízení v icloud potvrzuji z jakéhokoliv již autorizovaného zařízení.

    Bez hesla se dá udělat i první přihlášení, stačí potvrdit autorizaci přes odkaz v emailu nebo stejně jako potvrzuji práva pro aplikace na mobilních telefonech.

  • 21. 6. 2016 1:06

    Filip Jirsák

    K úplně prvnímu přihlášení nějaké heslo potřebujete – když si budete zakládat svůj první e-mail, nemůžete použít autorizaci přes dokaz v e-mailu.

    To, že je HTTP digest implementovaný v prohlížečích různými způsoby na škále od špatné až po hrůzostrašné, že k tomu neexistuje podpora pro registraci a že to nepoužívá novější algoritmy než MD5 je právě chyba tvůrců prohlížečů. Princip je známý a jednoduchý, jediný „problém“ je trošku to zmodernizovat a hlavně implementovat. Navíc by tím odpadly všechny ty problémy s únosem session (na které trpí i autentizace třetí stranou), protože tam je prostě autentizován každý jednotlivý požadavek.

  • 20. 6. 2016 10:14

    P2010 (neregistrovaný)

    Neni to treba snaha GitHubu zakryt nejaky dalsi uspesny utok jako tento https://www.zdrojak.cz/clanky/aktualne-tak-nam-hackli-github/ ? Duverhodnost te sluzby jako uloziste uz asi jak SourceForge ...

Upozorníme vás na články, které by vám neměly uniknout (maximálně 2x týdně).