Autor: Jacek (pastor21_at_poczta.onet.pl)
Data: Mon 03 Sep 2001 - 20:03:19 MET DST
czajnik9_at_poczta.onet.pl napisał:
> W sierpniu 2001 r. pewien dowcipnis wlamal sie na moje konto
> w serwerze www.cad.pl i zamiescil na mojej witrynie animacje
> tak zwanego czlonka meskiego, kiwajacego sie na boki.
> Oto list jaki skierowal administrator do abuse_at_tpsa.pl
>
> " Szanowni Państwo
(ciach)
>
> Technika przejmowania kont opierała się na zgadywaniu
> odpowiedzi na pytania, zadeklarowane przez użytkowników
> podczas zakładania kont, umożliwiajšce zmianę hasła w
> przypadku jego zapomnienia. Użytkownicy tych kont mieli
> oczywiste, a więc łatwe do zgadnięcia "przypomnienia", co ułatwiło
> zadanie Państwa klientowi.
Mam tylko pytanie.
Po co to wyslales na usenet ?
Czy chciales pognecic admina ze mial taki kiepski system security ?
Taki sam system przypomnien dziala chyba na onecie i pewnie na wielu
innych systemach poczty elektronicznej.
Czemu ktos zastepuje system hasel wadliwym systemem przypomnien o
kiepskim standardzie bezpieczenstwa ?
Poniewaz to opisales na usenecie , czyli wykryles security hole
w systemach poczty elektronicznej z modulem przypomnien,
teraz wszyscy operatorzy kont musza zlikwidowac wadliwy modul
przypomnien,
prowadzacy do naruszenia standardu bezpieczenstwa poczty elektronicznej,
aby nie zostali posadzeni o niedolozenie nalezytej starannosci, zgodnej
z obowiazujacym stanem wiedzy, przy zapewnieniu bezpieczenstwa i
tajemnicy poczty elektronicznej.
Ktory jeszcze ISP oferuje modul przypomnien i jak jest kodowane
przypomnienie na serwerze ?
Czy jest hashowane czy tez jest jawne ?
To archiwum zostało wygenerowane przez hypermail 2.1.7 : Wed 19 May 2004 - 16:58:38 MET DST