Új hozzászólás Aktív témák
-
bambano
titán
az emberek zömében a helyes jelszóval kapcsolatos szabályok tévesek.
egy szerveren olyan erősségű jelszót kell használni, hogy a feltörésének statisztikailag várható ideje több legyen, mint a rajta levő infó hasznossága. szóval ennyiből nem lehet megmondani, hogy egy jelszó jó vagy sem. -
Hi!King
őstag
Egyébként mit gondolsz arról, hogy van egy biztonságos céges VPN, nyilván amit korlátozott számú ember ér el, azon belül viszont nem csak dev meg qa, hanem production szervereknek is holtprimitív jelszavai vannak. Azért kérdezem, mert nem egy munkahelyemen tapasztaltam ilyet.
-
ddekany
veterán
"2019-ben fedezte fel a nyilvános weben egy független biztonsági szakember"
A gyenge jelszó tán legkevesebb itt. Az a ciki, hogy csak jelszóval (+ felhasználó névvel... azt hogy találta el külsős?) lehetett bármit kezdeni. Nyilvános web felöli belépéshez azért illene kétfaktoros azonosítás. Mert a jelszót sokszor lejegyzik valahogyan a dolgozók, és ezt megakadájozni gyakorlatilag nem lehet.
Persze aki volt nagy cégnél, az tudja, hogy van ez... Fejetlenség, dolgozók jönnek mennek, senki nem látja át, mi hol van és miért, ki a gazdája. Ez is biztos valami "úgyfelejtett" cucc...
-
#10
aprokaroka87
nagyúr
aprokaroka87
nagyúr
Tehát akkor a gyakornok talált ki egy " nehéz " jelszót?
Vagy azt adták meg a gyakornoknak eleve? :)
-
clon
senior tag
Az hagyján, hogy egy "gyakornok" a hibás DE egy gyakornok nem önálló felelősséggel van a cégnél mert mindig van(nak) akik felügyelik őket (+pénzt is kapnak ezért) és őróluk nincsen még említés sem. Ebből látszik itt csak felelősségtologatás van és a legutolsó emberre lett tolva a felelősség aki után már csak a "kis vakond" van.
Gondolom azóta már jómunkásember lett a "gyakornokból" DE most csak azzal, hogy vélelmezhetően rákerült a hiba felelőssége szakmailag és erkölcsileg is el lesz lehetetlenítve és könnyen előfordulhat, hogy nem fogja senki alkalmazni a szakmájában. Persze ha esze van akkor gyorsan ír 1-2 könyvet és belesz@rik a ventilátorba és ha ügyes még a filmjogokat is értékesíti
-
bambano
titán
de nem csak az a problémám, hogy gyenge volt a jelszó.
nincs code-review? bele lehet rakni úgy kódot egy ilyen rendszerbe, hogy évek alatt se derül ki?
nem volt blackbox tesztelés?
értem én, hogyha én, csajágaröcsögei mucsajpuszta ev. csinálok egy tűzfalat a számlázó rendszerem elé, akkor ott több dolog se történik meg, amit lehetne, csak nem éri meg. de ez pont nem ez a szint, hanem a másik véglet. legyen már egy cég, amelyik ilyen helyekre beszállító, egy fokkal komolyabb, mint én... -
#7
Alteran-IT
őstag
Alteran-IT
őstag
Én vagy 5 évvel ezelőtt megmondtam az akkori hülye IT cégünknek aki erőltette ezt a programot, hogy ez a program úgy ahogy van egy kalap szar, főleg hogy még az erőforrásokat is eszi rendesen, mit ad isten, igazam volt mindkét esetben, bár azért hozzáteszem, ennek a hibának és botránynak még közel sincs vége így, addig meg főleg nem lesz, amíg lesz vevő az ilyen szar programokra, de hát hülye az mindig van és lesz is.
Ja ami a gyakornokos béna kifogást illeti: a gyakornok egy gyakornok, felügyelet alatt kellene hogy dolgozhasson, a munkáját meg valami baromnak ellenőrizni kellene, ha már ilyen sok barommal van tele ez a cég, de amúgy tényleg az is milyen, hogy egy mester jelszót egy gyakornok ad meg egy ilyen szarban, úgy hogy külsős veszi észre, szóval az egész cég egy vicc, bár ezt már anno megmondtam.
-
#3
bambano
titán
Victoryus94
#2
bambano
titán
válasz
Victoryus94
#2
üzenetére
"nem esett szét semmilyen rendszer emiatt.": vagyis a cikkben szereplő "egyik, ha nem a legnagyobb botrány" kifejezés csak bulváros clickbait? hint: nem.
de, emiatt fél amerika kilyukadt, mint a szita.az, hogy egy darab kiszivárgott triviális jelszóval össze lehetett borítani az egész miskulanciát, mutatja, hogy vagy nem voltak biztonsági folyamataik, vagy azok elégtelenek voltak. biztosan nem volt rétegzett védelmük, nem volt többszintű forráskód ellenőrzés, stb. vagy ha volt, nullát ért. anno, amikor vms rendszergazda voltam, 1991 körül, már volt jelszó-erősség ellenőrzés a vms-ben. nem volt ilyen egy ennyire magas biztonsági igényű szervezetben? ne vicceljünk már.
-
#2
Victoryus94
őstag
bambano
#1
Victoryus94
őstag
Nem erről van szó, nem esett szét semmilyen rendszer emiatt. De ha egy admin usernek 1234 a jelszava, esetleg a cég neve, stb. akkor illetéktelenek elég sok mindent láthatnak/csinlhatnak, amit nem kéne (akár egy hagyományos jogú felhasználó is hozzáférhet bizalmas céges adatokhoz, mivel ezeket használja a munkája során.
Ha pedig több rendszer valamilyen protokollon keresztül össze van kötve (pl update csatorna), szépen tovább lehet lőni az ártalmas kódokat.
Így van.
Új hozzászólás Aktív témák
- GARANCIÁLIS BONTATLAN MINDEN MACBOOK AIR M4
- Tyű-ha Lenovo Thinkpad X1 Carbon G8 Profi Érintős Laptop 14" -50% i7-10610U 4Mag 16GB/512GB FHD IPS
- AKCIÓ BONTATLAN GARIS IPHONE 16 PRO ÉS PRO MAX MINDEN SZÍNBEN ÉS TÁRHELLYEL 1 ÉV GARANCIÁVAL
- iPhone 17 Air - összes tárhely és szín bontatlan, viszonteladótól független 1év Apple garanciális
- iPhone 13 128GB midnight-black, független + extra tokok
- AKCIÓ! Apple MacBook Pro 16 M4 Max 36GB RAM 1TB SSD macbook garanciával hibátlan működéssel
- GYÖNYÖRŰ iPhone 15 Plus 128GB Black -1 ÉV GARANCIA - Kártyafüggetlen, MS3355, 100% Akkumulátor
- Bomba ár! Dell Latitude 5400 - i7-8GEN I 8GB I 256SSD I 14" FHD I HDMI I Cam I W11 I Gari!
- ÁRGARANCIA!Épített KomPhone i5 14600KF 32/64GB RAM RTX 5070 12GB GAMER PC termékbeszámítással
- Apple iPhone Xs Max 64GB, Kártyafüggetlen, 1 Év Garanciával
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: CAMERA-PRO Hungary Kft.
Város: Budapest