CommFort

сегодня за день увели с десяток ников. по логам чел тратил на каждый ник 1-3 минуты. понятия не имею какие пароли стояли у клиентов. но обнаружил очень большой баг. программа не пишет одного из существенных, а именно - попытка ввода не правильного пароля. а ведь только по таким данным и можно было бы определить причину увода ников. просьба поправить отдельным патчем. не дожидаясь следующей версии.

хоть бы, что то отписали. такая дырка в безопасности чата и молчок.

Протоколирование событий ввода неверного пароля дало бы IP-адрес подбираюшего пароли (его же можно получить и из лога всех авторизаций, и даже из окна канала). Не видим срочной необходимости в реализации данной функциональности.

Рекомендуем в приветствии, либо посредством рассылки массовых сообщений напомнить пользователям о недопустимости использования распространенного пароля ("123", "qwerty", и др.), либо пароля совпадающего с именем. В случае если пароли были сложными, наиболее вероятна ситуация завладения злоумышленника базой данных паролей к другому сервису, которым пользовались клиенты (при этом клиенты использовали в разных сервисах один и тот же пароль).

ни какой базой ни кто не завладевал. дыра в чате гораздо проще и банальнее. хотя и касается пароля на прямую.

Пожалуйста, уточните, какая дыра, о чем вообще речь?