увод ников
увод ников
сегодня за день увели с десяток ников. по логам чел тратил на каждый ник 1-3 минуты. понятия не имею какие пароли стояли у клиентов. но обнаружил очень большой баг. программа не пишет одного из существенных, а именно - попытка ввода не правильного пароля. а ведь только по таким данным и можно было бы определить причину увода ников. просьба поправить отдельным патчем. не дожидаясь следующей версии.
Re: увод ников
хоть бы, что то отписали. такая дырка в безопасности чата и молчок.
-
Maxim Mirgorodsky
- Администратор
- Сообщения: 6886
- Зарегистрирован: 09:56, 27.06.2005
Re: увод ников
Протоколирование событий ввода неверного пароля дало бы IP-адрес подбираюшего пароли (его же можно получить и из лога всех авторизаций, и даже из окна канала). Не видим срочной необходимости в реализации данной функциональности.
Рекомендуем в приветствии, либо посредством рассылки массовых сообщений напомнить пользователям о недопустимости использования распространенного пароля ("123", "qwerty", и др.), либо пароля совпадающего с именем. В случае если пароли были сложными, наиболее вероятна ситуация завладения злоумышленника базой данных паролей к другому сервису, которым пользовались клиенты (при этом клиенты использовали в разных сервисах один и тот же пароль).
Рекомендуем в приветствии, либо посредством рассылки массовых сообщений напомнить пользователям о недопустимости использования распространенного пароля ("123", "qwerty", и др.), либо пароля совпадающего с именем. В случае если пароли были сложными, наиболее вероятна ситуация завладения злоумышленника базой данных паролей к другому сервису, которым пользовались клиенты (при этом клиенты использовали в разных сервисах один и тот же пароль).
Re: увод ников
ни какой базой ни кто не завладевал. дыра в чате гораздо проще и банальнее. хотя и касается пароля на прямую.
-
Maxim Mirgorodsky
- Администратор
- Сообщения: 6886
- Зарегистрирован: 09:56, 27.06.2005
Re: увод ников
Пожалуйста, уточните, какая дыра, о чем вообще речь?