Kedves fórumtársak!
A tegnapi nap egy nemzetközi illatszer cég online bejelentkező oldalán a személyes user nevemmel és jelszavammal valakinek sikerült bejelentkezni!Pontosabban mikor fellépett
ugyanarra az oldalra már az én azonosítóm és jelszavam volt beírva automatikusan.Mielőtt kapnám a választ hogy így jártam elmondanám hogy az illetővel és a gépével soha nem volt semilyen fizikai kapcsolatom.A személyes jóindulatán múlt hogy nem lett nagyobb kalamajka.Némi infó jártasságom révén megtettem a szükséges lépéseket.(rendszer újrahúzása jelszavak cseréje cég értesítése)hogy minimalizáljam a jövőbeni esélyét egy ilyen dolognak.Mégis titeket szakértőket kérdezlek milyen jellegű támadás vagy szerver hiba ez?
Mert erősen erre gyanakszom!Valaki beékelődött a gépem a cég közé?
Válaszaitokat előre is köszönöm!
Üdv: anthony_
Hozzászólások
Szia!
Én nem teljesen értem, hogy mit írtál ide?
Az illetőt ismered és az ő gépén dolgoztál, amikor az adataid nála megjelentek?
Chromeot használsz és bejelentkeztél esetleg a gmailedre azon a gépen?
Semmi közünk egymáshoz!Soha nem használtam a gépét és ő se az enyémet.Még csak nem is egy városban lakunk!
Hogyan szereztél akkor tudomást az eseményről?
Úgy hogy felhívott miután bejelentkezett!
És nem kérdezted meg tőle, hogy honnan tudta a jelszavad? Ha meg a rendszer automatikusan adta neki, akkor nyilván valami jó kis bug.
Nem kérdeztem mert mikor fellépett már be volt írva előre!Én is szerver bug-ra gyanakszom.
Én azon sem csodálkoznék, ha az illatszereseknek ehhez semmi közük sem lenne.
Ha azt írtad volna, hogy fellépet, és már be is volt jelentkezve a te nevedben, akkor akár lehetne valami backend bug. De kinek áll az érdekében, hogy olyan sessionokat osztogasson, hogy ha ki vagy jelentkezve, de már jártál ott, akkor kitöltse az inputokat?
Aki betalált és partner lenne benne, akkor megpróbálnék közös pontokat keresni.
Nem tudom kinek az érdeke de igy történt az biztos.Azzal a külömbséggel hogy az inputok
kivoltak töltve csak bejelenkezés gombra kellett kattintani és már bent is volt.Ezért kérdezlek titeket hátha talállkozott valaki már ilyen hibával.
Milyen net? Cseréltetek közben IP-címet?
És te mennyivel régebben voltál fenn?
Adsl, nem cseréltünk közben ip címet és sokkal régebben voltam fent kb 1 hónappal korábban.
Ettől függetlenül lehet, hogy a belépési adatok kitöltésében úgy segít, hogy az első/legutóbbi belépés adataiból plusz a fejlesztő diliflepnijének sorszámából generál egy kulcsot, ami annyira egyéni, mint a Kis János név, majd ahhoz elment és legközelebb azok alapján odaad mindent.
A nagy állatkertben nem lehetetlen, hogy egy ultramodern Robin Hood sütit lop onnan, ahol sok van, és titkon odaajándékozza, ahol kevés, de ilyesmire inkább árpilis és nem január elseje körül számítanék.
vagy esetleg nem kellő körültekintéssel lettek azok a kulcsok generálva, és emiatt nem unique. a kérdező meg pont egy ugyanolyat kapott, mint a becsületes megtalálója.
Először szerintem az érintett cégnél kellene érdeklődni, hátha tudnak róla és akkor nem kell tovább idegeskedni miatta.
Lehet akár egy friss fejlesztés által hozott bug is.
(Jegyezz meg funkció, csak rosszul kezeli a cookie-t és valami hülye kitalálta, hogy a jelszavad is meg kell jegyezni :( )
Annyiból amit leírtál, akár bug is lehet. Jártam már úgy, hogy be voltam jelentkezve egy blogra és egy vadidegen, de létező nick jelent meg a hozzászólás doboza mellett/felett.
Support már tudott róla, majd javítják.
Indapass-nal rendszeres operamini-vel.
--
zsebHUP-ot használok!
Ami egy blognál kevésbé érdekelne de egy rendelős oldalnál már elég cinkes.
Ha ki van töltve az input, akkor az valszeg nem szerver hiba. A browser a jelszavakat lokálban tárolja, igaz chrome tudja szinkronizálni őket, de bejelentkezés kell hozzá.
"chrome tudja"
A chrome az goooooooogle?
:)
vagy inkább :(
Ja, hatalmas királyság lenne, ha nem a googleé lenne a chromium. Jelenleg ez az egyetlen egy böngésző van, amit szívesen használok. A konzolját is annyira megszoktam, hogy nekem már az ff-ben minden kínai. :)
Bocs, de még mindig nem teljesen tiszta, hogy pontosan mi és hogyan is történt itt..
- Ha A user bejelentkezik a saját felhasználó nevével és jelszavával, majd B userként azonosítja/lépteti be a rendszer, akkor az szerver oldali (alkalmazás beli) hiba.
- Ha A usernek be se kell jelentkeznie és nyomban B userként léptetődik be, akkor az elvileg lehet kliens és szerveroldali hiba is, de a szerveroldali (főként cookie ütközés) esélyesebb
- Ha A user belépési kísérletekkor a felhasználónév/jelszó mezők B user adatait tartalmazzák akkor az egyértelműen kliens oldali hiba, tekintve ,hogy a kliens (böngésző) tárolja ezeket az adatokat, a szerver nem. Persze elő fordulhat, hogy van valami kliens oldali szinkronizáció a háttérben, de azt azért be kell állítani, hogy az adat a 2 gép között valamilyen úton tudjon közlekedni. (single copy esetén is)
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..
Ezt a választ kaptam a cégtől!Nem tudom most megkéne nyugodnom?! :-)
"Kedves ...........!
Köszönjük jelzését, melyet természetesen továbbítottam illetékes Kollégáink felé.
Reméljük, hogy a jövőben hasonló kellemetlenség nem fog előfordulni.
Tisztelettel:
....... Szilvia
Mindenesetre magukra vállalta a hibát Szilvia. :)
Hasonló választ kaptam a Vodafone-tól kb. egy hónapja, azóta is fennál a nyomi bugjuk.
Mivel az általad vázolt hibajelenség az "ilyen hiba nem létezik" kategóriába esik, ezért kétlem hogy sokat fognak rajta törpölni. Hacsak nem jelez nekik hasonló problémát még sok user. Mert akkor mégis van ilyen hiba :D
Hasonlót láttam proxy mögött. Az adott weboldal (már nem emlékszem de vagy a freemail vagy a citromail, kb 5 éve) a bejelentkező infókat sikeresen elrakta a leküldött válaszoldalba (is). Ahányszor nyomtam egy refresh-t, annyiszor kaptam új, előre kitöltött login ablakot újabb nevekkel. Mert ugye visszakaptam a proxy cache-ből az előttem próbálkozónak küldött választ.
Első körben az látszik, hogy tipikus php session probléma.
Te beléptél/kiléptél, ő belépett, és megkapta a Te volt sessionödet.
--
PtY - www.onlinedemo.hu
Nekem nem úgy tűnik... amiről te beszélsz, az normális esetben azt jelenti, hogy megnyitja az oldalt és máris bejelentkezett állapotban találja magát, egy vadidegen nevében.
Itt meg ha jól értem, kapott egy bejelentkező képernyőt, rajta a téma nyitójának nevével és jelszavával. (de valaki szóljon, ha félreértettem valamit!)
Egyáltalán nem. Konkrétan láttam olyat, hogy Béla a bejelentkezés után már Géza néven volt a rendszerben.
Nem kell hozzá más, csak loadbalancer meg cluster, meg bug.
--
PtY - www.onlinedemo.hu
Ezt én értem, de a leírás szerint az idegen egy olyan login képernyőt kapott, amiben anthony_ adatai voltak.
Vágom, írom lentebb.
--
PtY - www.onlinedemo.hu
HZ mondja jól. Az input ki volt töltve, tehát normális esetben ehhez semmi köze a sessionnak. Nem volt autentikáció. Az természetesen lehet, hogy a fejlesztők valami végtelenül nagy baromságot csináltak szerveroldalon, és okosabbak próbáltak lenni a usernél... pl. IP alapján azonosítani valakit és kitölteni a login formot:) omg
Hasonló a probléma, ha a "jegyezd meg az adataimat" be van jelölve, és a sütit elrakja az app a sessionbe, és a következő Bélának meg visszaadja anélkül, hogy lokálisan ott a megfelelő süti vagy sem.
Még mindig azt mondom, hogy session kezelési hiba, plusz egy hatalmas programozási hiba, ami már nem a backend műve.
--
PtY - www.onlinedemo.hu
Legjobb tudomásom szerint a "remember me" annyit csinál, hogy ha nem jelentkezel ki, de bezárod a böngészőt, akkor is megmarad a munkamenet. Biztonsági okok miatt nem szoktam ezt használni, ezért találgatok:)
Amiről te beszélsz az még mindig az, hogy ha felmegy x user egy weboldalra, akkor egyből y usernek van azonosítva, és neki nem is kell a login formot mutogatni. Esetünkben erről szó sincs. A "jegyezd meg az adataimat" nem arról szól, hogy töltse ki automata a login inputokat.
Tehát ha a session a db-ben van, és a fejlesztők nem gondoskodtak olyan állatságról, hogy valamiképp azonosítják az usert és kitöltik a loginformot, akkor itt nem hiszem, hogy a sessionokról kéne beszélnünk.
Az a baj, hogy nulla információnk van.:) Annyit tudunk, hogy mi történt, de még az illatszeres weboldalt sem ismerjük. Én fentebb írtam, hogy azon sem lepődnék meg, ha az illatszereseknek ehhez semmi közük sem lenne.
'A "jegyezd meg az adataimat" nem arról szól, hogy töltse ki automata a login inputokat.'
Láttál már OTP netbankot? Megjegyzi az azonisítót, a számlaszámot, csak a jelszavadat kell beírni (aminek a megjegyzése technikailag ugyanaz lenne, mint a többi mezőé). Szóval de, azt is jelentheti, a kértés, hogy a feature hogyan kerül implemetálásra.
Azt azért még érdemes lehetne tudni, hogy mi a böngésző?
Van-e esetleg valami szinkronizáció bekapcsolva (pl. Firefox sync), ami a központi adattárolás hibája miatt esetleg összekeverheti az adataitokat.
--
PtY - www.onlinedemo.hu
csak a jelszavadat kell beírni (aminek a megjegyzése technikailag ugyanaz lenne, mint a többi mezőé)
Ez akkor lenne igaz ha plain textben tárolnák a jelszavakat. hasht nem fog visszaadni a password mezőbe!
Aham, Te hasht szoktál beírni a webes formok password mezőjébe?
Láttad már, hogy hogy néz ki egy <input type="password" value="xxxxx" name="whatever"> technikailag? A value mezőben nem hash van, hanem plaintext. Az, hogy a böngésző úgy menti el, hogy hasht tárol, csak azért van, hogy más ne tudja meg olyan könnyen az elmentett jelszavaidat.
Viszont a böngészőbe plaintextként kerül.
--
PtY - www.onlinedemo.hu
Remélem részeg vagy, az mindent megmagyarázna! :D
Ha segít rajtad az, hogy ezt gondolod, hát tedd. De azért olvass utána, hogy a HTML form hogyan működik.
--
PtY - www.onlinedemo.hu
Azért írtam, hogy remélem részeg vagy, mert lököd itt nekem a sületlenségeidet aminek se füle, se farka. Reagálnom is kár arra a hozzászólásodra ahol a böngésző menti el a jelszót hashelve, stb.. :D
Mert? Ha a jelszó mentését választod a böngészőben, akkor szerinted plaintextben menti el?
--
PtY - www.onlinedemo.hu
Javíts ki, ha rosszul tudom, de a hash az egyirányú kódolást jelent.
Alapvetően ebben van igazság.
--
PtY - www.onlinedemo.hu
Nem mindegy, hogy a böngésző vagy a weboldal kérdi meg, hogy mentse el a jelszavát. Elvileg a böngésző titkosítva tárolja a belépési adatokat, különben a kémprogramoknak könnyebb dolguk lenne. Ha meg weboldal jegyzi meg az adatokat, akkor elvileg ugyanabban a formában kell kitöltenie a belépési adatokat, mintha azt épp a felhasználó tenné. Illetve már a bejelentkezett munkamenetben is folytathatja.
Pont erről beszélek, hogy megkapott egy munkamenetet, vagy valami mozilla-sync kavar lehet. Mást nem tudok elképzelni.
--
PtY - www.onlinedemo.hu
Igen, szerintem plain text, vagy localba van dekódolva. De még csak véletlenül sem említettem meg ebben a témában a böngészők jelszókezelését, azt sem tudom, hogy minek keverted ebbe a szálba.
Mert PtY erre is gondolhatott.
Gondolhatott ő sok mindenre, de erre reagált, és felette sem volt szó a böngészők jelszókezeléséről.
Pont fölötte.
Azt meg nem tudhatod, hogy X php kód mit és hogyan tárol a sessionben - ha csak nem Te írtad. ;)
--
PtY - www.onlinedemo.hu
Többször sikerült bebizonyítanod, hogy kevered a sessionok által nyújtotta lehetőségeket a böngészők jelszókezelésével. Hol erről beszélsz, hol arról, de sosem sikerül a témához csak egy kicsit is odavaló dolgot írnod.
Kezdted ezzel:
Hasonló a probléma, ha a "jegyezd meg az adataimat" be van jelölve, és a sütit elrakja az app a sessionbe
Sütiben "is" tárolunk és nem a sessionban a sütit! :D
és a következő Bélának meg visszaadja anélkül, hogy lokálisan ott a megfelelő süti vagy sem.
Tényleg? Na és mire kapna Bélánk valid munkamenetet, a két szép szemére? Ja hogy te még itt mindig úgy voltál vele, hogy a "remember me" az azt jelenti, hogy töltse ki a login formon a név és jelszó párost. Azt max. a böngésző tehetné meg többek között(mester jelszó), mert ahhoz hogy valaki kitöltsön egy password inputot szerveroldalról, ahhoz nagyon idiótának kell lenni.
Láttál már OTP netbankot? Megjegyzi az azonisítót, a számlaszámot, csak a jelszavadat kell beírni (aminek a megjegyzése technikailag ugyanaz lenne, mint a többi mezőé).
Erre leírtam neked, hogy ez akkor lenne igaz ha plain textben tárolnák - vagy lehetőség lenne a dekódolásra. Nem a véletlen műve, hogy az OTP nem tölti ki neked a password mezőt.
Na erre mit kaptam tőled? Mutatom :D
Aham, Te hasht szoktál beírni a webes formok password mezőjébe?
Gratulálok!
Láttad már, hogy hogy néz ki egy
Itt egy kis arcoskodást láthattam tőled...
A value mezőben nem hash van, hanem plaintext.
Ez a mi szerencsénk:D
Az, hogy a böngésző úgy menti el, hogy hasht tárol, csak azért van, hogy más ne tudja meg olyan könnyen az elmentett jelszavaidat. Viszont a böngészőbe plaintextként kerül.
A hashnak pont az a lényege, hogy a kimeneti adatból nem fogod visszakapni a bemenetit. A vicc az, hogy itt már böngészőzöl amikor szó sem volt róla.
De azért olvass utána, hogy a HTML form hogyan működik.
Ha kényes adatról van szó, akkor a legkisebb szerepet pont a form fogja kapni. Volt itt szó hashról, sessionokról, böngészőben jelszókezelésről, de te elküldesz engem html form működéséről olvasgatni, ki a fakkot érdekli egy input :D
De a legjobban ez tetszett tőled:
;)
Most ettől a smileytól azt kéne gondolnom, hogy mekkora királyságot mondtál, és hogy mekkora profi vagy? :D
Nem állt szándékomban bántani téged, beszóltál én meg visszalőttem. Nem vagyok a munkamenetek és a jelszótárolás szakértője, sőt, a legalja vagyok, de amit te itt rendeztél nekem attól kisült az agyam. :D
Nem fogom leírni az elejétől az egészet újra. Több verziót felsoroltam, ami beleszólhat az egészbe, amit Te most összemosol eggyé. Persze, hogy így nincs értelme.
Mindezeket tetézed ilyen értelmes mondatokkal: 'Sütiben "is" tárolunk és nem a sessionban a sütit! :D'
Szerintem inkább igyál még ;)
Csak egy példa: az, hogy az OTP nem tölti ki a password mezőt alapból nem jelenti azt, hogy ne lenne kivitelezhető. Igen, ha nem csak a jelszóhasht tárolná, akkor tudná csak. De Te biztosan tudod, hogy a kérdéses oldal mit és hogyan tárol? Nem. Innentől bikkmakk.
Kérem, kaccsollyaki.
És nem vagyok profi, találgatok. Te osztod az észt és idézgetsz kiragadott szövegrészeket egymás után, amelyek között nincs kapcsolat. Ezt bárki meg tudja tenni, és még pia sem kell mellé.
</trolletetés>
--
PtY - www.onlinedemo.hu
:D
Juj ez a videó már nem kellett volna. PtY remélem nincs harag köztünk. Nem voltam részeg, de józan sem. :)
Csak most néztem bele, de miért lenne harag? :)
Ez amúgy is jobb IMHO
--
PtY - www.onlinedemo.hu
Tudod te, hány helyen tárolják plain textben, de legalábbis visszafejthető formában a jelszavakat? :(
Többek közt onnan lehet megtudni, hogy az elfelejtett jelszót simán elküldik e-mailben. Nem egy ilyen oldallal találkoztam sajnos.
Pl. mailman, hogy messzire ne menjünk...
De a böngészőben mindenképpen plaintextben jelenik meg, mivel a html az alapvetően egy plaintext cucc :)
--
PtY - www.onlinedemo.hu
Például a prog.hu :DDD
Szerk.
Jaj annyira röhögtem a prog.hu-n, hogy elfelejtettem leírni, hogy igen sajnos ilyen is van, de ez a legalja. :)
Nem mindegyik küldi el a jelszót emailben. De amelyik elküldi, az gondolom kódolatlan formában tárolja a jelszót az adatbázisban.
Nem ezt mondom én is? ;)
Viszont elég sok oldal hajlamos az elfelejtett jelszót elküldeni mailben. :(
Úgy jött le, hogy minden weboldal elküldi a jelszót ilyen esetben, ha nincs titkosítva.
Ugyanakkor lényegtelen, hogy titkosítva van e, ha az adatok ellenőrzése jól van kezelve mondjuk php szinten. Mondjuk a https kapcsolat sokat számíthat az adatok lefülelésének megakadályozására.
Persze, lényegtelen. Egész addig, míg valaki hozzá nem fér a jelszó adatbázishoz. ;)
Attól kezdve már nagyon nem mindegy, hogy titkosítatlan vagy mondjuk egy "sózott" SHA512-vel (most mondtam valamit, ami eszembe jutott) kódolt hash-t tudott lenyúlni.
És hogyan ösztökélhetném öket a php session hiba javítására?!
BUÉK MINDENKINEK!
Több száz személy nevében külön email címekről különböző tartalommal írsz neki folyamatosan, hogy van ez a hiba. De az oldal Facebook oldalán is megteheted mindenki szeme láttára. :D
Ha egész jól leírtad a dolgokat és ennek ellenére sem akarják kijavítani, akkor igazából sokat nem tehetsz. Emlékeztetheted őket rengetegszer több személynek is írva, de még így is lehet, hogy nem lesz semmi változás.
Általában több oka van, h annyiba hagyják:
- nem jut el a megfelelő személyhez az üzenet vagy nem váltja ki belőlük a megfelelő reakciót. Lehet, hogy értetlenek, lusták, programozó nélkül maradtak stb.
Mi a böngésző? FF Sync mindkét oldalon? Vagy egyenértékű funkció valamely más böngészőben?
Ugyanolyan böngészőt használtok mindketten?
Én chrome-ot míg ő firefox-ot.
Akkor ez kilőve.
PhpMyAdmint törlöd, mindent a konzolból csinálsz meg. Így az ssh-át birtokba véve tud dolgokat csinálni. Persze ez nemigazán kényelmes megoldás. Vagy. Csak annyi időre rakod fel a PhpMyAdmint, amennyi időre szükséged van épp.
-
Az adott emailhez lehet bármiféle közöd? Van valami jelszó- vagy bármi synced a browserben beállítva?
Troll: ehe, ez valami NSA bug lesz :D
Megtaláltam a jelszókezelőben, egyszer jó régen odakerülhetett, úgyhogy a firefox írta be a jelszót, nem bug :)
--