13.11.2011, 11:40
Ciekawy artykuł na Zdnet.com na temat logowanie do Facebooka. Autor mianowicie odkrył, że podczas logowania do portalu nie ma rozróżniana czy jest włączony klawisz "Caps lock" czy nie . Dzięki temu...właściwie w wyniku tego... istnieje tak naprawdę drugie hasło, które pozwala zalogować się na profil użytkownika . Efekt ten odkryto przypadkowo, a po małym eksperymencie okazało się, że taka akcja jest możliwa na różnych przeglądarkach (wymieniono w artykule IE9 oraz Google Chrome).
Za przykład podano hasło password1234 , które może być zamienione z powodzeniem na hasło PASSWORD1234 oraz bardziej skomplikowane PaSsWoRd1234 ze swoim zamiennikiem w postaci pAsSwOrD1234 . Inne kombinacje przy użyciu klawisza "CL" nie działają. Na tę okoliczność przepytano zespół d/s zabezpieczeń FB i otrzymano odpowiedź (podkreślenia własne) i jak się okazało możliwości są nawet trzy
Problem nie ma aż tak wielkiego znaczenia jeśli chodzi o bezpieczeństwo ale w przypadku celowego ataku, może bardzo ułatwić komuś dostęp do cudzego konta. FB wie o tym "obejściu", ale niespecjalnie widzi w tym problem, ponieważ...jak twierdzi...używa bardziej zaawansowanych metod podczas logowania (m.in. kilka metod szyfrowania), niż zwykły format tekstowy
Całość artykułu
Za przykład podano hasło password1234 , które może być zamienione z powodzeniem na hasło PASSWORD1234 oraz bardziej skomplikowane PaSsWoRd1234 ze swoim zamiennikiem w postaci pAsSwOrD1234 . Inne kombinacje przy użyciu klawisza "CL" nie działają. Na tę okoliczność przepytano zespół d/s zabezpieczeń FB i otrzymano odpowiedź (podkreślenia własne) i jak się okazało możliwości są nawet trzy
Cytat: Facebook actually accepts three forms of your password:
Your original password .
Your original password with the first letter capitalized . This is only for mobile devices, which sometimes capitalize the first character of a word.
Your original password with the case reversed, for those with a caps lock key on .
Problem nie ma aż tak wielkiego znaczenia jeśli chodzi o bezpieczeństwo ale w przypadku celowego ataku, może bardzo ułatwić komuś dostęp do cudzego konta. FB wie o tym "obejściu", ale niespecjalnie widzi w tym problem, ponieważ...jak twierdzi...używa bardziej zaawansowanych metod podczas logowania (m.in. kilka metod szyfrowania), niż zwykły format tekstowy
Cytat: “Nothing is more important to us than the security of our users and their information,” a Facebook spokesperson said in a statement. “Our passwords are not case insensitive. We accept three forms of the user’s password to help overcome the most common reasons that authentic logins are rejected. In addition to the original password, we also accept the password if a user inadvertently has caps lock enabled or their mobile device automatically capitalizes the first character of the password. We feel this does not significantly impact the security of the user’s password or their account. Additionally, we do not store our passwords in plain text we use several encryption technologies and techniques to maintain the security of our information.”
Całość artykułu
[Aby zobaczyć linki, zarejestruj się tutaj]
Kto ma tam konto...zapraszam do prób i zweryfikowania informacji
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"