web je vadnej (poněkolikáté!)

Zdravím,

zcela bez práce jsem štípl web panprstenu.unas.cz, prostě jsem si nechal poslat heslo na mail... problém: s tím webem nemám nic společnýho. Několikrát jsem psal jeho vlastníkovi, i na tohle fórum jsem něco hodil a prd. Prosím miru nebo majitele webu, aby se mi konečně ozvali (už půl roku mi chodí na mail jeho chybný registrace, dokonce jsem mu i parkrat psal a docela mě odbyl (majitel, nikoliv míra!) - nevím jestli jsem jen dítě štěstěny nebo jest to obvyklé).

Každopádně se mi, majiteli, co nejdřív ozvi - vrátím Ti heslo.

SaLám

<HTML>nastavil jsem tam email, ktery je uvedeny na webu

zajimalo by me, jakym zpusobem jsi si jako nechal poslat to (cizi) heslo na mail (spis mi to posli mejlem nez sem)
diky</HTML>

mira> psal jsem to na "podpora@webzdarma.cz" a ted nevim, jestli ses to ty - pokud je to spatne, a potrebujes to nutne, tak mi prosim brnkni na 603/104688

mej se:)

bych rekl, ze si imho neco sprasil ve zdrojacich, pac mi jednou taky prislo [a to jsem ani nedaval pozadavek o poslani hesla na jakykoliv web] heslo na web, ktery sem v zitovote nevidel nic spolecnyho s nim nemam a namuj mail samozrejme taky nebyl psany...! a heslo jsem zkousel a samozrejme spravne:))).

Lukasik

LOL :) koukam na nesmyslnost toho systemu..

1. co kdyby se heslo na pozadavek odeslalo na email, ktery je zapsan v uctu dane adresy? :D

nekdo napise kwetacciweb.wz.cz .. najde se v DB, ze k tomu je mail cubicka@post.cz .. a odesle se na nej mail...

2. co kdyby na serveru nebyla ulozena hesla, jen md5()kem zahashovane heslo, a pak by se jen porovnaval zahashovany string z formulare pro vstup a ten, ktery je v db pro dany account
- ztrata hesla by se pak resila vygenerovanim noveho hesla, ktere by se opet zaslalo na email cloveka... --- a bylo by ta prace NEKOHO a ne skriptu, uz vidim nejake debilky, ktery by schvalne menili hesla nejakemu chudakovi

...

to jsem nepochopil

miro.. :P jiste sis jako admin wz vsiml, ze hesla jsou ulozena nezahashovana.. to je trosku malej bullshit, nevim jak je zabezpeceny server nebo db, v ktere jsou hesla ulozene - nic vsak neni zabezpecene dokonale, tudiz tady ty "hacked by" ktere jsou ted asi na dennim poradku (kdyz se podivas na top10 :) hnedka prvni stranka je hacked" .. a podle stiznosti ve foru to asi neni jedina hacked stranka na wz :D

myslim ze za takovym poctem hacku asi spociva spatne nakladani s hesly.. .. proc nezahashujes hesla do db :) pomoci MD5() ktera jak vim se snad ani neda rozhasovat.. kdyz mas pak zahashovane heslicko, nikdo ho nezna.. pri vstupu na stranku se to co zadas jako heslo take zahashuje a porovnaji se ty dve zahashovane veci, kdyz souhlasi, heslo je spravne...

tomu snad rozumis (vecinou to tak maji kvuli bezpecnosti profi servery)... pro zapomenuti hesla se pak vygeneruje nejakej nahodnej bullshit a odesle se na email, ktery je spojen s registraci...

ja na tom nevidim nic nepochopitelneho a pocazuji to jako standard bezpecnosti stranek, kde se pracuje s nejakejma accountama... s hruzou se koukam na to, jak si muzu prohlizet sve heslo v adminu tady na wz :P LOL

:) no.. tak sem zaskocen.. jeste pred par mesici to tu tak fungovalo, ted sem se podival do "zmen heslo" a.. uz to tam neni.. sorry miro :)

> hesla jsou ulozena nezahashovana

nevim jak jsi na to prisel
vsechna hesla (az na hesla k sql databazi, ktera jsou ve skriptech stejne v plaintextu) jsou cryptovana, i drive to tak bylo, pravda, drive se dalo zmenit heslo primo z webu, ted se posila jen odkaz