sie
21

obrazek

„Zachęcony” lekturą podlinkowanego artykułu zarejestrowałem się na stronie arena.myfide.net za pomocą jednego z najłatwiejszych do złamania haseł (konto próbne, do usunięcia). Wkrótce po tym otrzymałem drogą mailową informację o utworzeniu konta, wraz z powitaniem mnie, w którym jako nazwy użyto właśnie mojego hasła (zamiast imienia albo nazwiska).

Czyli faktycznie, hasła są przechowywane na serwerze w sposób jawny, niezaszyfrowany, a to umożliwia ich podglądnięcie przez osoby trzecie.

Oczywiście nie zamierzam przesyłać do FIDE skanu mojego paszportu czy dowodu osobistego, bo nie mam gwarancji że te dane nie zostaną łatwo ściągnięte z ich serwera (albo podglądnięte w trakcie przesyłania). Jest to zresztą bardzo prawdopodobne, skoro programiści z FIDE nie zadbali o zastosowanie szyfrowanego protokołu https, standardowo wykorzystywanego do przesyłania poufnych informacji. Oj, ktoś spał na wykładach z podstaw bezpieczeństwa internetowego.

Źródło

URL Trackback

Trackback - notka

Komentarzy: 4

  • Marcin

    Pisalem juz o tym kiedys – FIDE kompletnie nie dba o zabezpieczenia swojej strony. To z tego wzgledu ta strona jest tak czesto niedostepna i to wlasnie dlatego jestem PRZECIWKO gromadzeniu danych typu adres email czy adres zamieszkania. DR. Filipowicz teg nie rozumie, co widac po liscie, ktory zostal zamieszczony kiedys na tej stronie. DANE OSOBOWE NIE SA BEZPIECZNE W REKACH FIDE, ale moze trzeba byc (jak ja) informatykiem z wyksztalcenia, zeby zrozumiec zagrozenie. Ludzie z FIDE kompletnie nie zdaja sobie z niego sprawy!

  • Yoda

    Rejestracja nowego użytkownika na stronie jest przeprowadzana bez użycia protokołu https co niestety jest bardzo dużym zaniedbaniem ze strony administratora. Potem sam proces logowania na stronie jest już poprawny i wykorzystany jest tutaj https. List z danymi konta dotarł do mnie poprawnie lecz wolałbym żeby nie było tam danych do logowania zapisanych w sposób jawny, lepszy tutaj byłby np link na który bym kliknął i potwierdził założenie konta na serwerze. Czy dane na serwerze są przechowywane w sposób jawny tak naprawdę trudno powiedzieć. Raczej chyba nie.

  • Krzysztof Kledzik

    Może skany dokumentów tożsamości są szyfrowane, tego nie wiadomo. Ale hasła nie są chronione. Hasła nigdy nie powinny być przesyłane w jawnej postaci w mailach (w ten sposób każdy admin serwera pocztowego, czy zastępujący go student na stażu, może dobrać się do takich kont czytając hasła z Twoich maili). Hasła powinny być szyfrowane i jedyne co mógłby otrzymać odbiorca maila, to link do zresetowania hasła.

  • Yoda

    Podsumowując proces rejestracji jest źle przygotowany i powinien być jak najszybciej dostosowany do znanych standardów bezpieczeństwa.

Dodaj komentarz

Musisz sięzalogować aby móc komentować.

  • Szukaj:
  • Nadchodzące wydarzenia

    paź
    29
    wt.
    2024
    całodniowy MŚ juniorów
    MŚ juniorów
    paź 29 – lis 9 całodniowy
    W dniach 29.10-09.11.2024 we Florianopolis (Brazylia) odbywają się Mistrzostwa Świata Juniorów do lat 14, 16 oraz 18. Więcej informacji na stronie PZSzach Informacja na ChessBase News
    lis
    20
    śr.
    2024
    całodniowy FIDE World Championship 2024
    FIDE World Championship 2024
    lis 20 – gru 15 całodniowy
    Mecz o  mistrzostwo świata: Ding Liren – Gukesh D Więcej informacji: Szachy w moim życiu.: Mistrzostwa Świata odbędą się w Singapurze! (konikowski.net)    
  • Odnośniki

  • Skąd przychodzą

    Free counters! Licznik działa od 29.02.2012
  • Ranking FIDE na żywo

  • Codzienne zadania

    Play Computer
  • Zaprenumeruj ten blog przez e-mail

    Wprowadź swój adres email aby zaprenumerować ten blog i otrzymywać powiadomienia o nowych wpisach przez email.

%d bloggers like this: