Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej. *ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.
Wysyłałem wam jakiś czas temu news o tym, że nie tylko ta kwestia kuleje.
Biblioteka PWR przechowuje hasła w formie plaintextu. Dodatkowo jeden z podsystemów bibliotecznych – OneLog (który już chyba nie istnieje) przechowywał hasła w postaci wpiętego do segregatora podania o założenie konta, z nieszyfrowaną, BARDZO PLAINTEXTOWĄ wersją hasła.
Z tym OneLogiem jeszcze lepsza akcja była – po “rejestracji” dostawało się dostęp do strony, która odpalała w przeglądarce klienta RDP, logując do kompa mającego dostęp do docelowej bazy. Co ciekawe, logowało na konto administratora – kumpel raz instalnął tam firefoksa a jak dał znać adminom żeby sobie poprawili buga to go zaczęli dyscyplinarką straszyć…
Już nie. Jakiś rok temu zaczęto hashować hasła, bo zostałem poinformowany przez bibliotekę podczas pozyskiwania możliwości wypożyczania, że jak zapomnę hasło to jedyną możliwością będzie teraz jedynie reset hasła. A może usuneli tylko widoczność tej informacji z interfejsu? Tego nie można być pewnym tak samo jak w wypadku Allegro, które nadal nie wiadomo czy hashuje hasła.
Ciągle plaintext. Poprosiłem dzisiaj o zmianę hasła:
[Kobieta]: Wie Pan co… To niemożliwe aby ktoś miał takie hasło. Ustawię Panu nowe, proszę mi tu napisać na kartce…
[Ja]: W takim razie proszę mi podać pierwsze 2 znaki, może sobie przypomnę
[Kobieta]:
[Ja]: Dziękuję…
nie jest dobry.
Jednostki Politechniki Wrocławskiej mają swoje strony w domenie pwr.wroc.pl a nie pwr.edu.pl
w treści link prowadzi pod dobry adres, na screenie przeglądarce jest dobry adres, ale w podpisie obrazka jest “if.pwr.edu.pl hacked”
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Posłuchaj jednego z naszych 8 cyberwykładów. Wiedzę podajemy z humorem i w przystępny dla każdego pracownika sposób. Zdalnie lub u Ciebie w firmie. Kliknij tu i zobacz opisy wykładów!
Każdy powinien zobaczyć te webinary! Praktyczna wiedza i zrozumiały język. 6 topowych tematów — kliknij tutaj i zobacz szczegółowe opisy oraz darmowy webinar.
Po jaką cholerę instytut fizyki?
Najwyraźniej ktoś nie miał ochoty pisać egzaminu ;)
bo pewnie mógł…
Bo tylko to im się udało podmienić :>
Uoo Wspomnienia z mlodzienczych czasow studiow na if powrocily ;P
Hmmm francuzi?
Wysyłałem wam jakiś czas temu news o tym, że nie tylko ta kwestia kuleje.
Biblioteka PWR przechowuje hasła w formie plaintextu. Dodatkowo jeden z podsystemów bibliotecznych – OneLog (który już chyba nie istnieje) przechowywał hasła w postaci wpiętego do segregatora podania o założenie konta, z nieszyfrowaną, BARDZO PLAINTEXTOWĄ wersją hasła.
W jaki sposób segregator komunikował się z siecią?
Z tym OneLogiem jeszcze lepsza akcja była – po “rejestracji” dostawało się dostęp do strony, która odpalała w przeglądarce klienta RDP, logując do kompa mającego dostęp do docelowej bazy. Co ciekawe, logowało na konto administratora – kumpel raz instalnął tam firefoksa a jak dał znać adminom żeby sobie poprawili buga to go zaczęli dyscyplinarką straszyć…
Już nie. Jakiś rok temu zaczęto hashować hasła, bo zostałem poinformowany przez bibliotekę podczas pozyskiwania możliwości wypożyczania, że jak zapomnę hasło to jedyną możliwością będzie teraz jedynie reset hasła. A może usuneli tylko widoczność tej informacji z interfejsu? Tego nie można być pewnym tak samo jak w wypadku Allegro, które nadal nie wiadomo czy hashuje hasła.
Ciągle plaintext. Poprosiłem dzisiaj o zmianę hasła:
[Kobieta]: Wie Pan co… To niemożliwe aby ktoś miał takie hasło. Ustawię Panu nowe, proszę mi tu napisać na kartce…
[Ja]: W takim razie proszę mi podać pierwsze 2 znaki, może sobie przypomnę
[Kobieta]:
[Ja]: Dziękuję…
pod miniaturką jest błędny adres strony instytutu.
Jest dobry, tylko stronę zdjęli na razie. Wcześniej była podmieniona.
nie jest dobry.
Jednostki Politechniki Wrocławskiej mają swoje strony w domenie pwr.wroc.pl a nie pwr.edu.pl
w treści link prowadzi pod dobry adres, na screenie przeglądarce jest dobry adres, ale w podpisie obrazka jest “if.pwr.edu.pl hacked”