Nasz kolega z forum odkrył błąd jaki mają na Polonixie.
Przy 100 znakowym haśle wystarczy dodać losowe znaki i można się logować. Tu wątek na Bitcointalk
dał im oczywiście cynk, ale nic nie zrobili.
Można powiedzieć, że to bez znaczenia, bo przy krótszych hasłach takie rzeczy nie występują, ale chodzi o zasadę. Gdzieś w pracy programistycznej coś źle zrobili. Może maja też inne błędy.
Po Bitfinexie, i innych naturalnie, trzeba dmuchać na zimne.
Błąd bezpieczeństwa na Poloniexie
Regulamin forum
1. Wszystkie wykryte krytyczne błędy i luki w oprogramowaniu serwisu zgłaszamy do danego serwisu. Nie publikujemy szczegółów na forum !!! Dopuszczalne jest publikowanie błędów o niskim stopniu zagrożenia oraz możliwych słabych punktów które naruszają podstawowe zasady bezpieczeństwa. np brak SSL
2. Na tym forum zgłaszamy jedynie fakt wykrycia luki z podaniem stopnia zagrożenia - małe/umiarkowane/krytyczne
3. Nie prowadzimy tu luźnych dyskusji i pogaduszek - te będą surowo karane!
4. Wszelkie pomówienia są zakazane !
1. Wszystkie wykryte krytyczne błędy i luki w oprogramowaniu serwisu zgłaszamy do danego serwisu. Nie publikujemy szczegółów na forum !!! Dopuszczalne jest publikowanie błędów o niskim stopniu zagrożenia oraz możliwych słabych punktów które naruszają podstawowe zasady bezpieczeństwa. np brak SSL
2. Na tym forum zgłaszamy jedynie fakt wykrycia luki z podaniem stopnia zagrożenia - małe/umiarkowane/krytyczne
3. Nie prowadzimy tu luźnych dyskusji i pogaduszek - te będą surowo karane!
4. Wszelkie pomówienia są zakazane !
- Weteran
- Posty: 3966
- Rejestracja: 15 lutego 2014
- Reputacja: 428
Reputacja postu:
0
Napiwki za post:
0 BTC
Błąd bezpieczeństwa na Poloniexie
Ale czy ten błąd ułatwia złamanie hasła? Dopóki nie znasz właściwego, fakt, że dowolne znaki umieszczone po nim także logują, jest mało przydatny. Wysiłek niezbędny do złamania hasła metodą brute force pozostaje bez zmian.
Jedyne co budzi niepokój to to, że skoro jest taki błąd, to być może są też inne, bardziej niebezpieczne.
Jedyne co budzi niepokój to to, że skoro jest taki błąd, to być może są też inne, bardziej niebezpieczne.
- Weteran
- Posty: 2518
- Rejestracja: 21 marca 2014
- Reputacja: 1468
Reputacja postu:
0
Napiwki za post:
0 BTC
Błąd bezpieczeństwa na Poloniexie
No to jedyny problem w tym, że jeżeli ktoś ustawił sobie 200-znakowe hasło (o ile to było możliwe) i takie wpisuje przy logowaniu, to nie wie, że tak na prawdę ma tylko 100-znakowe w serwisie.
- Początkujący
- Posty: 124
- Rejestracja: 2 grudnia 2015
- Reputacja: 1
Reputacja postu:
2
Napiwki za post:
0 BTC
Błąd bezpieczeństwa na Poloniexie
Popadacie w paranoje. Nikt nie złamie 100 znakowego hasła, nazwywanie tego błędem bezpieczeństwa jest skrajną głupotą. Domyślam się że jest jakieś ograniczenie do tych 100 znaków podczas przesyłania tych danych postem/ajaxem i pewnie hasła dłuższe jak 100 są przycinane do max 100. Być może jest to właśnie zabezpieczenie przed spamowaniem formularzy hasłami po kilka tys. znaków, co mogłoby przynosić nieoczekiwane zachowanie skryptu odbierającego dane.
- Moderator
- Posty: 11686
- Rejestracja: 16 lutego 2013
- Reputacja: 3879
Reputacja postu:
0
Napiwki za post:
0 BTC
Błąd bezpieczeństwa na Poloniexie
Przemyślałem to, prawdopodobnie masz rację.
Ale zostawiam już tak nazwany wątek.
Umrze śmiercią naturalną.
Ale zostawiam już tak nazwany wątek.
Umrze śmiercią naturalną.
- Bardzo Zły Moderator
- Posty: 14380
- Rejestracja: 16 kwietnia 2012
- Reputacja: 2659
- Lokalizacja: Polska/Wwa/GW
Reputacja postu:
0
Napiwki za post:
0 BTC
Błąd bezpieczeństwa na Poloniexie
Mają "po prostu" sanityzację wejścia na max 100 znaków i tyle.
Powinni to podać w warunkach zakładania hasła (np. długość 8-100 znaków) i po błędzie.
Fakt, że zignorowali informację że tak się dzieje jest dziwny, powinny po prostu potwierdzić "its not a bug but a feature". ;]
Powinni to podać w warunkach zakładania hasła (np. długość 8-100 znaków) i po błędzie.
Fakt, że zignorowali informację że tak się dzieje jest dziwny, powinny po prostu potwierdzić "its not a bug but a feature". ;]
Piffko: PLC/BTC 1Rav3nkMayCijuhzcYemMiPYsvcaiwHni
BIP39 Mnemonic z talii kart
Bitcoin Core 0.26.1
Linki do YT, TT, LI i reszty
BIP39 Mnemonic z talii kart
Bitcoin Core 0.26.1
Linki do YT, TT, LI i reszty
Posty: 8
• Strona 1 z 1
Kto jest online
Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 6 gości
Zaloguj się
Partnerzy
