Strona 1 z 1
Błąd bezpieczeństwa na Poloniexie
: niedziela, 21 sierpnia 2016, 09:26
autor: Bit-els
Nasz kolega z forum odkrył błąd jaki mają na Polonixie.
Przy 100 znakowym haśle wystarczy dodać losowe znaki i można się logować. Tu wątek na Bitcointalk
dał im oczywiście cynk, ale nic nie zrobili.
Można powiedzieć, że to bez znaczenia, bo przy krótszych hasłach takie rzeczy nie występują, ale chodzi o zasadę. Gdzieś w pracy programistycznej coś źle zrobili. Może maja też inne błędy.
Po Bitfinexie, i innych naturalnie, trzeba dmuchać na zimne.
Błąd bezpieczeństwa na Poloniexie
: niedziela, 21 sierpnia 2016, 10:44
autor: Chancellor
Ale czy ten błąd ułatwia złamanie hasła? Dopóki nie znasz właściwego, fakt, że dowolne znaki umieszczone po nim także logują, jest mało przydatny. Wysiłek niezbędny do złamania hasła metodą brute force pozostaje bez zmian.
Jedyne co budzi niepokój to to, że skoro jest taki błąd, to być może są też inne, bardziej niebezpieczne.
Błąd bezpieczeństwa na Poloniexie
: niedziela, 21 sierpnia 2016, 14:10
autor: pm7
Chancellor pisze: dowolne znaki umieszczone po nim także logują, jest mało przydatny
logują?
Właśnie w tym problem, że ignorują, co definitywnie nie jest normalnym działaniem.
Nie ułatwia złamania hasła (przynajmniej nie w znaczący sposób), ale to co sugeruje jest niepokojące.
Błąd bezpieczeństwa na Poloniexie
: niedziela, 21 sierpnia 2016, 14:18
autor: Chancellor
Wyraziłem się nieprecyzyjnie. Chodziło mi o to, że dopisanie tych znaków nie wpływa na zalogowanie się.
Błąd bezpieczeństwa na Poloniexie
: niedziela, 21 sierpnia 2016, 14:35
autor: The Real McCoin
No to jedyny problem w tym, że jeżeli ktoś ustawił sobie 200-znakowe hasło (o ile to było możliwe) i takie wpisuje przy logowaniu, to nie wie, że tak na prawdę ma tylko 100-znakowe w serwisie.
Błąd bezpieczeństwa na Poloniexie
: poniedziałek, 22 sierpnia 2016, 01:48
autor: Adrix
Popadacie w paranoje. Nikt nie złamie 100 znakowego hasła, nazwywanie tego błędem bezpieczeństwa jest skrajną głupotą. Domyślam się że jest jakieś ograniczenie do tych 100 znaków podczas przesyłania tych danych postem/ajaxem i pewnie hasła dłuższe jak 100 są przycinane do max 100. Być może jest to właśnie zabezpieczenie przed spamowaniem formularzy hasłami po kilka tys. znaków, co mogłoby przynosić nieoczekiwane zachowanie skryptu odbierającego dane.
Błąd bezpieczeństwa na Poloniexie
: poniedziałek, 22 sierpnia 2016, 03:51
autor: Bit-els
Przemyślałem to, prawdopodobnie masz rację.
Ale zostawiam już tak nazwany wątek.
Umrze śmiercią naturalną.
Błąd bezpieczeństwa na Poloniexie
: poniedziałek, 22 sierpnia 2016, 08:21
autor: rav3n_pl
Mają "po prostu" sanityzację wejścia na max 100 znaków i tyle.
Powinni to podać w warunkach zakładania hasła (np. długość 8-100 znaków) i po błędzie.
Fakt, że zignorowali informację że tak się dzieje jest dziwny, powinny po prostu potwierdzić "its not a bug but a feature". ;]