Srbija Voz sajt skraćuje šifru pri unosu - verovatno čuvaju šifre kao plaintext - Printable Version +- Bezbedan Balkan (https://bezbedanbalkan.net) +-- Forum: Bezbednost državnih resursa (https://bezbedanbalkan.net/forum-5.html) +--- Forum: Neadekvatno zaštićeni resursi (https://bezbedanbalkan.net/forum-7.html) +--- Thread: Srbija Voz sajt skraćuje šifru pri unosu - verovatno čuvaju šifre kao plaintext (/thread-698.html) |
Srbija Voz sajt skraćuje šifru pri unosu - verovatno čuvaju šifre kao plaintext - milos_rs - 06-13-2023 Napravio sam nalog na http://srbijavoz.rs i stavio odmah dugačku šifru i to prođe "uspešno" tj. nije bilo nikakvih poruka da postoji neki problem. Sada kada opet odem na stranicu za registraciju vidim da čak i piše da je "maksimalno 8 karaktera" ali izgleda da sam to ignorisao. Odmah sam pokušao i da se ulogujem sa istom dugačkom šifrom i neće, kaže šifra mi netačna. Ja šta ću odem na zaboravljenu i imam šta da vidim, jer piše "minimalno 5 karaktera, maksimalno 8 karaktera. Odmah sam znao o čemu je reč jer nije prvi put da nalećem na ovako loše urađen sajt. Skratio sam svoju šifru na 8 karaktera i pokušao da se ulogujem sa njom i to je prošlo uspešno. Dakle skraćuju šifru. Da citiram OWASP Authentication cheat sheet: "Do not silently truncate passwords.". Možemo i da kažemo da je bilo kakvo ograničenje lozinke znak da oni najverovatnije čuvaju lozinke u čistom obliku, bez adekvatne enkripcije. prvobitno objavljeno na twitteru https://twitter.com/milos_rs_/status/1667654159342919694 RE: Srbija Voz sajt skraćuje šifru pri unosu - verovatno čuvaju šifre kao plaintext - Lazić.Dušan - 06-16-2023 Resetovanje lozinke na srbijavoz mi je postao podrazumevani korak pri kupovini karte, pored prijavljivanja. Dodao bih i da je link za resetovanje lozinke koji ti pošalju na mejl uvek isti i nikada ne ističe. |