Citat:
aha...a onda je mrmot zavio...khm...evo, hoces ja da ti dam moj mail i da vidim kako ces da mi izmenis potpis. Dacu ti i password za mail. Bas me zanima kako ces to da izvedes. Al da mi kazes posle sta si uradio, jer me zivo interesuje sta ce moj mail da ti pomogne, i moj prazan inbox. Evo i za moderatora vazi isti poziv.
Slobodan ti je vec objasnio kompletnu proceduru - kad imas pristup korisnikovom e-mailu, mozes dobiti novi ES password na taj isti e-mail pukim zahtevom na ES-sajtu posle neuspesnog logovanja.
Na mnogim sajtovima mozes na isti nacin dobiti i stari password, sto je jos opasnija stvar ako je u pitanju neki manje sigurni e-payment servis i sl.. gde postoje neki osetljivi detalji.
Nema tu puno resenja, posto servis (u ovom slucaju ES) podrazumeva da je tvoj e-mail account samo tvoj, i to je point identifikaicje tebe kao usera. Drugog resenja nema, osim da te zovemo na telefon - koga isto neko moze da ti ukrade, zar ne?
Jedino racionalno tehnicko resenje (i dalje ranjivo na socijalni inzenjering) je da pri izmeni sifre zahtevamo e-mail adresu i jos neki licni privatni podatak koji moras znati (tajno pitanje, i sl...) sto ce mozda i biti implementirano jednog dana ovde. Za sada nema previse potrebe.
Dakle, cela stvar nema veze sa ES-om i sigurnoscu ES-a, vec iskljucivo sa sigurnosnim propustom korisnika koji je ocigledno nekako uspeo da kompromituje svoj e-mail nalog.
Bio je jos (bar) jedan takav slucaj, gde nismo uopste imali nikakav drugi point-of-contact sa korisnikom, pa sam mu jednostavno blacklistovao nalog, i obavestio ga na stari e-mail da se javi posto mu je nalog verovatno haknut, u nadi da ce to stvarno biti on. Ne znam sta drugo uraditi vise od toga.
[Ovu poruku je menjao Ivan Dimkovic dana 01.02.2006. u 20:42 GMT+1]
DigiCortex (ex. SpikeFun) - Cortical Neural Network Simulator:
http://www.digicortex.net/node/1 Videos:
http://www.digicortex.net/node/17 Gallery:
http://www.digicortex.net/node/25
PowerMonkey - Redyce CPU Power Waste and gain performance! -
https://github.com/psyq321/PowerMonkey