Üdv!
Van ez a hír, nem értem benne, hogy a jelszavakat hogyan szerezték meg, hiszen az e-mail címeket megadják az emberek egy oldalon való regisztráció során, de a gmail, stb. jelszavukat nem. Hacsak nem ugyanazt adták meg és ezt kipróbálták a bűnözők.
http://www.origo.hu/techbazis/20160401-freemail-citromail-yahoo-gmail-ha...
Erről jut eszembe, hogy ha a regisztrációt biztonságossá akarom tenni Drupal alatt, akkor muszáj a szolgáltatótól https címért fizetnem, vagy a Drupal ezt valahogy tudja eleve titkosítottan küldeni?
Ha nem tudja, akkor a https lassítja az oldalt, mint a Privát file-kezelés, vagy ez más ügy és csak pl. a belépést is lehet titkosítani, nem kell mindent?
Illetve emellett külön van értelme Privát file-rendszernek?
privát fájlrendszer és HTTPS
A privát fájlrendszer a hozzáférés-szabályozáshoz kell. Ha a publikus fájloknál tárolsz valamit, akkor azt letöltésnél a webszerver szolgálja ki. A Drupalnak nincs ráhatása arra, hogy ki és hányszor tölti le. Privát fájlrendszernél a fájl letöltését a Drupal vezérli, ezért erőforrásigényesebb, viszont ezzel tudod megoldani pl. hogy csak a regisztrált felhasználók tölthessenek le valamit. Ugyanígy ez kell akkor is, ha számolni szeretnéd a letöltéseket.
A szolgáltató tud neked HTTPS elérést biztosítani, az független a Drupaltól. A HTTPS nem lassítja az oldalt, mivel azt a webszerver kezeli le. A titkosított adatok visszafejtéséhez kell plusz erőforrás, de ez olyan minimális, hogy a gyakorlatban nem érzékelhető.
Választ szeretnél? - Új kérdés, új téma - Tesztoldal - Trollkezelés - Frissítés
Szóval akkor normál esetben a
Szóval akkor normál esetben a belépési jelszavak is láthatóan csúsznak át a neten...
https nélkül igen.
https nélkül igen.
Palócz István
https://palocz.hu | https://tanarurkerem.hu
StartSSL-nél van ingyenes Cert. is
Nem feltétlenül kerül pénzbe a https, ezért használni kell mindenhol, ahol csak lehetséges.
szabozee (zee zee zee kukac free mail pont hu)
Ha belegondolok, meglepően
Ha belegondolok, meglepően kevés oldalon van ilyen, még nagy cégeknél sincs, ahol adatokat kezelnek.
Persze nyilván egy mezei felhasználó így sem tudja megszerezni mások jelszavait, de aki ért hozzá, az igen.
Sajnos az IT biztonság ilyen :-(
Szinte mindenhol a nullához közelít a IT biztonság, ezért aki már egy hajszálnyival többet tesz, mint a nulla sajnos már az is kiemelkedőnek számít. A weboldalak jelentős részén még az adminisztrációs jelszó is szótárazható, de legtöbbször még arra sincsen szükség, mert vagy az oldal nevével, vagy a felhasználóéval egyezik meg ha nem épp valamelyik a top 10-ből mint az "abc123" "qwert" "asdfg" "12345" stb... És ilyen esetekben sajnos a https sem véd meg semmit és senkit.
szabozee (zee zee zee kukac free mail pont hu)
Nem gondoltam, hogy ennyire
Nem gondoltam, hogy ennyire durva a helyzet. Azt látom, hogy a sima felhasználók pl. otthon jelszó nélkül és rendszergazdaként használják a gépet, és csodálkoznak, hogy ha azt mondom csináljanak mindenkinek külön fiókot és ne rendszergazda jogokkal használják általában. De ez azért is van, mert nem értenek hozzá. Meg kicsit igénytelenek, hogy utánanézzenek.
De hogy a hivatásosok is ilyen felelőtlenek???
Pontosítanék
Nem, az IT-szakemberek döntő többsége igenis tisztában van azokkal a biztonsági kockázatokkal, amiket vállalnia kell, mivel nem kap elég erőforrást a megoldásukhoz. Ha az ügyfélnek/menedzsmentnek mindig van magasabb prioritású kívánsága, amit SOS ASAP meg kell oldani, akkor sajnos az ilyen és ehhez hasonló adatbiztonsági feladatok nagyon gyorsan lesüllyednek a „majdegyszer” kategóriába.
Addig pedig reménykedünk, hogy ne mi legyünk a következők, akiket kipécéznek az adatgyűjtő robotok.
Sajnos ez tényleg így van
Én már most fel tudnám sorolni, hogy kik lesznek következők, akik a futanet.hu sorsát nem fogják tudni elkerülni. A legbosszantóbb pedig az, hogy nem azért nem tudják elkerülni, mert nem ismerik a biztonsági réseket. Figyelmeztettem rá őket, és sz...ak rá. És nem egy cég, hanem szinte az összes. Nulla büntetőjogi felelősség, nulla kockázat. Miért is foglalkozna vele ? Inkább bízik benne, hogy nem ő lesz a következő és előbb fog fizetni a grafikusnak az új logóért vagy a marketingesnek aki még több látogatót hoz, mint a biztonságért.
szabozee (zee zee zee kukac free mail pont hu)