| |||||
| |||||
|
Важные объявления |
|
07.05.2010, 14:30 TS | #1 (permalink) |
Увлечённый
Регистрация: 08.06.2009
Адрес: Петербург
Сообщений: 568
|
[Зарегистрироваться?]
выяснилось, что их сеть использует не SSL-шифрование, как все остальные, а свою систему кодировки, которую "можно взломать при помощи калькулятора". опасность того, что кто-то станет смотреть ваши карты ничтожно мала, конечно, но вот просниффать трафик вашего провайдера на предмет паролей от рума сможет любой толковый технический работник, увлекающийся покером ну а на уровне провайдера, обслуживающего саму сеть cereus можно завладеть информацией вообще обо всех аккаунтах. реакция ultimate bet [Зарегистрироваться?] |
0 |
07.05.2010, 14:39 | #2 (permalink) |
Интересующийся
Регистрация: 28.12.2007
Адрес: Minsk
Сообщений: 97
|
Была фигня одна. Играл я нл50 6-макс год назад на AP. Мне сдали на батоне QQ. В итоге на префлопе CO лимп, я рэйз, CO колл, блайнды пасс. Флоп 953 радуга. CO чек , я делаю ставку 2\3 пота, CO ИНСТА-фолд с показом карт JJ!
|
0 |
07.05.2010, 20:13 | #6 (permalink) |
Старожил
Регистрация: 30.07.2006
Адрес: burlington
Сообщений: 870
|
Это значит что пароль возможно хранится в базе данных провайдера услуг в незашифрованном виде, а значит любой кто взломает базу данных провайдера получит доступ ко всем счетам автоматически. При нормальной системе безопасности, пасворд низнает никто кроме хозяина. Даже провайдер услуг, так как в его базе он зашифрован и практически не подается расшифровке за вменяемые деньги. Ну и плюс сам емэйл злоумышленники могут прочитать/перехватить.
Но это не обязательно так. Иногда бывает, что провайдер присылает временный пароль, который действует только для одного логина, и требует обезательной замены. Новый же пассворд попадает в базу зашифрованным. |
0 |
07.05.2010, 20:59 | #7 (permalink) | |
Заблокирован
Регистрация: 27.04.2008
Адрес: Санкт-Петербург
Сообщений: 660
|
Цитата:
Про временный пароль тоже интересно. Я так понимаю когда логинишься со временным паролем то на свой счет не заходишь а выскакивает окно с предложением смены пароля, и если ты отказываешься менять то доступа к счету не получаешь. Поправь если не так и доступ к счету все равно получаешь. И также - если сменить временный пароль на такой же то прокатит или нет? |
|
0 |
07.05.2010, 21:19 | #8 (permalink) | |
Энтузиаст
Регистрация: 04.03.2009
Сообщений: 377
|
Цитата:
В нормальных системах хранится не сам пароль, а т.н. хеш от него. Зная хеш пароль восстановить невозможно, поэтому пароль всегда при утере меняется. |
|
0 |
12.05.2010, 21:55 | #10 (permalink) |
Бессмертный
Регистрация: 18.10.2007
Адрес: Москва
Сообщений: 2,840
|
Katar, имеется в виду, что вместо пароля должна была придти ссылка, пройдя по которой можно сбросить старый и установить новый пароль.
Но все равно, все это весьма неустойчиво, так как главное опасение — данные при пересылке в незашифрованном виде становятся доступны третьим лицам — никуда не исчезает. Это третье лицо может воспользоваться той же ссылкой и установить свой пароль быстрее хозяина акка. Поэтому в "нормальных системах" существуют еще и пины или устройства доступа, кроме паролей, для тех, кто всерьез заботится о безопасности акка. |
0 |
13.05.2010, 06:16 | #12 (permalink) |
Увлечённый
Регистрация: 03.11.2006
Адрес: Donetsk
Сообщений: 455
|
Dowid, они прислали тебе твой старый пароль в открытом виде?
Если это так, это не "приличная дыра в безопасности" - это просто полный ПИ3DE^! Katar, если пароль хранится в системе в открытом виде, то это просто НЕ система безопасности. Любой, кто имеет доступ к базе, может видеть твой пароль, даже какой-нить менеджер из суппорта. Железный принцип - система безопасности вообще не должна знать твой пароль, поэтому обычно хранится хеш пароля - некоторый код, получаемый из твоего пароля функцией хеширования (см. матан) Фхеширования(твой_пароль)=хеш_код_твоего пароля. Таким образом, когда ты вводишь свой пароль при логине, снова вычисляется хеш_код_твоего пароля и сравнивается с тем, что хранится в базе. Причем математически это реализовано так, что Фхеширования вычисляется быстро, а обратная функция (дехешировать хеш в пароль) оч. долго - в идеале перебором. Соответственно, даже если злоумышленник подсмотрел в базе твои даные, пароля твоего он не узнает, если это конечно не qwerty или 123 или что-то в таком духе, для чего хеш можно заранее посчитать (зная конкретную реализацию, используемую софтом) и сравнить "на глаз". Это еще делается и в тех целях, чтоб пользователь не светил никому пароль (даже суперпупер админу ресурса) на тот случай, если он использует 1 сложный пароль для многих ресурсов (что все равно плохо) или использует какой-то принцип при построении пароля (например определенная трансформация логина), что опять же позволит узнать его пароли от других ресурсов. Второй вывод - при нормальной реализации тебе не могут физически прислать твой пароль - у них хранится только его хеш код. Поэтому или шлют ссылку по которой ты можешь без логина зайти в смену пароля к своему акку или генерируют новый, временный пароль (в базу соответственно попадает новый хеш код) и шлют тебе, чтоб ты быстренько залогинился и сменил его на известный только тебе. Третий вывод - если тебе прислали твой старый пароль (хоть в открытую, хоть прошептали на мобилу) - значит там нет системы безопасности, там - проходной двор. П.С. Извиняюсь за много букв. |
0 |
13.05.2010, 23:03 | #13 (permalink) | |
Энтузиаст
|
Цитата:
Для восстановления пароля ДОСТАТОЧНО ввести email с которого регистрировался и на это мыло придет старый пароль, под которым можно войти в систему. Его даже не рекомендуют менять. Про полный П.. согласен. |
|
0 |
14.05.2010, 02:32 | #14 (permalink) |
Увлечённый
Регистрация: 03.11.2006
Адрес: Donetsk
Сообщений: 455
|
Нда, в РедКингз - ни ногой(с)
Я тут давече в одной из витрин боссмедии регистрировался, ограничение на пароль 6-8 символов - и то напрягся. Действительно, остается только удивляться насколько пох людям, владеющим немаленьким бизнесом, на безопасность. П.С. Вообще, покерный софт весьма удивляет - часто густо убогий дизайн и отвратное юзабилити, при том что от этого зависят их доходы. Да еще и проблемы с безопасностью. |
0 |
14.05.2010, 19:58 | #16 (permalink) |
Интересующийся
Регистрация: 28.12.2007
Адрес: Minsk
Сообщений: 97
|
Вот есоч про пароли на Пацифик покере. Сегодня общался с саппортом, в итоге пароль я им не называл.
Hero: Hi, How muck rake do i need accumulate to release my 100 bonus dollars at my account ? ..... Shian: could you also confirm the first 2 characters of your password please? Hero: Its security violence to ask password Hero: So answer please my question Hero: How muck rake do i need accumulate to release my 100 bonus dollars at my account ? Shian: I am sorry Hero but it is policy that we ask for the first two characters of your password to verify the owner of the account. I am not asking you for your full password. Hero: I refuse Hero: i later write via email without any passwords Shian: no worries. please confirm your full address Hero ..... Shian: Thank you so much for providing the details Hero. .... |
0 |
15.05.2010, 00:39 TS | #18 (permalink) |
Увлечённый
Регистрация: 08.06.2009
Адрес: Петербург
Сообщений: 568
|
история с ub/ap продолжается: вчера они заявили, что внедряют open ssl шифрование, но PTR заявили, что всё осталось по-прежнему - пароли от аккаунтов (ну и карты сдающиеся) до сих пор можно получить простым сниффингом трафика, доступ к компьютеру жертвы не требуется.
|
0 |
15.05.2010, 01:34 TS | #20 (permalink) |
Увлечённый
Регистрация: 08.06.2009
Адрес: Петербург
Сообщений: 568
|
то что у них в базе хранится пароль в открытом виде по большому счету никак на его сохранность не влияет, они ж не форум любительский какой-нибудь. если кто-то и получит доступ к базе аккаунтов онгейма, то явно пароли игроков им не понадобятся, можно не волноваться
вот то, что его высылают по имейлу - плохо, но если не запрашивать, то и не пришлют. |
0 |
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
Одному из основателей Absolute Poker вынесли приговор / Новый документальный фильм Ultimate Beat | -LOKI- | Новости, статьи, репортажи.. | 0 | 26.07.2012 02:05 |
Ultimate bet + Absolute poker | Swen | Около покерного стола | 6 | 21.01.2009 19:12 |
Absolute poker большой скандал? Или НАГЛАЯ ЛОЖЬ! | Diadushka | Около покерного стола | 11 | 17.12.2007 06:14 |
Грандиозный скандал на Absolute Poker | ilushan | Многостоловые турниры | 5 | 18.10.2007 21:45 |
Опции темы | |
|
|