Trafic.ro Login Bug?
4 January, 2008Acum nu pot spune daca este cu adevarat un bug important dar banuiesc ca cineva cu intentii mai putin oneste si-ar putea da seama despre modul de operare al sistemului de login pentru cei ce folosesc serviciile Trafic.ro.
Sa presupunem ca parola este “administrator“, ei bine te poti loga la fel de corect si de usor si daca scrii “administratorulecupluta“.
Vreo reactie de la Netbridge Development?
7 Comentarii
RSS Comentarii TrackBack Identifier URI
Lasa un mesaj
Trebuie sa fi logat pentru a comenta.
Nu este un bug, ci o limitare standard a unui sistem de autentificare pe baza de parola de maxim 12 caractere folosit in multe aplicatii din lume.
Daniel
Limitarea la 12 caractere este ceva, eu am observat doar ca folosind parola mea din 8 caractere, nu conteaza ca adaug 2 sau 3 caractere aleator dupa, lucru pe care nu l-am mai intalnit pe vreunul din sistemele de autentificare folosite pe web.
PS - Am pus un ? in titlu referitor la “ze bag” :)
Algoritmul ignora caracterele de dupa a 12-a litera/cifra/semn dintr-o parola si de aceea nu conteaza ce anume se introduce acolo, parola reala este limitata la numarul de 12 caractere, criptarea realizandu-se doar pe acestea.
Ai insa dreptate, in cazul trafic.ro, limitarea superioada este la 8 caractere. Poti observa aceste limitari in cazul diverselor sisteme de operare Linux, de exemplu, acestea oferind posibilitatea alegerii de algoritme diferite, in functie de nivelul de securitate dorit.
Daniel
Ca sa ma lamuresc, deci nu e considerat un bug ci o facilitate? Pentru mine a creat ceva confuzie cand am vazut ca m-am logat fara probleme folosind altceva decat strict parola obisnuita.
Ce se intampla daca un utilizator #1 are parola 12345 iar alt utilizator #2 are 123456 pentru ca adresele de email se pot afla relativ usor, nu iti trebuie decat putina intuitie si cateva cautari pe Google.. :)
Probabil ar trebui specificat faptul ca numarul maxim de caractere permise pentru parola este de 8. In acest fel, nu ar aparea aceasta confuzie.
In orice caz, nu orice insiruire de n caractere este acceptata, ci doar o insiruire ce are primele 8 caractere din parola setata (si a caror sir criptat este considerat de catre sistem drept parola de utilizator).
Daniel
Am verificat si eu :) aveti dreptate. de fapt ma deranjeaza… chiar daca nu pune nimeni parola 123456, exceptand faptul ca nu-l intereseaza contul.
Ce ma deranjeaza de fapt? ca nici macar nu este nevoie sa introduc toata parola ci numai 8 caractere din ea. Daca se stie adresa de email prin care se face logarea, cu un SQL Injection afli tot ce vrei. Asta inseamna ca poti intra in posesia unor informatii destul de interesante si apoi sa faci modificari usturatoare… hmmm
Se pare ca Trafic.ro a modificat ceva pentru ca acum “bug-ul” a disparut ca prin minune.. :D