Názory k článku
Uniklo 13 milionů plaintextových hesel služby 000webhost
-
Ondra Satai NekolaZlatý podporovatelProtoze vygenerovat poradne heslo je na jeden radek v shellu a mel by to zvladnout i mirne pokrocily unixar?
-
Ondra Satai NekolaZlatý podporovatel
A co nechat praci strojum? Pamatovat si muzes par klicovych hesel (LUKS, banka...) a pritom tahle "nepodstatna" mit stale kvalitni, unikatni.
-
000webhost (neregistrovaný)
We have witnessed a database breach on our main server. A hacker used an exploit in old PHP version of the website gaining access to our systems, exposing more than 13.5 Million of our customers' personal records. The stolen data includes usernames, passwords, email addresses, IP addresses and names.
We became aware of this issue on the 27th of October and since then our team started to troubleshoot and resolve this issue immediately. We are still working 24/7 in order to identify and eliminate all security flaws. Additionally, we are working on upgrading all of our systems. We will get back to providing the service to our users soon.
At 000webhost our top priority is to provide free quality web hosting for everyone. The 000webhost community is a big family, exploring and using the possibilities of the internet together. For millions of people our services are an opportunity to be present on the internet and learn more about technology.
At Hostinger and 000webhost we are committed to protect user information and our systems. We are sorry and sincerely apologize we didn't manage to live up to that. In an effort to protect our users we have temporarily blocked all access to systems affected by this security flaw. We will re-enable access to affected systems after an investigation and once all security issues have been resolved.
Our user’s sites will stay online and will be fully functional during this investigation. We will fully cooperate with law enforcement authorities. At the same time our internal investigation has been started. We advise our customers to change their passwords and use different passwords for other services.
Our other services such as Hosting24 and Hostinger are not affected by this security flaw and are fully secure and operational.
Contact:
Arnas Stuopelis
CEO, Hostinger
arnas@hostinger.com -
Lol Phirae (neregistrovaný)
Hello from Czechia to Bubosklad as well...
Pro pobavení, jestil tuhle bandu zoufalců ještě neznáte třeba ze spamu na Lupě: Náš tým (nezapomeňte najet nad fotky, nebo přijdete o to nejzábavnější :-P)
:-DDDDD
-
OMG! Vy máte ale silnou averzi k PHP. Viz jinde.
Stejnou chybu může udělat kterýkoli bastlíř, ať už to dělá v Javě, C, Ruby, Python atd.
Kdyby se místo PHP prosadil třeba Python, tak tam udělají stejnou chybu. A hádám, že Vy pak budete nadávat na Python.Když se koukám na web, tak se s ním roky nehnulo. Před mnoha lety, kdy nebyly takové útoky, tak asi půlka ukládala hesla normálně, protože v té době nikoho nenapadlo, že by to někdo zneužíval. Až rozšířující nebezpečí přinutilo vývojáře ohlížet se na bezpečnost aplikace a jedním z nich je hashování hesel. Evidentně to některým nechává chladným a nechalo to beze změn. Ale jak už jsem psal. Nejsou to jen PHPčkaři.
-
Palo (neregistrovaný)
Ano to je nieco co ocakavam od bastlica. V Jave ich je menej v PHP vacsina. Ja som v zivote a to mam cez 40 neulozil do DB PLAIN TEXT heslo. Jedina zmena ze sa preslo z MD5 na SHA256.
Proste ten inziniersky pristup mate alebo nie.
Nehovorim uz o tom ze v Jave frameworky ako Spring alebo autorizacia cez LDAP vas cez to proste nepustia. -
Palo (neregistrovaný)
Ale to je presne ten inziniersky pristup. Pouzijem best practice a medzi nimi je aj to ze ak to nie je web na ukladanie kontaktnych adries z jedneho formulara tak tam nebudem davat PHP.
A samozrejme potom v Jave nepouzijem ciste JDBC stylom "SELECT ..." + value + "" lebo SQL injection atd.
To iste aplikujte kludne aj na NodeJS/JavaScript (TypeScript a spol je uz ina vec) a to jednoducho nema co robit na servri. Nikdo nevie co sa ti tam preflakuje po servri. V klientovi nech si tam zas bastlici nieco pozliepaju aj tak to za rok budu prepisovat. -
Ondra Satai NekolaZlatý podporovatel
Tak ti prozradim, ze i SHA256 je blbe. Pouzij scrypt.
Spring te nezastavi, jen ti usnadni to udelat spravne.t
-
bastlič (neregistrovaný)
Hi diškutýři,
bastlím, titulu jsem na(ne)štěstí utekl, poněvadž jsem radši trávil mládí v hospodě. A když se mě jeden normovací pan ing onehdá v práci zeptal, proč si nenamíchám ráno sádru do forhontu na celej den, místo abych jí míchal po troškách na každou formu zvlášť (jsem keramik), tak jsem nakonec sám se sebou spokojený.
No, co jsem teď natrollil, to si teď asi sežeru, ale nemáte někdo ponětí o tom, jak může 000webhost souviset s českým hostingem C4? Mám tam webík, prachsprostě zbastlenej, s PHP formulářem, ze kterého mi tekou názory návštěvníků. Nikde jinde e-mailová adresa uvedena není, jen v tom PHP skriptu, kterej leží někde na serveru (domnívám se) v Čechách. Proč mi z 000webhost odněkud z Austramtárie přijde najednou e-mail, abych si změnil hesla, bla, bla, bla?
ČLÁNKY DO MAILU