Некоммерческое партнерство Альянс Печных Дел Мастера
 RSS  • FAQ  •  Поиск  •  Пользователи  •  Группы   •  Регистрация   •  Избранные темы   •  Профиль  •  Войти и проверить личные сообщения  •  Чат  •  Вход

 Взлом пароля Следующая тема
Предыдущая тема
Начать новую темуОтветить на тему
Автор Сообщение
latif888



Зарегистрирован: Вт 1 Май 2012, 12:55
Сообщения: 340
Регион: Ростов-на-Дону, ЮФО

СообщениеДобавлено: Сб 29 Декабрь 2012, 11:34 Ответить с цитатойВернуться к началу

Удаленный пользователь писал(а):
При регистрации, вам приходит письмо, в котором указан регистрационный пароль. Этот пароль виден в том числе и администратору сайта, как бы вы его не шифровали и может быть использован как для просмотра ваше переписки, так и для манипуляций с вашим акаунтом.
Могу это доказать на примере.
Сегодня утром я зарегистрировался на форуме под ником "Ник нэйм", создал тему. Ее конечно снесли. Но при попытке авторизоваться, получил ответ о неверности пароля. Пароль был изменен, а ведь отсылается он в незашифрованом виде с яндексевского ящика.
Так что будьте внимательны.

Интересно было бы почитать комментарий Администратора.
Посмотреть профильОтправить личное сообщениеОтправить e-mail
vladgri



Зарегистрирован: Пт 8 Октябрь 2010, 08:33
Сообщения: 976
Регион: г.Павлодар

СообщениеДобавлено: Сб 29 Декабрь 2012, 11:48 Ответить с цитатойВернуться к началу

Кирилка Нулевой писал(а):
Пароль был изменен

Изменять вовсе не обязательно, достаточно ограничить время действия. Или просто заблокировать пользователя.

_________________
Любая мысль, какой бы она ни была, возникает из соприкосновения, а соприкосновение предполагает сопротивление.
Посмотреть профильОтправить личное сообщение
Евгений Колчин



Зарегистрирован: Чт 3 Октябрь 2002, 06:26
Сообщения: 9266
Регион: Москва

СообщениеДобавлено: Сб 29 Декабрь 2012, 12:15 Ответить с цитатойВернуться к началу

Администратор сайта, и не только этого, пароль не видит и спрашивать его у вас не будет. Он может вам его изменить, в случае его утери. Однако такое практикуется крайне редко, и пользователь использует функцию восстановления пароля на свой электронный ящик. Процедура вполне понятна и проводится легко. Так же и сам пользователь может в профиле менять пароль.

Все пароли хранятся в базе в зашифрованном виде и даже зайдя в базу данных его не увидим явно. При регистрации учетные данные отправляются с хостинга сайта, но адрес отправителя вводится, как правило, администратора. В письме пользователь видит пароль в не зашифрованном виде. Больше его никто не видит и письмо в базе не сохраняется, поскольку формируется автоматом.

На форумах принято блокировать пользователя, нарушающего условия участия в обсуждениях - забанить. Вот такая участь и постигла пользователя. В этом случае есть несколько способов у Администратора или Модератора (с функцией администрирования) ограничить доступ к форуму. Однако, в любом случае пользователь будет видеть сообщение о неправильности имени пользователя и пароля.

Одним из рычагов обуздания спамеров и "живых роботов", рассылающих рекламу по форумам есть отсылка электронных адресов в общую базу данных, из которой администраторы сторонних ресурсов переносят "черный список" их к себе.

_________________
************************************
Посмотреть профильОтправить личное сообщениеОтправить e-mailПосетить сайт автораПозвонить авторуICQ Number
Евгений Колчин



Зарегистрирован: Чт 3 Октябрь 2002, 06:26
Сообщения: 9266
Регион: Москва

СообщениеДобавлено: Сб 29 Декабрь 2012, 20:35 Ответить с цитатойВернуться к началу

Цитата:
Если сторонняя программа отправляет от Яндекс почты письмо, то это письмо, при определенных настройках, в том самом неизменном виде может оказаться в папке "Отправленные" и быть доступно к прочтению владельцем этого ящика. Таким образом можно знакомиться с личной перепиской пользователей. Тем более пользователь не может узнать когда он сам же заходил на форум, эта функция на данном форуме отключена.


Отправка писем ведет скрипт/код форума, с подстановкой адреса администратора. В теле письма есть айпи отправителя. Сравните его с адресом форума или Яндекс почты и все вам станет ясно. Айпи хостинга, там где "живет" форум.
Код:
Received: from [194.85.95.145] (port=61731 helo=web1125.nic.ru)

        by web-relay.nicmail.ru with esmtp (Exim 4.80.1)

Администратору, а тем более с доступом к базе данных, таких сложностей не надо.
Форум работает на стандартном движке phpbb_2.20 . поэтому, желающий может изучить код движка.
Узнать кто и когда из пользователей был последний раз на форуме можно, такой мод установлен у администратора. Вот выводить его для пользователя -это прибегать к услугам программиста ... хлопоты ... деньги.
Просмотреть содержание базы переписки в ЛС может администратор ресурса с доступом к БД и только тех, что сохранены в данный момент. Удаленные не сохраняются.
Смотреть переписки попросту то не нужно и не представляет интереса. Если есть сомнения, ведите конфиденциальные переговоры через почту, скайп или телефон.

Интереса взлома пароля пользователя никакого нет, как для администратора этого ресурса, так и администраторов других подобных порталов. Никогда не ведитесь на просьбы от модераторов и администраторов форумов выслать вам пароль. Здесь уже нужно задуматься о полномочиях вопрошающего.

И все это справедливо не только для данного ресурса.

_________________
************************************
Посмотреть профильОтправить личное сообщениеОтправить e-mailПосетить сайт автораПозвонить авторуICQ Number
Показать сообщения:      
Начать новую темуОтветить на тему


 Перейти:   



Следующая тема
Предыдущая тема
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете добавлять приложения в этом форуме
Вы можете скачивать файлы в этом форуме
Яндекс реклама




Powered by phpBB © 2001, 2002 phpBB Group :: FI Theme :: Часовой пояс: GMT + 3
Проект форум печников "Альянс. Печных Дел Мастера" © 2006-2017