Sikkerhetshull i MySpace

[abene]

En britisk student har oppdaget et sikkerhetshull i den populære nettsiden MySpace. Han klarte å logge seg til sin egen side selv om passordet var feil.

Les mer

[Lurifaksen]

Sikkerhetshull hvor? Du må jo fremdeles vite passordet... du trenger bare ikke å vite HELE. Er sikkert snakkom 6 tegn.

[qualbeen]

Sikkerhetshull hvor? Du må jo fremdeles vite passordet... du trenger bare ikke å vite HELE. Er sikkert snakkom 6 tegn.

6723259[/snapback]

Han skal også ha klart å logge seg inn dersom han skrev et passord med maksimum lengde pluss noen ekstrategn.

[remerserr]

Sikkerhetshull hvor? Du må jo fremdeles vite passordet... du trenger bare ikke å vite HELE. Er sikkert snakkom 6 tegn.

6723259[/snapback]

Han skal også ha klart å logge seg inn dersom han skrev et passord med maksimum lengde pluss noen ekstrategn.

6723657[/snapback]

Og...?

 

Lurifaksen synes jeg har et poeng egentlig, selv om noe slikt ikke bør forekomme.

[.com]

ville ikke kalt dette noe sikkerhetshull nei, hvis man fremdeles må kunne mye av passordet ser jeg ikke helt sikkerhetsrisikoen

[madompa]

hva er da vitsen med å ha et langt og komplisert passord, hvis det kun er de seks første tegnene som gjelder elns?

[enden]

Sikkerhetshull var noe tabloid, men det er helt klart en svakhet og gedigen designfeil. Det er ikke videre tillitsvekkende at man har så graverende feil i sikkerhetsrutinene - hva sier det om resten av systemet?

[qualbeen]

Sikkerhetshull hvor? Du må jo fremdeles vite passordet... du trenger bare ikke å vite HELE. Er sikkert snakkom 6 tegn.

6723259[/snapback]

Han skal også ha klart å logge seg inn dersom han skrev et passord med maksimum lengde pluss noen ekstrategn.

6723657[/snapback]

Og...?

 

Lurifaksen synes jeg har et poeng egentlig, selv om noe slikt ikke bør forekomme.

6723766[/snapback]

Mulig jeg misforstod artikkelen her, men jeg fikk intrykk av at hvis man tastet inn et veldig langt passord (uavhengig av om det er riktig eller galt), så fikk man logget inn. Hvis det er tilfelle er dette absolutt et kritisk sikkerhetshull, spesielt nå som det er kjent...!

 

Men meget rart at det også holder med å kunne de X første tegn i et passord - lurer litt på hvordan passordene kunden oppgir lagres? (Kanskje man egentlig kun kan ha et passord av lengde 5 tegn, mens det på registreringssiden står 8?)

[Lurifaksen]

Mulig jeg misforstod artikkelen her, men jeg fikk intrykk av at hvis man tastet inn et veldig langt passord (uavhengig av om det er riktig eller galt), så fikk man logget inn.

6724794[/snapback]

Slik jeg forstod det, betydde det bare at dersom passordet er "PASSORD", så klarte han også å logge inn selv om han skrev "PASSORDabcd".

 

Selvfølgelig er det en idiotisk feil/svakhet i systemet, men så vidt meg bekjent er vel bare myspace en web/blogg-tjeneste - og har vel da ikke akkurat de samme sikkerhetskravene som en mail-host/bank...

[pian]

hmmm. var borti noe lignende på en eller annen linux distro. hadde et passord på 8-9 tegn, og det siste var likegyldig!

 

har kanskje noe med at de bruker samme krypteringsalgoritme..?! uansett, det er jo ikke nok å gjette vilt, så da synes jeg ikke myspace har mista noe særlig kred.