Gorące tematy: Ryszard Opara: „AMEN” Smoleńsk Zostań BLOGEREM! RSS Kontakt
Uwaga! Wygląda na to, że Twoja przeglądarka nie obsługuje JavaScript. JavaScript jest wymagany do poprawnego działania serwisu!
6 postów 192 komentarze

MarkD

MarkD - Z faktami się nie dyskutuje

Pytanie do admina nE

ZACHOWAJ ARTYKUŁ POLEĆ ZNAJOMYM

W związku z dyskusją w wątku //antonioiwaldi.nowyekran.net/post/3482,ll-zaprasza-do-ne-poncyljusza-zamiast-j-kaczynskiego oraz komentarzem I.Janke pod postem //seawolf.salon24.pl/279960,agent-tomek-wspolbloger (komentarz poniżej) proszę o wyjaśnienie.

Każdy "przyzwoity" system CMS ma szyfrowane hasła. (Oczywiście szyfry można łamać, ale dlatego się je zmienia i uaktualnia). Nie jest więc tak, że informatycy (admini) obsługujący portal, nie mówiąc o właścicielach lub innych osobach, mogą bez trudu używać loginów i haseł użytkowników.

Jak wie każdy kto stracił hasło, procedura jest taka, że wysyła się prośbę (tu działa automat na stronie) o nowe hasło, które generowane jest automatycznie i wysyłane na adres użytkownika (ruch bazodanowy związany jednocześnie z użyciem procedury szyfrującej zapisującej nowe hasło w bazie, pobraniem adresu mailowego itd.), Hasło dodatkowo, dla bezpieczeństwa, można zmienić osobiście.

Jakie to hasło, tego nie powinien wiedzieć nawet administrator portalu - WŁAŚNIE dlatego by uniknąć sytuacji pojawiania się "przypadkowych" - "testowych" - czy innych źle podpisanych komentarzy.

Zdaję sobie sprawę że sprawy IJ dotyczą innego portalu, ale wykonawca (W3media.pl)  jest ten sam. Ponieważ więc tłumaczenia Igora Janke brzmią mało wiarygodnie:

===========================================================

@Bieszczadnik. SMOLEŃSK DOMAGA SIĘ PRAWDY

Cuda, cuda:) trudno uwierzyć, ale historia jest bardzo zabawna i świadczy o moim roztargnieniu.
Pół godziny wczesniej dostałem sms od Pawła Poncyljusza, który poprosił mnie o odzyskania jego loginu i hasła do Salon24. Odzyskałem je i by sprawdzić czy to dobre hasło zalogowałem się. I zapomniałem przelogować. Po czym zająlem sie innymi rzeczami, m.in. notką Seawolfa. I wpisałem mu się...
Po chwili zadzwonił do mnie Follow, ktory domyślił się, że to ja a nie Pancyljusz. Szybko naprawiłem błąd, ale nie umknęło to czujnym oczom.:) Przepraszam za zamieszanie. Swoją drogą pomyłka zabawna.

IGOR JANKE 490 2603  | 19.02.2011 19:12

===========================================================

zadaję pytanie : Czy nE funkcjonuje na zasadzie poufności powyżej opisanej? Czy może znacie hasła użytkowników jak IJ na Salonie24?

KOMENTARZE

  • MarkD
    Każdy normalny system czy portal ma nadrzędne hasło admina,który może wszystko, łącznie ze zmianą hasła użytkownika, ale bez potrzeby łamania tego hasła. Procedura jest bowiem taka, że admin hasło zmienia i wysyła nowe do użytkownika a użytkownik musi je sobie zmienić jeszcze raz, co w lepszych systemach jest wręcz wymuszone, gdyż takie hasło jest jednorazowe. Jeżeli prawdą jest to co pisał Janke to w Salonie albo admin (czyli Janke też) hasła łamie albo ma je zarchiwizowane w formie jawnej, w co szczerze mówić wątpię, ale kto wie...

    Pozdrawiam

    Pozdrawiam
  • @Milton Ha
    Miltonie Ha. Z moich doświadczeń wynika inaczej. By zmienić hasło trzeba znać stare hasło.
    Nie wiem jak jest tutaj, stąd moje pytanie.

    Powtórzę : nie spotkałem się z sytuacją by admin zmienił hasło nie znając poprzedniego i nie używając procedur deszyfrujących. (vide wordpress, symfonia itp.)
  • @MarkD
    Zapewniam cię, że admin zawsze może przebić/zrestować hasło użytkownika (np. ustawić puste), bo musi być taka opcja. Jestem specjalistą od systemów IT od mini do wielkich systemów bazodanowych i użytkowych.

    Pozdrawiam
  • @Milton Ha
    PS. Skąd ta wiedza : "Procedura jest bowiem taka, że admin hasło zmienia i wysyła nowe do użytkownika"? Czy jesteś adminem?
  • @Milton Ha
    To tak jak ja. (IT, bd itd.)
    Jedno Ci powiem: współczuję Twoim użytkownikom i zazdroszczę chroniącym Twój tyłek zapisom w kontraktach z firmami, które obsługujesz.
    Ponawiam pytanie: Czy jesteś tu adminem? W czyim imieniu się wypowiadasz?
  • @Bieszczadnik
    Tak by było, jakbyś klucz do chałupy zgubił. (Chciałbym być w Twojej sytuacji mieszkając w Bieszczadach). Ale (Panie w komputerach) jest inaczej! Twoje hasło, Twoja wola!
    Pomyśl. Ktoś w Twoim imieniu notkę pisze. Ma prawo czy nie ma? Dlatego wszyscy producenci - nie użytkownicy (admini) powtarzam "przyzwoitych" CMS (uogólniając - systemów obsługi postów jakie mamy na S24, tutaj, bm24, blogpress czy niepoprawni.pl)dbają by ich obraz był przejrzysty! My tylko dajemy i nic ponad to!
  • @
    ...a cóż to za CMS, który zezwala logować się adminowi na prywatnym blogu? Hasła, rzecz jasna szyfruje się funkcją skrótu np. MD5, SHA1, SHA256 itd. Funkcja ta ma jedną właściwość - można tą funkcją zaszyfrować hasło, ale nie da się "odzyskać" oryginalnego hasła. Hasło już zaszyfrowane przechowywane jest w jakimś rekordzie bazy danych przechowującej dane użytkowników.

    Hasło oryginalne nigdy nie powinno być widoczne dla operatora systemu, co oznacza, że funkcja ta powinna działać po stronie klienta (przeglądarki użytkownika, a konkretnie zaimplementowana w skrypt jscript lub jakiś inny język skryptowy).
    Jeśli hasło można odzyskać, to strzeżcie mnie przed takim portalem.
    Wyobraźmy sobie, że pracownik banku wchodzi do mojej skrzynki z depozytami i wykonuje jakieś tam operacje na przechowywanych depozytach. Podobnie nie powinno być możliwości logowania się administratora na blogu użytkownika.
  • Ale jaja...
    To pewnego pięknego dnia na którymś z moich blogów mogę znaleźć notkę, za którą będę się musiał gęsto tłumaczyć.
    Masakra...
  • @Milton Ha - komentarz 1
    admin nie może wszystkiego, bo nie może poznać hasła użytkownika, i to jest nadrzędna zasada przyzwoitych systemów. Ale oczywiście może zmienić hasło użytkownika, bez możliwości odczytania starego.
  • @Łażący Łazarz - nie bardzo rozumiem, co to znaczy wejść w notkę autora
    Jeśli dodawanie zdjęcia nie jest na poziomie, np. kompletacji wyświetlania notatki, tylko w edycji samej notatki, to możesz poprawić również tekst.

    W takim razie jak wygląda komentarz wewnątrz notki opatrzony twoim podpisem ? Czy takie umieszczanie komentarzy jest zgodne z regulaminem i celami administracji nE ?
  • @MarkD
    Widzę, że jak to zwykle bywa w gronie fachowców, nie zrozumiałeś o co mi chodzi.Trudno.
    Mnie nie chodzi o to, że admin zna hasło użytkownika bo tego nigdy się nie dopuszcza. Admin, może na wniosek użytkownika, dać mu możliwość wpisania nowego hasła jeżeli zapomniał stare. I o to mi chodziło. W skrócie. Przecież w tle musi skasować stare hasło aby było możliwe nadpisanie go nowym przez uprawnionego użytkownika i to robi z uprawnieniami admina, nie poznając starego hasła użytkownika. Poza tym każdy jego log na koncie użytkownika system rejestruje.

    Pozdrawiam
  • @Łażący Łazarz
    Ja tak nie napisałem i może dlatego MarkD się obruszył. O tym nie ma mowy nigdy, ale skasowanie hasła aby umożliwić wpisanie nowego, to coś zupełnie innego.

    Pozdrawiam
  • @interesariusz
    Ludzie, co wy wszyscy?
    Czy ja źle piszę, czy Wy czytać nie umiecie?

    Gdzie ja napisałem, że admin ma kiedykolwiek prawo poznać hasło użytkownika?
    Przecież nawet jak wysyła hasło jednorazowe,które wygenerował, to tym hasłem się nie zaloguje i nic złego nie zrobi, bo z definicji jest to hasło jednorazowe i po jego logowaniu będzie już niezdatne do ponownego użycia.

    Pozdrawiam
  • @interesariusz
    Też mnie to zastanowiło.

    Pozdrawiam
  • @panowie specjaliści
    Administrator bazy danych może dużo a nawet więcej. Co za problem podstawić w bazie MD5 znanego hasła sobie hasła i zalogować się a następnie przywrócić oryginalne MD5 hasła użytkownika. Zresztą i hasło niepotrzebne. Przecież post albo komentarz to nic innego jak kolejny rekord w bazie danych z ID wskazującym na danego użytkownika. Mając uprawnienia do bazy danych można taki rekord dopisać nie wnikając w hasło użytkownika. Operację zmiany ID przeprowadził IJ (albo któryś z adminów) nie ruszając komentarza w blogu Seawolfa a zmieniając podpis pod nim (zmiana PP na IJ). Oczywiście, porządne systemy projektuje się tak, by każdemu było wolno tylko tyle co trzeba i nic więcej, poza tym stosuje się systemy logowania operacji i wiele innych zabezpieczeń, ale wszystkie one nie chronią do końca, bo cudów nie ma.

    A całe zamieszanie z IJ i PP wyniknęło prawdopodobnie stąd, że IJ prowadzi bloga PP albo coś tam w jego imieniu.
  • @Mr.White
    Ciekawe, komu jeszcze Janke prowadzi blog?
  • @Mr.White
    W zasadzie zgoda.
    Mówimy o administratorze systemu CMS, albo precyzyjniej o obsłudze bieżącej postów i komentarzy a nie o grzebaniu w bazie (administratorze bazy). Pisałem zresztą że nie mówię o deszyfracji haseł - bo jak wiemy wszystko się da zrobić, ale nie każdy umie.
  • Co zrobił IJ?
    Myślę, że Poncyliusz w zasadzie jest tylko pozornie na S24. (Nie bywam, spytam więc: czy coś komentuje?)
    IJ ma więc pełną kontrolę nad wszystkim co P.tam robi (może nawet w bazie w rekordzie usera "Poncylisz" jest jakieś konto mailowe IJ)
    PP jest bowiem człowiekiem wyjątkowo zadufanym w sobie i mógł sobie znaleźć pomagiera w osobie IJ, ale ...

    Coś tu jest jednak dodatkowym smaczkiem :)
    Musi bowiem istnieć duża zgodność i zaufanie między dwoma panami, albo Poncyliusz jest idiotą. Wystarczy przypomnieć sobie, że istnieje tzw.poczta wewnętrzna. Poncyliusz jest czołowym politykiem PJN, wcześniej był ważnym politykiem PIS! Jeśli więc ktoś chciał poinformować PIS a dziś zechce poinformować PJN o czymś poufnym i ważnym robił to de facto przez Jankego.

    Jeśli jednak Janke wchodzi na konto bez wiedzy PP to tym samym popełnia przestępstwo związane z łamaniem tajemnicy korespondencji!
  • @MarkD
    Też już nie bywam na S24, ale dziś sprawdziłem i chyba minąłem się z prawdą pisząc, że IJ prowadzi blog za PP, bo cała działalność "PP" na S24 to jeden wpis z 12 grudnia 2010. Jeśli nawet powstał on w ten sposób, że PP podyktował IJ przez telefon tę treść albo tylko określił z grubsza o czym ma być a resztę napisał IJ czy ktokolwiek inny niż PP, to i tak jedyny wpis trudno nazwać "prowadzeniem bloga".

    Natomiast IJ kręci, to pewne. Uwierzyłbym gdyby napisał, że sprawdzał login PP albo że ustawił nowe hasło. "Odzyskałem" to łgarstwo, ale niczego innego nie spodziewam się po tak zwanym dziennikarzu.
  • @Łażący Łazarz
    "Tak, admin ma mozliwosć poprawienia tekstu np celem wygwiazdkowania słowa "ch*j" Ale chyba nie wyobrażasz sobie by ktokolwiek cokolwiek zmieniał w notce autora wbrew jego woli."

    Wstawienie gwiazdki, nawet w wulgarny wyraz, JEST zmianą wbrew woli autora.

    Na razie mamy wersję BETA, więc zakładam, że możliwość zmiany tekstu jest tymczasowa i docelowo powinno to być robione w ten sposób, że przed publikacją wyłapywane są słowa nieakceptowane i autor jest informowany, że w tej postaci notka (albo komentarz) nie będzie opublikowana. I decyzją autora będzie, czy wstawi gwiazdkę, zmieni wyraz na inny, czy w ogóle zrezygnuje z publikacji. Jeśli klikam "zapisz", to chcę mieć pewność, że to co napisałem ukaże się w tej a nie innej postaci. Poza tym, jeśli dziś zmieni Pan komuś "u" na "*", to jak obroni się Pan przed zarzutem tego kogoś, że w kolejnej notce nie zmienił mu Pan "tak" na "nie"? Nie twierdzę, że ktoś by takiej zmiany dokonał. Twierdzę, że wcześniej czy później z takim zarzutem się Pan spotka. Po co?
  • @Łażący Łazarz
    Po zastanowieniu, w nawiązaniu do powyższego: wyraz nie przestaje być wulgarny po zamianie "u" na "*". Bywa, że jego użycie jest wskazane -niedowiarkom polecam twórczość A.Fredry. Wycofuję się z pomysłu, by zablokować możliwość publikacji tekstu z pewną grupą wyrazów. Autor może być informowany, że tekst jego zawiera wyrazy wulgarne i w związku z tym... coś tam, ale jeśli uważa, że tak to powinno wyglądać, to publikujemy.

    Na S24 jakiś purytańsko-debilny automat (lub admin, ale jeśli admin to wyłącznie debilny) ukrył limeryki Laeni. Nie chcemy podobnych historii na NE.
  • @Mr.White
    Na forum Dziennika kilka lat temu w ten sposób były usuwane słowa wulgarne. Pod takim komentarzem był wpis:

    "komentarz został zmieniony przez administratora Pawła w. o godz..."
    Przytaczam z pamięci, więc nie jest to wierne oryginałowi.
    POZDRAWIAM SERDECZNIE!!! ironiczny anglosas
  • Jeszcze jedno...
    ...jak twierdzi I. Janke to Poncyljusz zapomniał loginu i hasła. Wiec nie mógł sam odzyskać hasła bo nie znał loginu.
  • @Łażący Łazarz
    Z powyższych komentarzy wnoszę, że rysuje się rozwiązanie problemu ingerencji, tak by jednak nikt poza autorem nie miał możliwości (łatwej) ingerencji w tekst.

    Warto rozważyć.
  • @MarkD
    bardzo ciekawa wymiana myśli, zwłaszcza o "Sralonie", ponieważ pojawił się tam Szef Opozycji; niektóre zabiegi wokół Nowego Ważnego Blogera w jakimś sensie przewidziałem we wpisie powyżej (http://mikro-makro.nowyekran.pl/post/3649,kaczynski-bloger-tester), bo dzisiaj spróbujcie otworzyć ten materiał. Wiele osób melduje (na różnych forach w postach), że jest niedostępny, oczywiście IJ powie, że nadmierna frekwencja przytkała odbiór. Ciekawe jednak, że atak idzie w druga stronę, na serwer pobierającego... Może mi to ktoś wytłumaczyć, czy to mozliwe, bo blokuje komputery zainteresowanych i po zresetowaniu jest wymagane przywrócenię sesji, i tak się można bawić do us***ej śmierci (gwiazdki policzyłem dla usatysfakcjonowania ŁŁ)? Czy to możliwe, że juz tam przy koncie JK siedzą jacyś spece-hakerzy z wiadomego nadania?
  • @ironiczny anglosas
    "Poncyljusz (...) nie mógł sam odzyskać hasła bo nie znał loginu".

    Zgoda. Dlatego IJ mógł mu sprawdzać ten login. Mógł nawet ustawić mu NOWE hasło wychodząc z założenia, że PP nie będzie pamiętał jaki e-mail podał przy rejestracji albo że procedura odzyskania hasła będzie dla PP zbyt skomplikowana. Nie w tym problem a w tym, że IJ użył sformułowania "odzyskałem hasło" a to świadczyłoby o kompletnej mizerii tamtejszego oprogramowania. Natomiast "próbne logowanie" IJ na konto PP to skandal.

    Druga sprawa do kropkowanie, gwiazdkowanie czy inna ingerencja administratora lub automatu. Co za różnica, czy słowo jest napisane wprost czy z kropką w środku, skoro i tak wszyscy wiedzą o co chodzi?! Wrażliwcy, którzy bez kropki nie mogą się obejść przypominają mi pewnego świątobliwego męża o którym Szwejk mówił, że "usłyszawszy raz jak ktoś głośno wypuścił wiatry zalał się łzami i dopiero w modlitwie odnalazł ukojenie".
    Żeby było jasne: w mowie używam tych wyrazów bardzo rzadko, w piśmie jeszcze rzadziej i najczęściej gdy cytuję i wtedy nie wstawiam żadnych kropek, bo w końcu jesteśmy dorośli. A co z dziećmi? Może zrobić jakiś dodatkowy klik w "wypowiedź zawiera wyrazy wulgarne"? Albo powiadomić autora, że ze względu na wyrazy informacja o notce nie pojawi się na SG?

    Pozdrawiam
  • @mzimu
    To właśnie cała uroda automatów. Ulepszą, to można zacząć zabawę, czy jakby wstawić znaki formatujące między "ch" i "u" to wykropkuje czy nie a jeśli tak, to może jest jeszcze inny sposób?

    Ustawienia profilu są wygodne, ale tylko dla posiadających konto. Jest to jakiś sposób na skłonienie kolejnych odwiedzających do rejestracji w NE, ale jeśli ktoś zarejestruje się tylko po to, by zobaczyć wyrazy w pełnej okazałości to obawiam się, że skoro tyle już trudu sobie zadał rejestracją doda parę wyrazów pod losowo wybranymi notkami, ot tak, dla sprawdzenia jak to działa.
  • @Mr.White
    "Ulepszą, to można zacząć zabawę, czy jakby wstawić znaki formatujące między "ch" i "u" to wykropkuje czy nie a jeśli tak, to może jest jeszcze inny sposób"?

    Czasem ktoś nas wysłuchuje, choć czasami myślimy, że także podsłuchuje, gdy tymczasem on jedynie nasłuchuje - ota taki słowacki kokot ;-)
  • @DelfInn
    Taka już dola nasłuchującego, że czasem może być zrobiony w... głuchy telefon przez czytającego. Ot, dla przykładu:

    Rapier dolę jego skrócił
    A na grobie napis dano
    "Obie bały się go córy
    Gdy do kur wychodził rano"
  • @Zygmunt Korus
    Wszystko jest możliwe, ale prawdopodobnie problem leży po stronie użytkowników a raczej ich komputerów. Przed chwilą otworzyłem (bez problemów) wpis JK z S24. Jest on (razem z komentarzami) około 45 razy "cięższy" niż na przykład wpis, pod którym dyskutujemy i ten ciężar może załamać słabsze przeglądarki na słabych systemach.
  • @Mr.White
    :) no wlasnie. wiec gwiazdkowanie jest do luftu. poza tym nie po to olalem sralon, zeby sie pakowac w kolejna cenzure. ale temat ciekawy...i rozwojowy. a teraz nie na temat :) kiedy czytam notke pod ktora nie ma jeszcze komentarza spostrzegam przezrazajace wyzwanie! 'nie ma jeszcze zadnych komentarzy. badx pierwszy!' No... i co ja mam zrobic kiedy mnie religia moja uczy zeby pierwszym nie bywac? ;-)))
  • @Mr.White
    dziękuję; widać niepotrzebnie węszę... Choć na frontonie kaczyńskiego-blogera nie znalazłem, a na to liczyłem (że go nie dadzą tak szybko do lochu; szamba? - bo to "Sralon" przecie...).
  • @DelfInn
    To jest jak najbardziej na temat, ale w tym celu należy napisać nową notkę z petycją do ŁŁ, by w ustawieniach konta można było zaznaczyć "wyznanie". Zresztą - co tam "można było"? Żeby to było obligatoryjne! I jeszcze kilka innych! Wtedy będzie można dawać informację w zależności od wyznania i światopoglądu. Oczywiście ŁŁ ani nikt z adminów nie potraktuje tego serio, ale za to jak się komentarze pod taką notką rozwiną! Ludzie będą sobie zakładać konta tylko po to żeby zaprotestować przeciwko procedurze zakładania konta.
  • @Mr.White
    :)))))))

OSTATNIE POSTY

więcej

ARCHIWUM POSTÓW

PnWtŚrCzPtSoNd
   1234
567891011
12131415161718
19202122232425
2627282930