Como ya adelante ayer, a continuación os mostramos las mejoras y algunas novedades que hemos realizados estos ultimos dias motivados entre otras cosas por el nuevo hackeo de cuentas de usuario.
Contraseñas encriptadas
Ahora todas las contraseñas se guardan en la base de datos encriptadas. Hasta ahora en diversas secciones de miarroba.com, y sobre todo en su base de usuarios principal, la contraseña se guarda en modo plano, es decir, si la contraseña era "LAPIZ", se guardaba "LAPIZ" con lo cual, si se llega a leer los datos de un usuario, veriamos a simple vista la palabra "LAPIZ" como contraseña, y una vez tenemos esa contraseña podriamos entrar a la cuenta del usuario sin ningun problema.
Ahora, en la base de datos no se guarda la contraseña, sino un HASH que identifica dicha contraseña, por ejemplo, el HASH MD5 de "LAPIZ" seria "7a059dcbfcaf666d04326f8afe4fa9d3", con lo cual si el hacker consiguiese ese HASH tendria que descubrir que ese HASH corresponde a "LAPIZ", por lo cual la posibilidad de entrar a una cuenta de usuario es casi imposible. por supuesto este sistema no es infalible, pero es el que usan todas las páginas web hoy en dia.
Nueva sección de cambio de contraseña
Ahora la sección de cambio de contraseña va separada de la opción modificar perfil, y necesitara de la contraseña antigua para poder hacer efectivo el cambio de contraseña.
Reseteo de contraseña
Debido a que las contrseñas se guardan encriptadas, no se puede recuperar la contraseña actual como antes, sino que hay que provocar un reseteo y generar una contraseña aleatoria si hemos olvidado la actual, el sistema funciona igual que el anterior, con la diferencia que cuando solicitamos y confirmamos la "recuperación" de la contraseña, se nos genera automaticamente una nueva.
Nueva seccion de Ultimos Accesos en el espacio del usuario
Ahora en el espacio del usuario es posible consultar los ultimos 15 accesos (conexiones) realizadas con el usuario actual a miarroba.com o cualquiera de sus foros, asi sabremos cuando nos hemos conectado y donde.
“Un banquero es un señor que nos presta un paraguas cuando hace sol y nos lo exige cuando empieza a llover”."Mark Twain"
Editado por LiM, Martes, 10 de Marzo de 2009, 19:42
Pff....Lim....era un gran fallo tener las pass en texto plano, pero tenerlas en MD5 tampoco es que solucione la cosa....porque vamos, desencriptar una pass en md5 puede ser cuestion de minutos....incluso hay paginas que metes el md5 y te devuelven la palabra o la pass desencriptada...
Hay muchos otros algoritmos mucho mejores....el 99% de los sitios dejaron de usar md5 para encriptar las pass precisamente por eso, por lo facil que es de romper...
Pff....Lim....era un gran fallo tener las pass en texto plano, pero tenerlas en MD5 tampoco es que solucione la cosa....porque vamos, desencriptar una pass en md5 puede ser cuestion de minutos....incluso hay paginas que metes el md5 y te devuelven la palabra o la pass desencriptada...
Hay muchos otros algoritmos mucho mejores....el 99% de los sitios dejaron de usar md5 para encriptar las pass precisamente por eso, por lo facil que es de romper...
En ningun momento he dicho que usemos MD5, he puesto como ejemplo un HASH MD5, nada más
“Un banquero es un señor que nos presta un paraguas cuando hace sol y nos lo exige cuando empieza a llover”."Mark Twain"
Pff....Lim....era un gran fallo tener las pass en texto plano, pero tenerlas en MD5 tampoco es que solucione la cosa....porque vamos, desencriptar una pass en md5 puede ser cuestion de minutos....incluso hay paginas que metes el md5 y te devuelven la palabra o la pass desencriptada...
Hay muchos otros algoritmos mucho mejores....el 99% de los sitios dejaron de usar md5 para encriptar las pass precisamente por eso, por lo facil que es de romper...
Primero que nada los MD5 no se desencriptan si no que se crackean , empieza a leer y deja de postear tanta ignorancia.
La md5 es tan segura como el SHA1 o cualquier hash , ahy ya radica en la contraseña de la persona , por ejemplo la contraseña de necesito_ayuda en menos de un dia la tendria , en cambio la de H-black me hubiese demorado demaciado .
Felicitaciones , me alegro que el ataque sirviera para mejorar la seguridad
me alegro de que se tomen medidas practicas, ha riesgo de parecer alarmista y dado que vengo de un foro que se habla de manuales terroristas, acciones de infiltracion con o sin rehenes, y cositas por el estilo, pregunto:
Realmente crees Lim que con estó es suficiente? no seria mejor que al menos de momento se diera autonomia a la gente a crear sus copias de seguridad?
Yo no se que dificultades tecnicas puede tener eso para la progamacion de la comunidad de foros, pero creo que eso si seria una ayuda para nosotros y para vosotros. Os descargaria de parte de la responsabilidad.
Otra cuestion, podemos esperar mas medidas al respecto? que se hara si hay otro foro borrado? se podra recuperar la informacion de alguna manera?
Te pregunto estó porque si eso fuera posible entonces si dejaria de tener sentido lo que estan haciendo y por tanto desistirian ya que a nivel comunidad toda informacion seria recuperable, pero mientras puedan eliminarla entonces miarroba es un objetivo estatico y eso si es un problema.
a ver si esto no lo fastidian mas. sabes para cuando estaran abiertas las altas de nuevos sitios perdona que insistantanto pero es que tengo que probar una pagina a ver si va todo bien
me parecen acertadas las mejoras pero me temo que han llegado 2 meses tarde!!!
http://soporte.miarroba.com/9109/76[....]menzar-a-encriptar-las-contrasenas/
hace + de 2 meses un usser de este soporte (que no soy yo justamente) presentó una importante sugerencia que tal vez hubiese evitado lo sucedido o ayudado a la seguridad del servidor... en ese momento todos estuvieron de acuerdo sobre su sugerencia... pero una vez + lamentablemente no se hizo lo que debió haberse hecho... Eso me lleva a suponer que -pese a los denodados esfuerzos de quienes quieren ayudar a mi@ con sugerencias- la seguridad no es una prioridad para los responsables...
Es una pena que esto sea así, pero en última instancia lim es el responsable de velar por la excelencia del servidor y si él ha hecho caso omiso a las sugerencias que a nuestro criterio favorecen a su servidor creo que nada + debe decirse contra él... cada quién sabe cómo debe gestionar un servidor... yo sólo doy una opinión que muchos comparten pero pocos la hacen pública...
Sólo espero que por el bien de los ussers, que las cosas mejoren, porque hay mucha gente que tienen proyectos que le han insumado mucho trabajo en mi@ todavía...
Hasta luego
haber las visitas las generan los foros, con esas visitas es con lo que se gana dinero a nivel publicitario, si los foros son borrados los administradores se van y miarroba se quedaria sin foros y sin visitas, con lo que se quedarian sin ganancias economicas y el estado de la economia actual no esta como para tirar cohetes.
No me puedo creer que a Lim estas cosas no le importen, yo quiero creer que si importa lo que los usuarios dicen y solicitan ya que ellos viven de todos nosotros, nosotros obtenemos un servicio gratuito pero ellos se ganan la vida con eso, eso a todos nosotros nos importaria estando en su lugar, no es logico pensar que a él no.
Que las medidas llegan tarde, que la sensacion es de insuficiencia, que hay inseguridad, eso seguro pero debemos dar un voto de confianza. Algo extraño es que no hayan habido mas declaraciones al respecto, y no se explique al menos a los administradores la situacion. A todos nos gustaria saber a que atenernos, al menos la información nos ayuda a decidir opciones.
alguien sabria decirme porque se encuentran desactivadas las altas de los espacios web¿? y cuando volveran a estar operativas¿?. Muchas gracias de antemano.
alguien sabria decirme porque se encuentran desactivadas las altas de los espacios web¿? y cuando volveran a estar operativas¿?. Muchas gracias de antemano.
el por qué, porque estan trabajando para que funcionen con el sistema de encriptado. Y el cuándo, pues se supone que ya debian estar activas desde hace semana...
gracias por contestarK1ll1ng_M4ch1n3aunque por más que lo intento siempre me sale un mensaje con "altas temporalmente desactivadas" espero que se solucione lo antes posible.
de toda manera me quedaré mi 1ro foro aqui y en segundo en foroactivo...luego veré si aún tengo otro problema aqui, créaré otro alli ! ademas hé visto que han añadido nuevas opciones como perfiles personalizados o sistema de reputacion...no tengo el tiempo crear otro pero...a ver lo que pasa...salu2
TU NO PUEDES Escribir nuevos temas en este foro TU NO PUEDES Responder a los temas en este foro TU NO PUEDES Editar tus propios mensajes en este foro TU NO PUEDES Borrar tus propios mensajes en este foro
Todas las fechas y horas son GMT+1. Ahora son las 22:34
Miarroba Networks, S.L. C/ 18 de Julio, 21 Bajo, 39610 Astillero (CANTABRIA) - CIF B-39512736 Inscrita en el Registro Mercantil de Cantabria, tomo 743, folio 161, libro 0, hoja S-12428, Inscripción 1ª
Nuevo usuario
General - Mejoras en seguridad
LiM
Usuario PRO
Desconectado
^^
ademas hé visto que han añadido nuevas opciones como perfiles personalizados o sistema de reputacion...no tengo el tiempo crear otro pero...a ver lo que pasa...salu2
