Renomowana polska politechnika mająca w swojej ofercie kierunek cyberbezpieczeństwo w jednym ze swoich serwisów sprawdza loginy i hasła po stronie klienta (javascript wykonywany w przeglądarce).
Loginy i hasła są widoczne po wyświetleniu źródła skryptu w przeglądarce.
Co robić?
1
1
Widocznie serwis zrobił student który nie przykładał się do nauki
1
Mogło tak być, poziom nauki na polskich uczelniach to temat na odrębną dyskusję, chociaż nie zauważyłem o tym informacji (a jakaś informacja o prawach autorskich powinna być).
Niemniej wcale mnie to nie dziwi, że trafiło to na uczelnianą produkcję.
Tajemnicą pozostaje dla mnie jednak poziom kompetencji kogokolwiek, kto pracę studenta (lub innego autora) zweryfikował przed wrzuceniem na produkcję, o ile jakaś weryfikacja miała miejsce.
Nie zmienia to faktu, że biorą się za nauczanie cyberbezpieczeństwa, a sami prowadzą serwis skonstruowany w sposób urągający podstawowym dobrym praktykom bezpieczeństwa.
A jeśli serwis wykonał nieprzykładający się do nauki student, to dodatkowo wygląda na to, że biorą się za nauczanie cyberbezpieczeństwa, a nie są w stanie zweryfikować postępów w nauce własnego studenta w tym zakresie.
1
Jak uwalisz przedmiot cyberbezpieczeństwo to odblokowujesz tą informacją 4 termin kolokwium.
5
Nie odpisywać, bait
2
@uczony2:
Oj, powinieneś założyć firmę, która szuka dziur w uczelnianych zabezpieczeniach; wykładowców, którzy dezinformują studentów ( wątek https://4programmers.net/Forum/Off-Topic/363333-wykladowca_uczacy_z_bledem?p=1866728#id1866728 )
Jak dla mnie to powinieneś zgłosić ten błąd do uczelni a nie rozgłaszać wszystkim jaka jest "głupia".
Niech sama uczelnia oceni na ile poważne jest to zagrożenie.
3
Ja bym skontaktował się z ministrem sprawiedliwości. Dodatkowo polecam poinformować ABW i polski kontrwywiad, ponieważ loginy i hasła mogą być sprzedawane do Rosji. To może być afera na skalę światową! Musisz podjąć niezwłoczne działanie.
0
To egzamin wstępny
1
Robert Karpiński napisał(a):
Jak dla mnie to powinieneś zgłosić ten błąd do uczelni a nie rozgłaszać wszystkim jaka jest "głupia".
Niech sama uczelnia oceni na ile poważne jest to zagrożenie.
Śmiem twierdzić, że nie ma żadnej strony, nie ma żadnej uczelni, a to są chore wynurzenia niespełnionego studenta/doktoranta itp.
@uczony2: Dawaj linka i kawałek kodu, bo prawdopodobnie jesteś w błędzie. Do porównywania danych logowania na froncie trzeba by wyciągnąć całą bazę użytkowników do frontu. Tak więc albo coś ściemniasz, ale jesteś za słaby, żeby zrozumieć logikę aplikacji.
1
uczony2 napisał(a):
Renomowana polska politechnika mająca w swojej ofercie kierunek cyberbezpieczeństwo w jednym ze swoich serwisów sprawdza loginy i hasła po stronie klienta (javascript wykonywany w przeglądarce).
Loginy i hasła są widoczne po wyświetleniu źródła skryptu w przeglądarce.
Co robić?
Jeśli jest prawdą co mówisz, to są trzy opcje:
- Albo masz rację, i aplikacja faktycznie każdemu klientowi wysyła listę loginów i haseł innych użytkowników:
- Tylko pojawia się pytanie po co, bo jeśli loginy i hasła są sprawdzane na froncie, to czy to znaczy że nie są sprawdzane na serverze? Czy jednak są? Bo jeśli nie są, to można się zalogować bez loginu i hasła, a jeśli są, to w takim razie sprawdzają je w dwóch miejscach?
- Albo po prostu strona wysyła fake'owe loginy i hasła, żeby złapać "pół-oszustów".
- Albo strona wysyła niegroźne dane tylko ktoś (może Ty) niesłusznie je zinterpretował jako loginy i hasła.
uczony2 napisał(a):
Co robić?
Weź hasło i login innych użytkowników i rób na ich kontach co chcesz :>
0
Robert Karpiński napisał(a):
@uczony2:
Oj, powinieneś założyć firmę, która szuka dziur w uczelnianych zabezpieczeniach; wykładowców, którzy dezinformują studentów ( wątek https://4programmers.net/Forum/Off-Topic/363333-wykladowca_uczacy_z_bledem?p=1866728#id1866728 )Jak dla mnie to powinieneś zgłosić ten błąd do uczelni a nie rozgłaszać wszystkim jaka jest "głupia".
Niech sama uczelnia oceni na ile poważne jest to zagrożenie.
Co dobrego z tego wyniknie?
S4t napisał(a):
@uczony2: Dawaj linka i kawałek kodu, bo sobie prawdopodobnie jesteś w błędzie.
Co dobrego z tego wyniknie?
To porównywania danych logowania na froncie trzeba by wyciągnąć całą bazę użytkowników do frontu.
Dokładnie tak jest to zrobione. Userzy + hasła są hardkodowane w pliku js.
Tak więc albo coś ściemniasz, ale jesteś za słaby, żeby zrozumieć logikę aplikacji.
Mijasz się z prawdą.
Riddle napisał(a):
Jeśli jest prawdą co mówisz, to są dwie opcje:
- Albo masz rację, i aplikacja faktycznie każdemu klientowi wysyła listę loginów i haseł innych użytkowników:
Mam rację :-D
- Tylko pojawia się pytanie po co, bo jeśli loginy i hasła są sprawdzane na froncie, to czy to znaczy że nie są sprawdzane na serverze? Czy jednak są? Bo jeśli nie są, to można się zalogować bez loginu i hasła, a jeśli są, to w takim razie sprawdzają je w dwóch miejscach?
No najwyraźniej nie są.
A jeśli nawet są, to co z tego, skoro można je sobie odczytać z pliku js?
- Albo po prostu strona wysyła fake'owe loginy i hasła, żeby złapać "pół-oszustów".
Nie, to są prawdziwe loginy i hasła, studenci je dostają na zajęciach XD
- Albo strona wysyła niegroźne dane tylko ktoś (może Ty) niesłusznie je zinterpretował jako loginy i hasła.
Nie, to są prawdziwe loginy i hasła, jak wyżej :-D
0
uczony2 napisał(a):
Nie, to są prawdziwe loginy i hasła, jak wyżej :-D
Pics or it didn't happen.
0
To wygląda jakby autor posta miał jakąś misję przeciwko polskim uczelniom (albo jednej). Pewnie go wywalili podczas studiów i teraz się mści :)
1
@uczony2: albo daj jakieś dowody na to, co masz, albo wątek leci do kosza.
Jeśli boisz się/nie chcesz tego dać publicznie, to prześlij do któregoś z moderatorów w wiadomości prywatnej.
To już kolejny wątek, w którym snujesz jakieś dziwne historie odnośnie uczelni.
Może masz rację - ale w żadnym przypadku nie dałeś konkretów, jedynie snujesz swoje wynurzenia.
Także - daj jakieś dowody, albo kończymy zabawę.
0
Riddle napisał(a):
Pics or it didn't happen.
Problem w tym że to może naprowadzić uczelnię na ten serwis.
Poprawią sobie jeden serwis i będą w dalszym ciągu uczyć studentów tak jak uczą.
kixe52 napisał(a):
To wygląda jakby autor posta miał jakąś misję przeciwko polskim uczelniom (albo jednej). Pewnie go wywalili podczas studiów i teraz się mści :)
Może tak, może nie, ale to ma jakieś znaczenie w związku z tematem?
cerrato napisał(a):
@uczony2: albo daj jakieś dowody na to, co masz, albo wątek leci do kosza.
Jeśli boisz się/nie chcesz tego dać publicznie, to prześlij do któregoś z moderatorów.
Podpiszemy NDA?
To już kolejny wątek, w którym snujesz jakieś dziwne historie odnośnie uczelni.
Może masz rację - ale w żadnym przypadku nie dałeś konkretów, jedynie snujesz swoje wynurzenia.
Także - daj jakieś dowody, albo kończymy zabawę.
Mogę wskazać dowody, ale jaką będę miał gwarancję, że szczegóły nie wypłyną? NDA?
1
Dramat.
Po co w ogóle o tym wspominasz, skoro nie masz zamiaru powiadomić o tym uczelni? Ok, inni maja rację. Masz problemy w głowie. Współczuję.
1
uczony2 napisał(a):
cerrato napisał(a):
@uczony2: albo daj jakieś dowody na to, co masz, albo wątek leci do kosza.
Jeśli boisz się/nie chcesz tego dać publicznie, to prześlij do któregoś z moderatorów.
Podpiszemy NDA?
To już kolejny wątek, w którym snujesz jakieś dziwne historie odnośnie uczelni.
Może masz rację - ale w żadnym przypadku nie dałeś konkretów, jedynie snujesz swoje wynurzenia.
Także - daj jakieś dowody, albo kończymy zabawę.Mogę wskazać dowody, ale jaką będę miał gwarancję, że szczegóły nie wypłyną? NDA?
Rozpoczynasz wątek mówiąc: "Jest taka strona, która pokazuje loginy swoich użytkowników w kliencie", ale nie chcesz jej pokazać, siejesz tylko zamęt.
Masz dwa wyjścia:
- Albo pokazujesz stronę i gadamy o niej
- Albo decydujesz nie pokazać się strony i zamykamy wątek.