No estás registrado (Registrarse)
Vanilla 1.1.10 es un producto de Lussumo. Para más información: Documentación, Soporte.
-
Las medidas que habeis tomado en temas de seguridad incluyen encriptar la contraseña en BD? porque a mi al menos me parece de cajon de madera y si tienen acceso a las cuentas y tienen una contraseña encriptada no es lo mismo que la contraseña tal cual.
Un saludo4 Webmasters -
he recibido el email...
-------
No consideramos que tu cuenta se haya visto afectada, y tampoco hay constancia de acceso no autorizado a la misma, pero, por precauci?n, te informamos de que deber?as cambiar tu contrase?a de acceso a cualquier otro sitio web que utilices con la misma contrase?a que ten?as en NameDrive.
--------
creo que tendre que "recordar" en que otros sitios usaba el mismo dato de ND ... si es incomodo 
-
Hablando de hackeadas a Namedrive:
Me pregunto por que NameDrive NO utiliza certificados de seguridad en toda sus páginas (ssl / https) ?
Alguien puede comentar al respecto ?___________ www.piensa.com _____________ www.registry.com.mx __________________ -
Encripten las contraseñas, malditos!Con qué autoridad moral nos vienen a hablar de seguridad después de almacenar las contraseñas a la vista? Me molesta muchísimo lo sucedido.martin.com.uy | Cafe Montevideo
-
Ya decía yo...Irrational Escalation of Commitment.
-
Martin, que tienen su corazoncito también. No se vayan a ofender por entender mal tu tono.:: el roce hace el dominio ::
-
:komete4:En lo más íntimo quiero chili (con carne, a poder ser :tiko:) · Especialista en tiros por la culata · No me ando con chiquitas · Gandu hu, gandu hu, garu se kaho!
-
No hay problema Corso: mi nueva contraseña de Namedrive va a ser 123456martin.com.uy | Cafe Montevideo
-
En lo más íntimo quiero chili (con carne, a poder ser :tiko:) · Especialista en tiros por la culata · No me ando con chiquitas · Gandu hu, gandu hu, garu se kaho!
-
- CommentAuthorJCDomainer
- CommentTimeFeb 5th 2009 editado
Lo que dice MARTIN es tal cual...
No es POSIBLE que NameDrive tuviese las claves almacenadas SIN encriptar en una base de datos.
Eso sería IMPERDONABLE.
Una cosa es la seguridad... TODO sitio podría ser HACKEADO pero precisamente por eso NINGUN sitio puede guardar claves sin encriptar.
Si esto ocurrió, el problema no es de seguridad SINO de negligencia, ignorancia e incompetencia.
Si esto NO es así, entonces todo esta OK PERO la alarma y la inseguridad que trasmite el correo de NameDRIVE...While we do not believe that your account has been affected and we have
no indication of unauthorized access, we are informing you as a
precaution that you should change your login passwords to any other
online programs for which you use the same password as you do to log
into NameDrive.com
Da TODA la sensación de que es como decimos o sencillamente NI ELLOS SABEN que fue lo que PASO y están TAN ASUSTADOS como nosotros.Posted By: NameDriveEs de sobra conocido que las buenas prácticas de seguridad aconsejan usar distintas contraseñas para cada sitio web al que tengamos acceso y cambiarlas con cierta frecuencia.
Esto es vergonzoso!
Claro que todos sabemos que usar la misma clave en todos lados es malo... pero ¿por qué? Porque sitios INSEGUROS podrían dar acceso a terceros y dejar nuestras claves al descubierto.
Si mañana me roban todo el dinero de PayPAL, mi cuenta BANCARIA, mi tarjeta, etc el PRIMER RESPONSABLE de ese robo NO voy a ser yo por haber sido tan RIDICULO de usar la misma clave en todos lados SINO NameDrive (en este caso) en quien RIDICULAMENTE confié como un sitio seguro.
Yo creo que este comentario del usuario NameDrive está absolutamente de sobra e intenta quitar responsabilidad a algo de lo que solo ELLOS son los responsables.
Se que soy duro pero esto es GRAVISIMO
En fin... usuarios de NameDrive... a cambiar todas sus claves para evitar más sorpresas !! -
A mi me parece campaña de desprestigio
No seria la primera vez que en foros se comenta de las practicas sucias del otro lado, contratando hackers rusos
Y con la salida en puerta de NDX (el cual esta MUY BIEN) pues algo tenian que hacer
Pero mejor no digo nada que si no me quitan el PRO del otro lado (ah pero si no tengo... alla soy BRO)Hola!
-
- CommentAuthorJCDomainer
- CommentTimeFeb 5th 2009
Mirá f-x como digo arriba...
HACKEAR nos pueden Hackar a TODOS y obviamente la imagen no sería la mejor.
Ahora RESULTA que lo que esta en juego NO es solo la imagen de NameDRIVE SINO que por su aparente NEGLIGENCIA que queda al descubierto por el HACKEO (y que pasa a ser secundario) RESULTA que lo que estya en JUEGO son NUESTROS intereses.
¿o No? -
Posted By: JCDomainerMirá f-x como digo arriba...
HACKEAR nos pueden Hackar a TODOS y obviamente la imagen no sería la mejor.
Ahora RESULTA que lo que esta en juego NO es solo la imagen de NameDRIVE SINO que por su aparente NEGLIGENCIA que queda al descubierto por el HACKEO (y que pasa a ser secundario) RESULTA que lo que estya en JUEGO son NUESTROS intereses.
¿o No?
De acuerdo... aun que no es por defender a namedrive.com... pero un hacker verdadero (o lammer) si tiene acceso a las claves aun que esten encriptadas en md5 es sumamente sencillo desencriptarlas...
Es igual que tengamos contraseñas como:
Md5 Hash: 4d186321c1a7f0f354b297e8914ab240 - Desencriptala aqui: http://www.md5decrypter.com/
Aquí creo que lo mejor seria que namedrive.com interponga una demanda... se de con el culpable y de una vez por todas se acaben con los ataques DDos y Hacks.
(Respuesta: Desencriptada: hola)
Hola!
-
De acuerdo... aun que no es por defender a namedrive.com
En realidad si es por defender a namedrive pues que un programador me diga que da igual que las encripten en md5 o que esten en texto plano pues de las dos maneras se pueden sacar no tiene otra logica
para eso que no pongan usuario y contraseña total con una buena lista de proxys anonimos y una wordlist tambien puedo hacer un ataque de fuerza bruta y extraer los login y pass de unos cuantos usuarios.
Mediante un ataque de fuerza bruta o directamente a base de comparar con palabras y sus md5 que esten guardados en bd se puede sacar lo sabemos todos pero tienen otras opciones pueden no usar md5 y es que me da igual incluso usando md5 yo me bajo la lista y ya doy trabajo pero vamos dejarla en texto plano? ya lo dije arriba de cajon de madera
f-x cuantos de tus desarrollos almacenan las contraseñas sin encriptar? Si tuviera que apostar diria que ninguno pero si te parece bien que ellos lo hagan?
Un saludo
4 Webmasters
-
-
CommentAuthorcarminatti
- CommentTimeFeb 6th 2009
El problema mayor no es lo que se detectó sino lo que no se detectó
Podrían explicar lo que ha sucedido para que los usuarios estemos tranquilos de saber que pasó y, que quienes tengamos la capacidad, comprendamos que realmente otras cuentas y partes del sistema no se vieron afectadas?
Gracias.5ta Conferencia Internacional de Marketing e Inversiones en Internet - El evento que revolucionará la dimensión desconocida
-
-
Y ya vieron lo que pasó con PHPBB.COM?
The attacker gained entry through the PHPList application and was able to dump a complete backup of the emails on file. He then used the same exploit to access the phpBB.com database. Both the email list from PHPlist and a copy of the phpBB.com users table were then posted publicly.
phpBB3 uses a complex hashing algorithm in order to prevent someone from determining the plaintext value of a password. phpBB2, however, used a much simpler and less secure md5 algorithm to store passwords. This is one of the many reasons why we have decided to no longer support the phpBB2 software. Because hashes cannot be reversed, phpBB3 is set to convert phpBB2 hashes to the new phpBB3 standard during the first user login. Those users who registered while phpBB.com used phpBB2 and did not login on the new phpBB3 board continue to have their password hashes stored in the old format. Passwords stored in the old format are much less secure than those stored in the new format. The attackers have been focusing purely on the passwords stored in the old format.
Más info aquíTurismo en Italia