Talsu Valsts ģimnāzija - logs uz pasauli
Ieskaties
Ģimnāzija sociālajos tīklos

Eklase.lv paroļu nedrošībā 21.01.2014 23:50

E-klases paroles tiek glabātas nedrošā veidā!

Pēc šodien izskanējušās informācijas, eklase.lv portāla lietotāju paroles tiek glabātas nešifrētā veidā. Tas nozīmē, ka, ja jūsu parole ir "skola123", tad tāda tā arī glabājas eklase.lv datu bāzē. Rezultātā, ja notiek eklase.lv uzlaušana un datu bāzes nozagšana vai arī ir kāds negodīgs darbinieks šajā uzņēmumā, tad ir iespēja piekļūt pie šīs paroles.

Kur slēpjas risks? Ja šī parole tiek lietota tikai e-klasē un citur nē, tad riski ir mazi, bet ļoti daudzi interneta lietotāji vienu un to pašu paroli lieto vairākās vietās (e-pasts, sociālie tīkli, internetbanka, utt...). Tātad iegūstot paroli vienā vietā, iespēja to lietot arī citās, kas ir nedroši!

Ko darīt? Iesaku visiem, kas šo eklase.lv paroli lieto vēl kādā vietā, nomainīt paroli eklase.lv un arī citās vietās, kur tā tika lietota lietot citu paroli (vislabāk katrā vietā citu).

Informācijas avoti:

http://reinis.me/eklases-parolu-jautajums/
http://laacz.lv/2014/01/21/e-klases-epopeja/
http://www.delfi.lv/news/national/politics/skolens-uzlabo-e-klasi-izstradatajs-samulst-no-vina-rupjibam-un-aizsuta-juristu.d?id=44058843
http://krizdabz.lv/it-zinas/ka-deac-iebrauca-auzas-piesolot-skolenam-tiesu-darbus/
https://twitter.com/cyxob/status/425732899686850560


Plašāks izklāsts interesentiem:

Pariezi galabājot paroles, ievadot paroli, tai vispirms tiek pievienoti katram lietotājam atšķirīgi simboli(salt) (lai maskētu bieži lietotas paroles) un tā tiek nošifrēta pēc matemātiskām metodēm tādā veidā, ka atšifrēšana principā nav iespējama (hash). Piemēram, ievadot paroli "skola123" tā tiek pārviedotā par "skola123ACfrDet" un pēc tam nošifrēta ar (piem. ar SHA-256 algoritmu) uz "ec09bfa33f6a469a698e86093bdc8c35f31e971467ff9c24372353799c0c8c8f". Pēc tam, kad nākošreiz lietotājs ielogojas web-servisā tiek izdarīts taspats un salīdzināti šie rezultāti, nevis reālās paroles. Šādā veidā nošifrētas paroles, ja arī tiek iegūtas ir grūti (bieži neiespējami) atskaitļojamas atpakaļ uz reālo paroli. Eklases gadījumā parole tiek glabāta nešifrētā veidā un salīdzināta kāda ir. Piedevām eklase (cik šobrīd novēroju) nelieto SSL savienojumu, tad nozīmē, ka savienojums starp serveri un lietotāju nav šifrēts un iespējama paroļu zagšana izmantojot wi-fi tīklus. Kāds skolā jau ir mēģinājis? :)

Liels sašutums un izbrīns par šādu liela IT uzņēmuma darbību, nemaz nepieminot Chrome plugin skandālu, kura iespaidā šīs problēmas izgaismojās.

Skolas web-programmēšans pulciņa vadītājs,
Edgars Strods


Pievienotie attēli


Atslēgvārdi

e-klase, IT, internets, drošība