Ja nemam slov, jste bulvar nejvetsiho kalibru.
MS, SCO rozohdne nezasponzoroval, kdybyste si dali tu praci existuje vyjadreni kde se vse vysvetluje. Ale to fanatismus nedovoli, chapu.
Krasny titulek: U solarisu ziskate Roota u Windows vsechna hesla.
Tak tohle je uz opravdu k placi. Jde jen o ubohy programek, ktery vystoura hesla s telefonickych uctu, emailovych uctu. Ale jaksi jste zapomneli dodat ze tohlej de udelat jen tak ze program se pusti z daneho uctu!!! Root je posledni dobou cim dal tim horsi a fanatictejsi. Fuj!!!
Ci vyjadreni, kde se vse vysvetluje? Muze to byt (zrejme, zadne takove jsem necetl) oficialni stanovisko SCO nebo Microsoftu, tedy tvrzeni proti tvrzeni, takze to neni "rozhodne" pro ani proti - v nasich novinkach jsme dali prostor pochybnosti, vy ve svem prispevku nikoliv :-).
Pokud by ty hesla sla vydolovat i pokud je RockXP spusten z ciziho uctu, bylo by to jeste mnohem horsi, ovsem i takhle je to pomerne zavazny bezpecnostni problem.
V perexu je pomerne malo prostoru, proto tam pochopitelne nelze vypsat vsechny skutecnosti a souhrn musi byt opravdu velmi strucny; pokud nekoho neco zaujme, jiste si odpovidajici zpravicku najde v textu clanku, kde je vetsi prostor pro blizsi vysvetleni.
Pokud mate pripominky k nejakym konkretnim novinkam, jiste vas radi na redakce@root.cz Johanka vyslechne a novinku patricnym zpusobem upravi ci preformuluje.
Napsal bych to min agresivne, ale bohuzel souhlasim. Mezi ziskanim vsech hesel a ziskanim vsech _svych_ hesel je celkem zasadni rozdil, to fakt svedci o buvarnim stylu. U poznamky o SCO by se sluselo napsat treba "objevily se indicie" nebo neco v tom smyslu - udelat z toho jasnou vec je opravdu fanatismus. A ten skodi OpenSource komunite vic nez SCO!!
ad Root na Solarisu: no jo, profesionalni deformace :)
ad vsechno: perex ke Stalo se pise bulvarne vzdycky, aby to lidi cetli :), myslim, ze uz tu byly daleko horsi, a divim se, ze se nekdo ozval az ted. S tema heslama, priznam se, ze ani z puvodniho clanku jsem moc nepochopila, kolik se toho da odchytit/vysosat, nicmene jak rekl Baudy, v kazdem pripade je to zavazny bezpecnostni problem.
Neni to absolutne zadny bezpecnostni problem, mozna tak velmi mirny. Nejak nevim o tom ze by bylo v Linuxu nemozne hesla (samozrejme konretniho uzivatele pod kterym budu zrovna pracovat) vysosat naprosto stejne za predpokladu ze budu mit fyzicky pristup k uzivatelskemu uctu.
A co se tyce te bulvarnosti tak ta by tu nemela co delat. Mozna si to neuvedomujes, ale nekteri lide ctou jen ty nadpisy. A co se stane pak? Jedna velka desinformace. Jen tak dal.
Samozrejme heslo uzivatelskeho uctu ziskat nelze, stejne jako ve Win. (jedine za predpokladu ze budu mt k dispozici admin ucet, ale v Linuxu je to totozne kdyz mam roota)
Ani root ani nikdo jiný nemůže získat hesla uživatelských účtů, pokud jsou volená odolně proti slovníkovému útoku. V /etc/shadow máš jenom checksumy, z kterých heslo nejde efektivně spočítat.
Chtelo to byt trochu vice podeziravejsi, i kdyz heslo neziskas tim ze bude silne, root ho stejne muze resetovat apod. Takze kdyz mas fyzicky pristup k pocitaci proste neni sance jakkoliv stavajici bezne systemy zabezpecit. Ve Windows si taky muzu zapnout sifrovani syskey na vymenitelne medium a pak se nepodari heslo ziskat a ani resetovat bez poskozeni OS. Ale stejne tim nezabranim odcizeni dat apod. Tim chci jen rict programek o kterem se bavime je jen jednim z desitek a rozhodne nevyuziva zadnych slabin. Heslo k emailovemu uctu v Mozille taky dokazu zjistit kdyz k ni budu mit pristup. Ten programek celou proceduru jen zjednodusi to je cele. Ale rozhodne nehrozi ze by se pomoci nej dal kompromitovat cely OS.
Já myslím, že si rozumíme, chtěl jsem spíš upřesnit, že získat přístup není vždy totéž, co získat heslo. Souhlasím, že ta utilitka sama nezpůsobí _dostupnost_ těch hesel, takže to není vysloveně exploit. Vlastně jen vyhledá v systému zajímavé informace, které už dostupné jsou. Tím ale ukazuje, že cachování hesel (bez prostrčení jednosměrnou funkcí) je krajně nebezpečné, pokud dojde třeba k virové nákaze. Ukazuje, jak snadno a rychle může virus najít všechna cachovaná hesla uživatele, který jej spustil, a poslat mailem útočníkovi. Nic víc, nic míň.
1) Uzasna funcionalita
2) Zadne lzi nehlasam
3) Chtela jsem napsat, ze ses magor, ale spokojim se s tvrzenim, ze jsi omezeny. Klidne pis zpravicky i summary sam, budeme radi a zaplatime.
