GitHub vyzval část uživatelů ke změně hesla, omylem si některá uložil

Takto vyzerá seriózna spoločnosť. Jasne vysvetlia čo sa stalo, nič nezakrývajú a pri chybe hneď riešia.

Souhlasím. Chyby dělá každý, ale jen někdo na koule na to je řešit. Jen tak dál.

lol a seriozni vrah je ten co se hned prizna a omluvi

seriózní problém

lol celkem beznou chybou.. v tvym svete fakt nechci zit

Jako bez urážky, fakt, ale zjistit, že nevidím rozdíl mezi omylem uloženými stringy do logu a vraždou, začal bych se léčit už jenom kvůli sobě ...

Nejak tomu nerozumim. Pokud se jednalo o hashe, jak mohli u zapomenuteho hesla logovat cleartext kdyz ho udajne nemaji?

Zalogovali nové heslo při vytváření hashe

Uplne normalne, ja treba ve webovem systemu loguji kazdy pohyb uzivatele a to vcetne vsech POST, GET parametru. No a kdyz mate mezi POST daty z formulare i zadane heslo uzivatelem problem je na svete :)

No, docela frajeři narozdíl od Facebooku, který vypotil chybovou hlášku, že mám použít jiné heslo, protože to aktuální je podobné heslům některých zablokovaných účtů.

Co je na tom divného? Existují hashovací funkce, které se přesně na toto dají využít - myšleno na zjišťování podobnosti, bez nutnosti exposnout zdrojovy cleartext. Neříkám, že to fcbk použil, ale už jsem to párkrát viděl v akci. Takže jestli tím narážíte na to, že fcbk ukládá někde hesla v plaintextu, aby zjistil podobnosti, tak se Vaše úvaha nemusí zakládat na skutečnosti

U kvalitní hashovací funkce podobné heslo nezjistíte - pouze totožné.

Ne, takové hashovací funkce neexistují. Požadavek na hashovací funkce je, aby změna byť jediného bitu na vstupu způsobila velkou změnu hashe. Podobnost vstupu se tudíž podle podobnosti hashe odhadnout nedá. On by to byl docela vážný problém, kdyby ano, protože byste pak mohl poměrně rychle heslo z hashe uhodnout. Požadavek "nepoznat, zda jsem blízko" je jedním z těch základních.

Viz https://cs.wikipedia.org/wiki/Ha%C5%A1ovac%C3%AD_funkce

S jejich šmírovacími algoritmy bych měl strach mít stejné heslo k nim a do pošty. Neexistují žádná data, která by tahle společnost nedokázala zneužít.
A upřímně, ta chybová hláška opravdu zněla tak, jak jsem napsal - heslo bylo podobné. Nechápu, proč s tím otravují uživatele, je přece jeho problém, že použije nějaké profláknuté heslo. Asi jim marketing neřekl, že je to sice fakticky správně, ale že se tím odkopávají.

Také na jednom svém veřejném webu jména a hesla loguju - ale pouze při neúspěšné autentizaci, ať vím co se děje.

nic moc takhle se to celkem bezne delava rofl

@agent

To je provokace, to nemyslíš vážně, že ne?

Proč? Dá se tak odhalit třeba pokus o slovníkový útok. Uloží se (při neúspěšném) IP, jméno a heslo. Pak není problém vymyslet algoritmus, co danou IP blokne.

@P K

Aha, takže když se seknu o písmenko, tak se pak někde v logech nachází moje téměř přesné heslo a ty logy se pak přeosílají po ajťácích z firmy, válí na fleškách a kdoví kde, když se řeší nebo dohledává cokoliv?
No paráda ... To se pak nedivím, že některé nezajímá HTTPS, když provádí takové věci ...

Pôžitkár, agent: poprosim vas, dali by ste nam tu vediet, ake sluzby vy prevadzkujete? Ja len ak mam u vas nahodou ucet, rad by som si ho okamzite zmazal a pri troche smoly budem musiet menit hesla inde (ano, som vinny z obcasneho password reuse na throwaway sluzbach).

Ako k tomu pristupuje legislativna ochrana osobnych udajov? Ak poziadam, musia z logov odstranit moje udaje (IP, meno heslo) ak su zalogovane?

K druhej časti, áno musia.

Kde píšu, že něco provozuji? Nechápu váš komentář.

Jo to jsem viděl také.
"Někdo se pokoušel (datum čas) přihlásit na váš účet heslem: 123heslo."
Hned mě napadlo založit účty adnin, admim, ... a čekat na překlep. :-)
Tohle kdosi nedomyslel.