OXYMORON: Dnes spoustu legrace s casti “something happening in the web”

Sha1-Hulud 2.0 Supply Chain Attack: 25K+ npm Repos Exposed | Wiz Blog
https://www.wiz.io/blog/shai-hulud-2-0-ongoing-supply-chain-attack

OXYMORON: co tak ctu, tak "Rust devs" a ten jejich buildovaci system je taky casovana bomba typu "Saj Hulud"

Ukradeno z Nových internetových humorů

JARDABEREZA: To mi přijde jako risk-based authentication (a proč ne), ale myslel jsem spíše SecretServer / CyberArk / BeyondTrust, kde dělají credentials management, kdy to heslo vlastně nikdo ani nezná, po každém použití se změní, případně je účet na doméně vypnut když není používán, apod.

PES: Aspoň nic nerozbijou :e

MUXX: SAP uměl maximálně 8 znaků a z nějakého důvodu to Němci nemohli fixnout a začal to být problém, tak se právě vymyslely ty hesla která musí obsahvat todleco a támhlecto, aby se zvětšil prostor a hackerům ztížilo prolamování - ostatně nevím, jestli to dodnes opravili. Pitomý je, že bez znalosti důvodu se tahle praktika rozlezla do všech možnejch systémů. (Kpt. Zřejmý pak dodává, že z matematického pohledu neni důvod tam mít nesmyslné znaky, stačí, když bude heslo dostatečně douhé - s každým dalším znakem roste ten prostor rychleji, než přidávání soeciálů do menší délky.)
Dodám jen, že vtipnej je okamžik, když máte v heslu tabulátor. To vám ledasjakej klient (např. PUTTY na woknech) nezkousne :)

MARASAN: Podibna zkusenost. Kdyz seznam pozadavku na to co v hesle nesmi byt je delsi, nez co tam muze byt, tak jsou to zpravidla nemci.

QWWERTY: Mi pripomina jak jsem takhle nekam generoval heslo nekdy v drevnich dobach, a cut'n'pastoval jsem to z terminalu. No zkopiroval jsem to i s newlinem, kterej to zrejme sezralo, a pak se strasne divil, ze se mi nejde zpatky prihlasit. Uz si nevzpominam, jak jsem prisel na to s tim newlinem, bud to heslo beztak ukladali v cleartextu a slo si ho nechat zaslat (jak rikam, drevni doby), nebo jsem toho dosahl nejak editaci toho input boxu na heslo.

QWWERTY: ja zazil, ze zmena hesla pres web sezrala cokoliv a heslo pak nejelo z API klienta. Na hotlajne jsem se pak dozvedel, ze v hesle nemuzou byt zadny specialni znaky. Němci.

mych pet centu

docela by me zajimalo, zda se nedavna "stara" na VZP netykala i vyvoje jejich systemu https://dusevnizdravi.vzp.cz/

aneb

* heslo tam je k dispozici v plain textu a jeho zmena probiha zmenou toho fieldu (ani nema nastaveny typ password)
* kdyz zadate RC klienta vzp, tak se dostanete k prehledu jeho prispevku za terapii za aktualni rok u jinych terapeutu - jakoze spravne by stacilo videt, ze uz jich letos vycerpal X za XYZ penez

CERMI_FOX: zatim nejhorsi system co jsem potkal, tak mel maximum 16 a libovolne dlouhe heslo uzivateli orizl, aniz by mu to rekl
takze ja jsem vygeneroval 20 char heslo, vlozil ho tam, heslo zmeneno a stejne se neslo prihlasit
az kdyz me napadlo vlozit heslo a odmazat posledni 4 znaky, tak me to prihlasilo

QWWERTY: Mě vždycky baví jak chtějí čísla, velký malý znaky, speciální znaky a pak jenom... e. eé... moc dlouhý, musí to mít méně než 12 znaků :-D Občas i pod deset :-D

NAZARETSKY: jeste vtipnejsi je, kdyz pouzivas password generator a cilovy system ti rekne, ze akceptuje jenom par vybranych specialnich znamku
a pak se dozvis, ze v ramci bezpecnosti ma password field zakazane vkladani textu, takze misto opisovani random pismen nakonec skoncis u predictable stringu, ktery zacina velkym pismenem a konci obligatnim "123!"