1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Actualização de perfis e limpeza de utilizadores

Discussão em 'Sugestões e Questões Relativas ao Fórum' iniciada por Chip, 26 de Agosto de 2008. (Respostas: 68; Visualizações: 5483)

  1. Chip

    Chip Zwame Advisor

    Boa tarde,

    Iremos proceder a uma actualização dos perfis de utilizadores com vista a aumentar a segurança associada às contas de utilizador. Esta actualização impede que a password de um utilizador seja a mesma que o seu nome de utilizador. Quem está nesta situação poderá actualizar já o seu perfil em http://www.techzonept.com/profile.php?do=editpassword. Caso a alteração não seja feita, após a actualização os utilizadores serão automaticamente forçados a mudar a password aquando da primeira vez que se ligarem ao site.

    Entretanto iremos também proceder a uma limpeza dos utilizadores inactivos, com vista a libertar nicks que estejam eventualmente ocupados por utilizadores que efectivamente não visitam a Techzone.
     
  2. The Golden Eagle

    The Golden Eagle I quit My Job for Folding

    Contas inactivas são aquelas contas que não chegaram a ser activadas não é?

    Se for vejo tantos que só fazem registo para ver os tópicos do hi5 :(
     
  3. PanterA

    PanterA Power Member

    È possível vocês saber a password daqui do fórum?
     
  4. Banhoca_PT

    Banhoca_PT Power Member

    Costuma ser ao longo de 30 dias sem actividade.

    De qualquer forma, não vejo qual é a mente brilhante que vai pôr a password igual ao nick.

    EDIT

    Claro? Se eles estiverem encriptadas (como de resto deviam de estar) isso não será possível.
     
    Última edição: 26 de Agosto de 2008
  5. UnknownName

    UnknownName 1st Folding then Sex

    claro, mas apenas os admins.
     
  6. Chip

    Chip Zwame Advisor

    Boas,

    Iremos considerar contas inactivas contas com 0 posts, sem login no fórum há mais de 6 meses e com um tempo de registo superior a 1 ano.

    Quanto às passwords do fórum, as mesmas estão encriptadas e não são conhecidas por ninguém a não ser o próprio utilizador...

    ...nem mesmo os administradores.
     
  7. shello

    shello %erador
    Staff Member

    Não directamente, pois a password em si não é guardada na base de dados (isso seria uma falha enorme de segurança).
    É guardada uma hash, que neste caso (segundo sei), é o MD5 do MD5 da tua password. Quando fazes login o que o sistema faz é gerar o MD5 do MD5 da password que inseriste, e compara com o que está na base de dados para tentar efectuar uma autenticação.

    #EDIT: Fica aqui a explicação de um dos developers do vBulletin (o software que se usa na Techzone): http://www.vbulletin.com/forum/showthread.php?t=211445
    Na verdade ainda é usado mais um elemento gerado aquando do registo (user_salt) e guardado na base de dados.
     
    Última edição: 26 de Agosto de 2008
  8. PanterA

    PanterA Power Member

    Obrigado pelas respostas! Já percebi... ;)
     
  9. Rom Hacker

    Rom Hacker Banido

    A dificuldade estava em descubrir o MD5 da pass,pelo menos em todas as Forum Board que conheço,nenhum Utilizador comum sem ser um Cracker,consegue descobrir o Hash da tua pass.
    Agora,
    Se alguém tivesse o teu hash,que fosse descoberto numa falha,podes crer que estavas em maus lençóis :/
    Btw,
    A Techzone vai perder muitos users,pois maior parte deles inscreveram-se para aceder aos Classificados,e com 0 Posts Tornavam-se Power Members,outros por causa do hi5...
    Cumps e Abraço.
     
  10. Tjqueiroz

    Tjqueiroz 1st Folding then Sex

    Fazem muito bem, está mesmo a precisar de uma limpeza dos users inactivos.. principalmente aquando da altura dos hi5 que foi uma autêntica infestação...
     
  11. Banhoca_PT

    Banhoca_PT Power Member


    Vai perder muitos users, sim. Mas users assim ninguém precisa :D
     
  12. The Golden Eagle

    The Golden Eagle I quit My Job for Folding

    Exacto, já que vamos mudar para Zwame fazemos uma " Limpeza", acho muito bem, esse users não fazem cá falta nenhuma.
     
  13. md13

    md13 Power Member

    Excelente ideia, quando é que essa limpeza esta concluida?
     
  14. Neptune

    Neptune 1st Folding then Sex

    Fico contente por ver que finalmente deram a mão à palmatória e decidiram efectuar essa limpeza, já que numa discussão anterior tinham decidido que não a iriam fazer.
     
  15. [ThunderS]

    [ThunderS] Power Member

    Até que enfim.. um passo que já vinha a ser necessário.
     
  16. Bravo

    Bravo Power Member

    Espero bem que nao me incluam nessa limpeza lol.
     
  17. shello

    shello %erador
    Staff Member

    Obviamente que nenhum registo que tenha associado mais que 0 posts (ou, por outras palavras, posts ≥ 1) vai ser apagado.
     
  18. Bravo

    Bravo Power Member

    Grato pelo esclarecimento :)
     
  19. Kayvlim

    Kayvlim Undefined Moderator
    Staff Member

    Como foi dito, o que é registado na base de dados é um hash MD5 de uma mistura entre o username e a password.
    Depois de fazer o "hashing" da dita mistura, não é possível voltar atrás - os dados que o geraram não são recuperáveis.
    Isso quer dizer que, mesmo numa trágica situação em que os dados da BD sejam revelados e as hashes sejam divulgadas, é bastante difícil para um cracker conseguir descobrir a password original. E quando digo "bastante difícil", é a ponto de ser quase impossível.
    Nesta situação, um cracker só se iria interessar pelas passwords dos admins, uma vez que o trabalho de descobrir as passwords dos restantes users não compensaria, e com certeza que numa situação destas, os admins mudariam logo as passwords :)

    Em suma, este esquema de protecção assegura que as passwords não são descobertas sem recurso a pelo menos supercomputadores ;)

    Em contrapartida, um cracker poderia vasculhar a lista por passwords iguais ao username, uma vez que isso facilitar-lhe-ia bastante o trabalho, mas como dá para ver na notificação acima, os temos em que se podia usar o username como password estão no fim.

    Em suma, mesmo que a tua hash fosse divulgada através de uma falha, não estarias em maus lençóis, simplesmente porque ninguém se daria ao trabalho de fazer o bruteforce à mesma.

    @ tópico, também sou a favor desta limpeza. Assim eliminar-se-ão talvez milhares de registos "inúteis" da base de dados :)
    Chip, é possível no fim dizeres o resultado? Quantos nicks foram eliminados?
     
  20. HecKel

    HecKel The WORM

    Só para esclarecer que as passwords são visíveis por uma pessoa. (ver link)
     

Partilhar esta Página