1. Este site usa cookies. Ao continuar a usar este site está a concordar com o nosso uso de cookies. Saber Mais.

Actualização de perfis e limpeza de utilizadores

Discussão em 'Sugestões e Questões Relativas ao Fórum' iniciada por Chip, 26 de Agosto de 2008. (Respostas: 68; Visualizações: 5441)

  1. Chip

    Chip Zwame Advisor

    Boa tarde,

    Iremos proceder a uma actualização dos perfis de utilizadores com vista a aumentar a segurança associada às contas de utilizador. Esta actualização impede que a password de um utilizador seja a mesma que o seu nome de utilizador. Quem está nesta situação poderá actualizar já o seu perfil em http://www.techzonept.com/profile.php?do=editpassword. Caso a alteração não seja feita, após a actualização os utilizadores serão automaticamente forçados a mudar a password aquando da primeira vez que se ligarem ao site.

    Entretanto iremos também proceder a uma limpeza dos utilizadores inactivos, com vista a libertar nicks que estejam eventualmente ocupados por utilizadores que efectivamente não visitam a Techzone.
     
  2. The Golden Eagle

    The Golden Eagle I quit My Job for Folding

    Contas inactivas são aquelas contas que não chegaram a ser activadas não é?

    Se for vejo tantos que só fazem registo para ver os tópicos do hi5 :(
     
  3. PanterA

    PanterA Power Member

    È possível vocês saber a password daqui do fórum?
     
  4. Banhoca_PT

    Banhoca_PT Power Member

    Costuma ser ao longo de 30 dias sem actividade.

    De qualquer forma, não vejo qual é a mente brilhante que vai pôr a password igual ao nick.

    EDIT

    Claro? Se eles estiverem encriptadas (como de resto deviam de estar) isso não será possível.
     
    Última edição: 26 de Agosto de 2008
  5. UnknownName

    UnknownName 1st Folding then Sex

    claro, mas apenas os admins.
     
  6. Chip

    Chip Zwame Advisor

    Boas,

    Iremos considerar contas inactivas contas com 0 posts, sem login no fórum há mais de 6 meses e com um tempo de registo superior a 1 ano.

    Quanto às passwords do fórum, as mesmas estão encriptadas e não são conhecidas por ninguém a não ser o próprio utilizador...

    ...nem mesmo os administradores.
     
  7. shello

    shello Moderador
    Staff Member

    Não directamente, pois a password em si não é guardada na base de dados (isso seria uma falha enorme de segurança).
    É guardada uma hash, que neste caso (segundo sei), é o MD5 do MD5 da tua password. Quando fazes login o que o sistema faz é gerar o MD5 do MD5 da password que inseriste, e compara com o que está na base de dados para tentar efectuar uma autenticação.

    #EDIT: Fica aqui a explicação de um dos developers do vBulletin (o software que se usa na Techzone): http://www.vbulletin.com/forum/showthread.php?t=211445
    Na verdade ainda é usado mais um elemento gerado aquando do registo (user_salt) e guardado na base de dados.
     
    Última edição: 26 de Agosto de 2008
  8. PanterA

    PanterA Power Member

    Obrigado pelas respostas! Já percebi... ;)
     
  9. Rom Hacker

    Rom Hacker Banido

    A dificuldade estava em descubrir o MD5 da pass,pelo menos em todas as Forum Board que conheço,nenhum Utilizador comum sem ser um Cracker,consegue descobrir o Hash da tua pass.
    Agora,
    Se alguém tivesse o teu hash,que fosse descoberto numa falha,podes crer que estavas em maus lençóis :/
    Btw,
    A Techzone vai perder muitos users,pois maior parte deles inscreveram-se para aceder aos Classificados,e com 0 Posts Tornavam-se Power Members,outros por causa do hi5...
    Cumps e Abraço.
     
  10. Tjqueiroz

    Tjqueiroz 1st Folding then Sex

    Fazem muito bem, está mesmo a precisar de uma limpeza dos users inactivos.. principalmente aquando da altura dos hi5 que foi uma autêntica infestação...
     
  11. Banhoca_PT

    Banhoca_PT Power Member


    Vai perder muitos users, sim. Mas users assim ninguém precisa :D
     
  12. The Golden Eagle

    The Golden Eagle I quit My Job for Folding

    Exacto, já que vamos mudar para Zwame fazemos uma " Limpeza", acho muito bem, esse users não fazem cá falta nenhuma.
     
  13. md13

    md13 Power Member

    Excelente ideia, quando é que essa limpeza esta concluida?
     
  14. Neptune

    Neptune 1st Folding then Sex

    Fico contente por ver que finalmente deram a mão à palmatória e decidiram efectuar essa limpeza, já que numa discussão anterior tinham decidido que não a iriam fazer.
     
  15. [ThunderS]

    [ThunderS] Power Member

    Até que enfim.. um passo que já vinha a ser necessário.
     
  16. Bravo

    Bravo Power Member

    Espero bem que nao me incluam nessa limpeza lol.
     
  17. shello

    shello Moderador
    Staff Member

    Obviamente que nenhum registo que tenha associado mais que 0 posts (ou, por outras palavras, posts ≥ 1) vai ser apagado.
     
  18. Bravo

    Bravo Power Member

    Grato pelo esclarecimento :)
     
  19. Kayvlim

    Kayvlim Undefined Moderator
    Staff Member

    Como foi dito, o que é registado na base de dados é um hash MD5 de uma mistura entre o username e a password.
    Depois de fazer o "hashing" da dita mistura, não é possível voltar atrás - os dados que o geraram não são recuperáveis.
    Isso quer dizer que, mesmo numa trágica situação em que os dados da BD sejam revelados e as hashes sejam divulgadas, é bastante difícil para um cracker conseguir descobrir a password original. E quando digo "bastante difícil", é a ponto de ser quase impossível.
    Nesta situação, um cracker só se iria interessar pelas passwords dos admins, uma vez que o trabalho de descobrir as passwords dos restantes users não compensaria, e com certeza que numa situação destas, os admins mudariam logo as passwords :)

    Em suma, este esquema de protecção assegura que as passwords não são descobertas sem recurso a pelo menos supercomputadores ;)

    Em contrapartida, um cracker poderia vasculhar a lista por passwords iguais ao username, uma vez que isso facilitar-lhe-ia bastante o trabalho, mas como dá para ver na notificação acima, os temos em que se podia usar o username como password estão no fim.

    Em suma, mesmo que a tua hash fosse divulgada através de uma falha, não estarias em maus lençóis, simplesmente porque ninguém se daria ao trabalho de fazer o bruteforce à mesma.

    @ tópico, também sou a favor desta limpeza. Assim eliminar-se-ão talvez milhares de registos "inúteis" da base de dados :)
    Chip, é possível no fim dizeres o resultado? Quantos nicks foram eliminados?
     
  20. HecKel

    HecKel The WORM

    Só para esclarecer que as passwords são visíveis por uma pessoa. (ver link)
     

Partilhar esta Página