Database Password postato il 15/08/2016 09:01:21 nel forum programmazione, gdrcd, open source, hosting
Ciao a tutti,
premetto che sono completamente (o quasi) nuovo del mondo dei pbc e da qualche settimana ho voluto cimentarmi in questo mondo. Ma ho incontrato non pochi problemi e divieti che magari per me nuovo di questo ambiente ( ma non nuovo nei role play game, sopratutto quelli cartaceii e live ) sembrano strani ma non lo sono; come il dievieto di backchat, oppure il divieto di usare Tor o VPN anche se è palese che sono "nuovo" e non un doppio o un disturbatore.
Ma non voglio chiedere di questo qui, piuttosto volevo una risposta riguarda ad una questione a mio parere grave e di sicurezza:
E' legale per questi siti, i pbc appunto, avere il db delle password degli utenti non crittografato? Mi spiego: ok che il gestore può leggere la mia mail, ok che può vedere il mio ultimo ip ( e anche qui potrei fare polemica sul fatto che è un metodo di controllo il mio ultimo ip, salvarlo poi in un db di tutti gli ip usati dal mio "utente" è cosa ben più invasiva ). Ma vedere la mia password? Quello il gestore NON dovrebbe essere in grado, cioè ormai anche le peggio piattaforme forum tipo *nomeforum*.forumfree.net hanno il db delle pw crittografato; Certo nelle stringe del db c'è anche la chiave di decodifica ma quella a sua volta è ben nascosta e solo chi è capace e ha la vera neccessità di conoscere il dato la va a prendere e inizia il procedimento, comunque lungo, di de-crypt.
tl;dr;
E' legale avere il db delle password degli utenti in bella vista?
Che bisogno c'è?
Non è più sicuro averlo crittografato?
A.
Pagine → 1 2
15/08/2016 09:19:54 e modificato da twcotstaff il 15/08/2016 09:20:43
Io la prima cosa che ho inserito è un sistema di crittografia delle password.
È impensabile, errato, scorretto, ma soprattutto PERICOLOSO e lo sottolineo, avere le password in chiaro in un database, considerando quanti rischi sulla sicurezza ci sono anche facendo il massimo controllo possibile.
Non so che land hai visto, ma mi sento di dire che il 90% delle land usa una crittografia.
:-)
15/08/2016 09:32:18
Ora sono sincero, io ne ho visitate una decina, poco meno; ma in ben due casi ( in questo caso, proverò, ad avvisare i gestori tramite e-mail ) ho notato che non è cosi;
Il caso più palese è quando mi hanno bannato, in meno di 12 ore dall'iscrizione e come motivazione hanno usato:
- password non congrua, non puoi mettere "bestemmie" nella password.
la mia password ( solo per quel pbc ) era "GodDamnIt_01"
Probabilmente, la gestione nel controllare il mio "status" oltre a vedere la mail, l'ip ha avuto modo di vedere "istant" anche la password. In 12 ore anche volendo il de-crypt non fai in tempo a farlo.
Quindi ecco 90% mi sembra a questo punto una stima, elevata; Data la mia esperienza personale in 3 settimane con un pool di nove land, almeno 2 hanno il db in chiaro; siamo quindi a meno del 80%
Davvero un peccato.
A.
15/08/2016 11:03:45
Criptare la password dovrebbe essere "obbligatorio", per avere la fiducia di un utente, è una delle basi per me :)
Assieme a non usare gli indirizzi email per posta indesiderata
15/08/2016 11:43:24
Che sia legale o meno non ne sono certo. Non credo che ci sia una norma esplicita riguardo la crittografia delle password.
è sicuramente una pratica fortemente deprecata, non esistono buone ragioni per non crittografare le password sul database.
15/08/2016 13:32:57
15/08/2016 15:41:42
15/08/2016 17:01:43
15/08/2016 17:24:02
15/08/2016 18:18:28
Bene,
mi fa molto piacere leggere di gente che sa di cosa sta parlando; e che quindi non ho fatto male a notare questo "problema".
Io dato, personalmente, proteggo i miei dati con i miei metodi e di sicuro ho visto più il lato personale del problema, cioè chi ha letto la mia password ha "violato" la mia privacy perché pensavo che almeno quel dato fosse "invisibile" alla gestione; poi chiaro che se non penso solo a me la cosa è più ampia e risulta quindi un problema di sicurezza per tutti.
Ma alla fine, la "tua" libertà finisce dove inizia la mia, quindi degli altri ( parlando da giocatore e non da gestore ) degli altri mi frega poco.
Qual'è il prossimo step? Vendono le mail dei giocatori agli agenti di pubblicità per pagarsi i programmatori?
Ho letto anch'io due righe riguardo alla legalità della cosa, a quanto pare il non vere il db crittografato non è in se un reato; ma allo stesso tempo andare a leggere le password degli utenti può essere vista come violazione della privacy. La solita legge italiano. Grazie per le risposte a tutti, buon proseguimento di vacanze signori!
A.
15/08/2016 18:32:02
Discussione seguita da
Pagine → 1 2
Rispondi alla Discussione Aggiungi ai Preferiti Inoltra Discussione Forum Programmazione, GDRCD, Open Source, Hosting Elenco Forum
Planethos GdR: Una nuova profezia
Metin2: Informazioni sul server migliorate
World of Tanks → Lanciati in epiche battaglie spalla a spalla con altri giocatori. Conquista la supremazia nel mondo dei Carri Armati!
Age of Crystals: Rallentamenti estivi
dbzgdr ha risposto alla discussione: Dragon Ball Z Gdr
Titan Revenge: Calendario eventi fino a fine mese online!
Entropia Universe → Lascia che il tuo avatar esplori nuovi mondi e viaggi tra i pianeti in questo stupendo MmoRpg Sci-Fi Free to Play!
Enlisted: Modifiche al sistema di aggiornamento
pyro72 ha aperto un annuncio di ricerca: World Without Heroes ricerca Giocatore
World Without Heroes: News GDR: Pubblicazione e Nuovo Inizio
Enlisted → Guida la tua squadra di soldati in combattimenti su larga scala, con fanteria, veicoli corazzati e aerei della IIa Guerra Mondiale!
I dati del generatore di rank sono stati aggiornati!
Il gestore di Nexi Generation ha risposto alla recensione di deanna
Brightest Star: Che (dis)grazia questo campeggio!
Ikariam → Su una piccola isola, in qualche parte del Mediterraneo, sorge un`antica civiltà. Sotto la tua guida inizia un`era di ricchezza e di scoperte!
Tezuka Osamu - Analisi della trilogia cinematografica d'animazione per adulti realizzata presso la Mushi Production di Tezuka Osamu
Storia Gaming - La storia del gaming: come il multiplayer ha cambiato il nostro modo di giocare!
Giochi Supereroi - Lista completa dei giochi di ruolo online ambientati nel mondo dei supereroi
Hell Dawn London - Intervista ai gestori del gioco post apocalittico Hell Dawn London!
Morte dei Play by Chat - Il play by chat è definitivamente morto? Chiediamo ai gestori cosa ne pensano!
Trek Tech - Immaginario e Tecnologia nella Saga di Star Trek. interessante tesi di Valentina Villa