Understand and Overstand

Játék egypercben, amelyben a NetAcademia és a Microsoft színre lép, majd Fóti Marcell a klasszikus dráma fonalvezetését felrúgva egyszer csak küld egy spamet valamennyi a játékban igazoltnak, és ezzel megkezdődik a bonyodalom.

Sajnos az egyik játékostársunk nem bírt magával, feltett egy közismert spyware vackot a .net temp könyvtárába, sőt, az általunk megadott jogosultságával élve lementette az SQL adatbázist, ezáltal hozzájut(hat)ott az emailcímekhez. Ez ma, 19:31-kor történt. A spyware vacakból kiinduva lehetséges, hogy szemétlevelet fog küldeni nekünk.

A feladónak első ízben bátorkodtam megjegyezni, hogy [i]gazából önök szpemmelnek most ezzel a levéllel, úgyhogy külön gratulálok a szakértelmükhöz!, majd a septében megérkezett válaszlevél kapcsán derült ki, hogy [b]ocsánat érte, de az 1200 regisztrált miatt fontosnak gondoltuk…

Még egyszer átfutva a levelet megállapodtam az alábbi paragrafuson.

Reméljük, senki nem volt olyan butus, hogy ugyanazt a loginnevet és jelszót adta meg, mint az online bankjában!

Hogy ki is volt valójában a butus, inkább megkérdeztem tőlük.

Külön gratulálok akkor még egyszer a szakértelmükhöz, ha olyan megoldást használtak, amely nem hashelve tárolja a jelszavakat. Ezek után végképp nem értem, hogy önök azok akik rendszergazdákat oktatnak?

Ki a Jani, ha ők nem, Kedves Gábor felvezetéssel rögvest a postaládámban volt a replika.

Honnan jött le, hogy mi nem MD5 hashben tároltuk a jelszavakat? Ki mondott ilyet?

A sehosem vezető levéláradatot itt megelégelve kértem a vitafonal berekesztését, majd ma reggel újabb két email várt nevezett Fóti Marcelltól. Első ízben kaptam tőle egy csak nekem címzettet (ajánlom nyájas Olvasóm figyelmébe az ironikus szmájlit a sorok zárására),

Sajnos nem egyedül Ön/Te jutott erre a fura következtetésre, ezért meg kell eresztenem még egy utolsó spamot, hogy “nem-nem! nem tároljuk jelszavakat!” és ott a vége részemről. “Kellemes” fürdőkádtisztítást kívánok! Szép program vasárnap délutánra🙂

majd azért újra bedobtak még egy spamet a köztudtadba (ha már itt a vége), hogy az Ördöglakat riadó lefújva, meg különben is, a vélt kiberbetyár [n]em is olyan rossz ember, csak kreatív. Végül a konklúzió.

A félreértések elkerülése érdekében: jelszavakat NEM tárolunk, soha nem is tároltunk! A jelszavak SHA-1-es salted hash-e van az adatbázisban!

Látod, ez az innováció lényege (micsoda kínosan elegáns írásmódja az sha1-nek, öregem)! Először kiderül, hogy a csupasz jelszók birtokába jutottak, aztán időközben a jelszavak saját magukról MD5 ujjlenyomatot készítettek és cserélték arra az értéküket, majd isteni sugallatra rájöttek, mégsem az MD5 az enlightenment, és addig–addig trükköztek, amíg SHA-1-es salted hash nem lett az adatbázisban. Amilyen tréfásak ezek a jelszavak, lefogadom, duplán sha1-ezték magukat!


* Overstanding (also “innerstanding”) replaces “understanding”, referring to enlightenment that raises one’s consciousness. (Részlet a Wikipédia Rastafarian vocabulary szócikkéből.)