Database Password postato il 15/08/2016 09:01:21 nel forum programmazione, gdrcd, open source, hosting
Ciao a tutti,
premetto che sono completamente (o quasi) nuovo del mondo dei pbc e da qualche settimana ho voluto cimentarmi in questo mondo. Ma ho incontrato non pochi problemi e divieti che magari per me nuovo di questo ambiente ( ma non nuovo nei role play game, sopratutto quelli cartaceii e live ) sembrano strani ma non lo sono; come il dievieto di backchat, oppure il divieto di usare Tor o VPN anche se è palese che sono "nuovo" e non un doppio o un disturbatore.
Ma non voglio chiedere di questo qui, piuttosto volevo una risposta riguarda ad una questione a mio parere grave e di sicurezza:
E' legale per questi siti, i pbc appunto, avere il db delle password degli utenti non crittografato? Mi spiego: ok che il gestore può leggere la mia mail, ok che può vedere il mio ultimo ip ( e anche qui potrei fare polemica sul fatto che è un metodo di controllo il mio ultimo ip, salvarlo poi in un db di tutti gli ip usati dal mio "utente" è cosa ben più invasiva ). Ma vedere la mia password? Quello il gestore NON dovrebbe essere in grado, cioè ormai anche le peggio piattaforme forum tipo *nomeforum*.forumfree.net hanno il db delle pw crittografato; Certo nelle stringe del db c'è anche la chiave di decodifica ma quella a sua volta è ben nascosta e solo chi è capace e ha la vera neccessità di conoscere il dato la va a prendere e inizia il procedimento, comunque lungo, di de-crypt.
tl;dr;
E' legale avere il db delle password degli utenti in bella vista?
Che bisogno c'è?
Non è più sicuro averlo crittografato?
A.
Pagine → 1 2
15/08/2016 09:19:54 e modificato da twcotstaff il 15/08/2016 09:20:43
Io la prima cosa che ho inserito è un sistema di crittografia delle password.
È impensabile, errato, scorretto, ma soprattutto PERICOLOSO e lo sottolineo, avere le password in chiaro in un database, considerando quanti rischi sulla sicurezza ci sono anche facendo il massimo controllo possibile.
Non so che land hai visto, ma mi sento di dire che il 90% delle land usa una crittografia.
:-)
15/08/2016 09:32:18
Ora sono sincero, io ne ho visitate una decina, poco meno; ma in ben due casi ( in questo caso, proverò, ad avvisare i gestori tramite e-mail ) ho notato che non è cosi;
Il caso più palese è quando mi hanno bannato, in meno di 12 ore dall'iscrizione e come motivazione hanno usato:
- password non congrua, non puoi mettere "bestemmie" nella password.
la mia password ( solo per quel pbc ) era "GodDamnIt_01"
Probabilmente, la gestione nel controllare il mio "status" oltre a vedere la mail, l'ip ha avuto modo di vedere "istant" anche la password. In 12 ore anche volendo il de-crypt non fai in tempo a farlo.
Quindi ecco 90% mi sembra a questo punto una stima, elevata; Data la mia esperienza personale in 3 settimane con un pool di nove land, almeno 2 hanno il db in chiaro; siamo quindi a meno del 80%
Davvero un peccato.
A.
15/08/2016 11:03:45
Criptare la password dovrebbe essere "obbligatorio", per avere la fiducia di un utente, è una delle basi per me :)
Assieme a non usare gli indirizzi email per posta indesiderata
15/08/2016 11:43:24
Che sia legale o meno non ne sono certo. Non credo che ci sia una norma esplicita riguardo la crittografia delle password.
è sicuramente una pratica fortemente deprecata, non esistono buone ragioni per non crittografare le password sul database.
15/08/2016 13:32:57
15/08/2016 15:41:42
15/08/2016 17:01:43
15/08/2016 17:24:02
15/08/2016 18:18:28
Bene,
mi fa molto piacere leggere di gente che sa di cosa sta parlando; e che quindi non ho fatto male a notare questo "problema".
Io dato, personalmente, proteggo i miei dati con i miei metodi e di sicuro ho visto più il lato personale del problema, cioè chi ha letto la mia password ha "violato" la mia privacy perché pensavo che almeno quel dato fosse "invisibile" alla gestione; poi chiaro che se non penso solo a me la cosa è più ampia e risulta quindi un problema di sicurezza per tutti.
Ma alla fine, la "tua" libertà finisce dove inizia la mia, quindi degli altri ( parlando da giocatore e non da gestore ) degli altri mi frega poco.
Qual'è il prossimo step? Vendono le mail dei giocatori agli agenti di pubblicità per pagarsi i programmatori?
Ho letto anch'io due righe riguardo alla legalità della cosa, a quanto pare il non vere il db crittografato non è in se un reato; ma allo stesso tempo andare a leggere le password degli utenti può essere vista come violazione della privacy. La solita legge italiano. Grazie per le risposte a tutti, buon proseguimento di vacanze signori!
A.
15/08/2016 18:32:02
Discussione seguita da
Pagine → 1 2
Rispondi alla Discussione Segui Discussione Inoltra Discussione Forum Programmazione, GDRCD, Open Source, Hosting Elenco Forum
Storie di Agarthi: La Lunga Notte è arrivata
I dati del generatore di rank sono stati aggiornati!
World of Tanks → Lanciati in epiche battaglie spalla a spalla con altri giocatori. Conquista la supremazia nel mondo dei Carri Armati!
Felix Felicis GdR - Harry Potter GdR: Le uova di... Natale? - Evento ON
Ex Gratia GDR: Massima personalizzazione coi tratti specie!
nerelyn ha aperto una nuova discussione: Personaggio in cerca di Land
The Eyrie GdR: Nuove Fazioni ed entrata in Beta
Seconda Era → Vaste terre coperte di ombre e misteri, dove ogni eroe scrive la storia del Mondo di Eidel. Seconda Era, play by chat
Piume Nere: 🎄 Le Notti Sacre Sono Iniziate 🕯️
La categoria Browser Game raggiunge i 3.900 giochi catalogati!
RAID Shadow Legends: Anaxia la Rinata!
Enlisted: Test aggiornamento "Fronte dell'Estremo Oriente"
RAID Shadow Legends → Plasma i tuoi eroi fino a farli diventare vere e proprie armi viventi e assembla i più epici gruppi d'assalto mai visti finora!
Ex Gratia GDR: Il nuovo manuale è online!
Star Trek Horizon: QuestLog: Natale al cubo
Black Sails Chronicles: ON - 3° Serata Gara di Bevute
The Coven → Negli scorci di luce delle paludi della Louisiana fioriscono nuove ombre. Estend e la Congrega ti aspettano per vivere emozionanti avventure!
.jpg)
AlterEgo ↗
World of Warship ↗
.jpg)
Exclusive Villa GdR ↗.png){kind=avatar}
