[RISOLTO] - Sito joomla, scovata la password di admin, avviso l'utente?

[Snt®hw4u®]

Come da titolo,
e non vorrei essere criticato ...

Ero su un sito e mi accordo che è fatto com joomla, essendo curioso, ho voluto verificare il lato admin, per vedere che versione usava e se aveva una protezione

Ho provato a caso a mettere un nome utente e password e sono entrato come super admin.

NON ho fatto nulla di illecito e mi sono scollegato.

Devo avvisare l'utente? come devo comportarmi?

Non mi cazziate per la mia illecità, ma credo che sia doveroso avvisarlo, dicendogli che il suo sistema non è in sicurezza.

Si arrabbierà?

Quindi consiglio a tutti di non usare user e password banali tipo UTENTE UTENTE

Cosa faccio?

[mau_develop]

solitamente quelli sono siti di test, probabilmente su domini free.

Non sarà questo il caso ma bisognerebbe capire anche se lui è l'attaccante o la vittima

M.

[jeckodevelopment]

io penso che l'utente debba essere informato di tale circostanza, te ne sarà grato

[ventus85]

Prima verifica se è un sito di test oppure no.
In ogni caso avviserei l'utente, magari dandogli qualche dritta.

Un nome utente e una password così mi fa pensare che sia proprio un sito di prove, anche se io mi sarei aspettata di più un "admin" "admin"  Però non è detto e in ogni caso anche se un sito di test un minimo di protezione ci vuole lo stesso.

Comunque che birichino che sei, vai a provare l'accesso al back end degli altri 

[mau_develop]

apro una parente ( ..una a caso )

esistono un sacco di cose che all'apparenza potrebbero non avere un senso e proprio questo è la domanda da farsi....
così come una wifi troppo semplice da violare o aperta... ti credi l'attaccante... invece sei la vittima ... o magari il semplice tester di qualcosa.

M.

[Snt®hw4u®]

Ciao, non mi credo attaccante, ne vittima, ne tester, ho solo provato a caso... e non l'avevo mai fatto..

Ho tirato ad indovinare, non era un user del tipo admin, ma del tipo marco, marco.

Ho pensato solamente al nome che si vede nei contatti.
Non mi ricordo se joomla mostra il nome della persona o dell'user.
Ho semplicemente tirato ad indovinare (questa cosa nel superenalotto non mi riesce..)

E comunque non era un sito di test...

[jeckodevelopment]

una delle password più diffuse al mondo è "123456", quindi figuriamoci quanti account usano credenziali nome/nome, molti utenti  addirittura modificano le password (un po' più robuste) che gli si assegnano con nomi propri o dei propri cari/figli.
Manca la cultura della sicurezza informatica.

[tomtomeight]

Certo che oggi qualsiasi cosa si cerca in rete e non solo, si ha bisogno di una password, io ho elaborato un metodo per non utilizzare sempre la stessa, associo elementi del contesto ove mi serve la password con un costrutto matematico, che mi permette poi di non ricordarla ma ricavarla al momento dell' utilizzo. Unico inconveniente se si scopre una password si può risalire a tutte le altre, ogni tanto cambio il costrutto per rafforzare la sicurezza. Sarebbe interessante sapere come fate voi.

[mau_develop]

Unico inconveniente se si scopre una password si può risalire a tutte le altre
-----------------------------------------------------------
  esatto, per questo è indispensabile trasformarla in un md5, che verrà a sua volta trasformato in un successivo md5 al momento dell'inserimento in un form di registrazione, ...praticamente non reversabile.

M.

[tomtomeight]

Ciao mau
Se conosci un metodo per farlo mentalmente. 

[Snt®hw4u®]

Manca la cultura della sicurezza informatica.

Approva questa affermazione...

Unico inconveniente se si scopre una password si può risalire a tutte le altre

Sì, quella della posta...

[Snt®hw4u®]

esatto, per questo è indispensabile trasformarla in un md5, che verrà a sua volta trasformato in un successivo md5 al momento dell'inserimento in un form di registrazione, ...praticamente non reversabile.

M.

Sarebbe curioso approfondire il discorso.
Sai darmi qualche dritta? o guida per apprendere?(non sono molto ferrato in materia...)

Ciao

[bertoandrea86]

Ciao, non mi credo attaccante, ne vittima, ne tester, ho solo provato a caso... e non l'avevo mai fatto..

Ho tirato ad indovinare, non era un user del tipo admin, ma del tipo marco, marco.

Non l'avevi mai fatto?
Nulla da criticare, però provare per la prima volta nella vita una password a caso e scovarla al primo colpo è come vincere al superenalotto! 

[jeckodevelopment]

vi sembrerò poco sensibile, ma avrei preferito vincere al superenalotto!

[Snt®hw4u®]

Non l'avevi mai fatto?
Nulla da criticare, però provare per la prima volta nella vita una password a caso e scovarla al primo colpo è come vincere al superenalotto! 

Abituato ai pc dei miei clienti che hanno la stessa "sintassi" ho riprovato la medesima cosa..
{siamo talmente coglio... a scegliere le password..}

Comunque:
ho contattato via mail il responsabile del sito, mi ha risposto il realizzatore del sito chiedendomi informazioni per proteggere il sito.
Gli ho esposto che doveva cambiare password, inoltre glio ho suggerito di visitare questo forum, dove avrebbe potuto trovare ulteriori informazioni.

Ora, non ho riprovato ad entrare nel sito, ma penso che abbia già provveduto a cambiare la password. 

Ciao

[jeckodevelopment]

sei stato una persona buona e corretta

[Snt®hw4u®]

Mi è sembrato giusto farlo, penso soprattutto all'utente e al progetto joomla.

In questo caso avrebbe perso l'utente che gestisce il sito ma ancor di più il progetto joomla di per se, magari qualcuno poteva abbozzare un idea che è un sistema insicuro, quando in realtà non lo è..

Ho trovato questo progetto bello e interessante e condividerlo è qualcosa ancora di più grande. 

Ciao