Linux за българи: Форуми

Сигурност => Системна Сигурност => Темата е започната от: spec1a в Sep 24, 2018, 10:34



Титла: Паролата за линукс-бг дори не се хешира !
Публикувано от: spec1a в Sep 24, 2018, 10:34
   Надявам се да не съм станал банален или досаден,но според мен
(и не само) трябва да се вземат поне елементарни мерки за сигурност.
   Ето част от мрежовия трафик при логин :

0x0030:  bab5 1199 504f 5354 202f 666f 7275 6d2f  ....POST./forum/
0x0040:  696e 6465 782e 7068 703f 6163 7469 6f6e  index.php?action
0x0050:  3d6c 6f67 696e 3220 4854 5450 2f31 2e31  =login2.HTTP/1.1
0x0060:  0d0a 486f 7374 3a20 7777 772e 6c69 6e75  ..Host:.www.linu
0x0070:  782d 6267 2e6f 7267 0d0a 5573 6572 2d41  x-bg.org..User-A
0x0080:  6765 6e74 3a20 4d6f 7a69 6c6c 612f 352e  gent:.Mozilla/5.
........................................
0x02d0:  0a43 6f6e 6e65 6374 696f 6e3a 206b 6565  .Connection:.kee
0x02e0:  702d 616c 6976 650d 0a55 7067 7261 6465  p-alive..Upgrade
0x02f0:  2d49 6e73 6563 7572 652d 5265 7175 6573  -Insecure-Reques
0x0300:  7473 3a20 310d 0a0d 0a75 7365 723d 7370  ts:.1....user=sp
0x0310:  6563 3161 2670 6173 7377 72oo oooo oooo  ec1a&passwrd=###
0x0320:  oooo oooo oo26 6861 7368 5f70 6173 7377  #####&hash_passw
0x0330:  7264 3d                                                 rd=

   паролата се предава в plain text ! (разбира се,заместил съм я с "########")
   Т.е. де факто всеки на някое "ключово място" (например в интернет доставчик)
може да влеза като някой от нас !
   Едва ли е голям проблем да се настрои безплатен сертификат (със сигурност
Let's encrypt ще свърши работа).

П.С. Показах част от трафика през моята мрежова карта.Всеки може
да се увери в гореописаното ...



Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: Acho в Sep 24, 2018, 10:51
Евана работа, бахти.


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: 4096bits в Sep 24, 2018, 13:39
Хах! Значи , ако някой преди време ми е слушал безжичния трафик докато още не си бях сложил парола на мрежата, като нищо е могъл да я види... Ужаст! Вече си мисля, дали да не сглоба някакъв форум и да го зарежа това. Само, ако можеше да се измъкне базата на този... Всичко друго ми е през оня, ма това трудно мога да го преглътна.


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: lunarvalley в Sep 24, 2018, 14:43
сглабяй и да се местим там!


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: spec1a в Sep 24, 2018, 15:28
   Е поне да сложат Let's encrypt .
   Ако порт 443(SSL/TLS) трябва на собственика,може да се посочи и 80 -ти
в конфигурацията,това не е трудно.Ще се влиза напр. като:

https://linux-bg.org:80/


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: go_fire в Sep 26, 2018, 08:01
4096. И друг път съм ти го казвал. Най-ценното на един форум са хората. Аз още днес мога да вдигна и десет форума, ама като няма, кой да ходи в тях, за чии са ми?


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: lunarvalley в Sep 26, 2018, 13:51
аз ще дойда! ще си гукаме :)


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: nslave в Oct 02, 2018, 20:10
Малко ме подведе заглавието, по-скоро не е криптирана връзката със сървъра. Иначе ако в базата са си обикновен текст, тогава бих казал, че не са хеширани, което ще е по-големият проблем според мен.

Сещам се преди време имаше опция откровено лесно да се реализира mitm атака в локалната мрежа, която сваляше ssl-а на сайтовете, които отваряш и се залага на това, че повечето хора няма да забележат. Така, че никога няма гаранция, кой какво прави из мрежата ти. Не знам дали все още работи това със свалянето на ssl-a де, особено след всичките промени по browser-ите и начина на показване на сигурна и несигурна връзка.


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: spec1a в Oct 02, 2018, 22:09
   Исках да кажа,че нито връзката е криптирана,нито паролата е хеширана
,т.е. пълна липса на сигурност.
   Смятам се за опитен компютърен специалист,при мен разни mitm атаки
и тем подобни курвенски пинизи няма как да минат. Има най-малко 2 начина
да разбера дали някой се опитва да ме "цака"...


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: nslave в Oct 03, 2018, 13:13
Сигурно ли е това, че в базата не е хеширана паролата? Защото това е по-големият проблем и ако някой използва същата парола навсякъде, както голяма част от хората, то хубаво може да изгори :)

За mitm предполагам, че на повечето от хората тук няма да им мине номера, който споделих. Просто се присетих колко лесно беше, за това споделих :)

edit: Сега се сетих, за една демонстрация как превземат мрежов принтер и през него качват firmware на ip телефон и подслушват. Леко отклонение, но силно бях впечатлен, че всъщност параноята трябва да е на доста високо ниво в днешно време :D


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: Montoya в Oct 03, 2018, 16:38
Още една причина да дойдете в Kaminata.net, ние отдавна сме на https :)

Линкове:
https://www.kaminata.net/forum/viewforum.php?f=230&sid=aad3f0b275e5f141f3df7fb3d1794c1d

https://www.kaminata.net/forum/index.php


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: Acho в Oct 03, 2018, 17:20
Време за реклами на секви сайтове и сайтчета.


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: spec1a в Oct 03, 2018, 21:05
   Montoya,познаваш ли "радо84" ?
   Или си радо84 ?


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: 4096bits в Oct 06, 2018, 12:42
Ако дойда в kaminata.net, колко плащаш?


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: go_fire в Oct 06, 2018, 12:48
По гяволите. С тоя човек трябва да ползвам речник. Какво да му се не види, значи андрогенен??? За две минути, две непознати думи, като сложим и все още неизвестните ми междусексуали.

Хайде кросхеър се усетих, че е метросексуал или травестит, което си е кажи-речи едно и също. Бекъм и Роналдо са си чисти травестити. Какво като не носи рокля, след като няма косъм по тялото си, гримиран е и е с маникюр?

=*=

4096 объркал си се. Той не плаща, ако дойдеш там. Той те кара ти да платиш, че да съществува. Което е странно. Българите в чужбина толкова ли обедняха, че не могат да съберат за едно тъпо, споделено домуване, че чак се налага и българите в България да им помагат.


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: spec1a в Oct 07, 2018, 15:35
   Така както радо84-и-сие хвали "камината",така скоро може да започне
да ги псува,спомнете си за "калдата" и псувните по админа й.
   В един момент ще му писне и ще престане да влиза тук ...


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: 4096bits в Oct 08, 2018, 03:54
Цитат
4096 объркал си се. Той не плаща, ако дойдеш там. Той те кара ти да платиш, че да съществува. Което е странно. Българите в чужбина толкова ли обедняха, че не могат да съберат за едно тъпо, споделено домуване, че чак се налага и българите в България да им помагат.
Изобщо не съм се объркал. Като го гледам, колко е настоятелен и си викам, може пък да изклинча нещо. Каква полза да ходя там, ако не ми платят предварително.  Отворих го най-накрая сайта, с нищо не ме привлече. Та, ако не плаща, няма как да стане. Поне  да не съжалявам да утрепаното време. Ма не може да ми плати толкова.


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: go_fire в Oct 08, 2018, 07:10
Той тоз' няма пари. Ако имаше, нямаше да се мота да пише безсмислици, а ще ходи да изкарва още.

п.п. Твърди се, че да пишеш на политически теми, се плащало. Но опасявам се, го правят само по избори. А пък десните в момента нямат финансиране, защото политиката глобално се променя.


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: spec1a в Oct 13, 2018, 10:45
Той тоз' няма пари. Ако имаше, нямаше да се мота да пише безсмислици, а ще ходи да изкарва още.

п.п. Твърди се, че да пишеш на политически теми, се плащало. Но опасявам се, го правят само по избори. А пък десните в момента нямат финансиране, защото политиката глобално се променя.


   Плаща се,и още как !
   И не само по избори.
   Някои от форума може да ми се разсърдят,но от  CAЩистанското
посолство плащат например за пропаганда на някои,ЪЪЪ,нестандартни
практики ...
   Ако държите,мога и да го докажа  ;D


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: 4096bits в Oct 13, 2018, 12:49
Не държа, но ще е добре да видим.

Сащисаните не ги мисля. Модела им на мислене и дайствия отдавна е известен.


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: spec1a в Oct 13, 2018, 15:23
   Especially for: реактивния,дистанционното(с хиксовете) и ясен-4-цифри:

Посолството на САЩ подкрепя „София Прайд“
https://bg.usembassy.gov/bg/sofia-pride-2018-bg/

И US посолството подкрепи гей парада у нас
https://news.bg/bulgaria/i-us-posolstvoto-podkrepi-gey-parada-u-nas.html

Ето ви евроатлантическите "ценности".

Въпроси ?


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: remotexx в Oct 13, 2018, 18:42
Ех как щях да забравя ...ама някой хора не забравят - план гонят /по опорките/
та в отговор - на всички които не са присъствали  им пожелавам да изгледат
https://www.imdb.com/title/tt3169706
може и да понаучат нещо (ново) по темата


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: spec1a в Oct 13, 2018, 22:46
   Какви опорки ?!
   Това ,че съм сексуално нормален (т.е. хетеросексуален),означава ли,
че гоня някакви "опорки" ?
   Що за глупости ?!


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: GermanecaBG в Oct 13, 2018, 23:48
Това, че към момента правителството на САЩ подкрепя определени групи не значи, че всички в САЩ са на това мнение. Не трябва да се слага под общ знаменател една цяла държава или обединение. Така както в ЕС има разногласия има и в Русия, Китай и навсякъде където живеят хора. Двуполюсния модел е заложен изначално. Светът не може да съществува само с един полюс. Даже магнита има два. Въпросът е в това винаги да има баланс. Ако ние като общество не успеем да намерим, природата ще го направи. А относно евроатлантическите ценности ето една интересна статия ($2), която трябва да се прочете внимателно. И това го казват американци.


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: bot в Oct 13, 2018, 23:56
 Научих(ме?) нещо ново, без да гледам филми за обратни, че Боно е с лява резба.


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: Yasen6275 в Oct 14, 2018, 01:58
Това, че към момента правителството на САЩ подкрепя определени групи не значи, че всички в САЩ са на това мнение...
Бах мам. Сериозно ли? Ей гадно нещо е това демокрацията. Позволява на някакви изроди да имат мнение различаващосе от това на управляващите. Къде дават така.


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: Yasen6275 в Oct 14, 2018, 02:05
   Especially for: реактивния,дистанционното(с хиксовете) и ясен-4-цифри:

Посолството на САЩ подкрепя „София Прайд“
https://bg.usembassy.gov/bg/sofia-pride-2018-bg/

И US посолството подкрепи гей парада у нас
https://news.bg/bulgaria/i-us-posolstvoto-podkrepi-gey-parada-u-nas.html

Ето ви евроатлантическите "ценности".

Въпроси ?
Аз имам въпрос. Как смяташ е най-рационално да се освободиме от гейовете? Трудови лагери или газови камери? И като сме почнали с тях защо да не продължим с евреи, цигани, турци и опоненти на властта?


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: spec1a в Oct 14, 2018, 08:39
   Аз не си спомням да съм призовавал някой някого да убива.
   Така,че тези внушения са много плоски ...
   Смятам,че посочих конкретно,и с факти каква е политиката на
CAЩистанското правителство,а именно: насаждане на педерастия.
А опровергайте ме ,ако можете !


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: spec1a в Oct 14, 2018, 08:47
   Така и така се споменаха филми,не знам защо дистанционното не
визира баш педерастията ,а именно: "Милк" и "Планината Броукбек".
Те спечелиха един куп "Оскар" -и, защо ли точно те ?


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: 4096bits в Oct 14, 2018, 09:12
Като сте започнали със филмите, няма нито един вече, в който да не е включена лесбо или педерастка двойка. И това е от много време. Не е само правителството на САЩ. Аз съм убеден, че дори и правителството им не е, а разни елементи в сянка. Нали не мислите, че има държава, в която наистина правителството управлява?! Ако да, не бъдете наивни за това поне.


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: Yasen6275 в Oct 14, 2018, 09:43
   Аз не си спомням да съм призовавал някой някого да убива...
Това ме радва. Как предлагаш да противопоставим на тази политика?


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: 4096bits в Oct 14, 2018, 11:00
   Аз не си спомням да съм призовавал някой някого да убива...
Това ме радва. Как предлагаш да противопоставим на тази политика?
Ето тук е. Както стоят нещата в момента поне в България, няма много възможност законно да се подмени властта. Дори да стане, това не гарантира по никакъв начин, че нещата всичко няма да продължи по старо му. Бетонирали са се и не мож ги помръдна. Не се сещам за друга възможност освен насилието, но не ми харесва и това трябва да е последен вариант. Но и това няма смисъл, ако се продължи със предишната политическа система. Сложна работа.


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: spec1a в Oct 14, 2018, 14:00
   Кой ти каза,че е невъзможно да се подмени властта ?
Преди,примерно 2000 г. Римската империя е изглеждала всемогъща,
могъл ли е някой тогава да предполага какво ще й се случи .
   Преди време някой тук написа ,че е невъзможно сега да се случи
някоя голяма революция.
   Дали ?
   В момента има огромен потенциал за революционна промяна.
Ето и някои от основните фактори:
В момента населението на Земята е примерно 7.5 млрд. От тях добре
живеят около 1 млрд (т.нар "златен милиард": Западна Европа,
Северна Америка и малка част от Азия), други,около 2 млрд. живеят
сносно.Останалите (по-голямата част от човечеството) живеят зле
(някои много зле).
   Е,от тези над 4 млрд. души все има някой много луд,но и много
харизматичен да увлече гигантски тълпи,и ще стане мазало ...
   Надявам се,че го обясних добре.


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: 4096bits в Oct 14, 2018, 16:24
Говорех за България, не за света. Не съм казал, че е невъзможно, а че е невъзможно със законови средства. Ако играеха по собствените си написни правила, може би, но не го правят, биткатаа не е честна. А, ако ние също играем нечестно и вземем, че ги провесим по дърветата около Народното събрание, ще дойдат омиротворители я от САЩ я от Великобритания и Франция. А, те американците вече са тук. Та, ще трябва и с тях да се оправяме.


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: ji в Oct 14, 2018, 16:51
Това не е проблем на linux-bg, това е проблем на хората използващи еднаква парола навсякъдеякъде.

В транспортния слой, хеширана или не, парота си остава парола.


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: spec1a в Oct 17, 2018, 22:11
Това не е проблем на linux-bg, това е проблем на хората използващи еднаква парола навсякъдеякъде.

В транспортния слой, хеширана или не, парота си остава парола.

   Всъщност проблема е точно в linux-bg , просто не се използва никакво
криптиране; паролата се предава в прав текст.
   С това започнах и тази тема.
   В някои случаи може да те подслушва дори някой твой съссед,това
зависи от доставчика и какво ползва той.
   Ако държиш,мога да го обясня по-подробно ...


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: User13 в Oct 23, 2018, 15:10
Този форум ако кара така още някоя друга година и може да го слагаме в ИТ музей за сайтове. :)
Толкова много хора все недоволни през годините от форума...
Ами тука сте се събрали все администратори, програмисти, специалисти по мрежова сигурност, и разни знайни и незнайни хакери. Предполагам всички с доста добър доход и възможност за свободно време. Ами хванете се и направете нещо. Един хостинг, домейн и CMS ли ще ви гътнат или какво?


Титла: Re: Паролата за линукс-бг дори не се хешира !
Публикувано от: spec1a в Oct 23, 2018, 22:14
   За доходите е така (едва ли някой тук във форума е гладен  ;D ),но
за свободното време ...
   Все пак дадохме доста ценни съвети (някои от тях са лесно изпълними,
например инсталирането на Let's encrypt ).