Изпечатай

[CTEHATA]

Няколко души споменават хешове. Ако някой, който контолира сайта (собственик или вмъкнат) иска паролата ми, може просто да я прихване при следващото ми влизане. ПРЕДИ нейния хеш, посолен или не да се сравни с запаметения.
  Т.е хеширането на пароли помага срещу измъкването на логини/пароли "накуп", но по-дългото овладяване на сървъра накрая пак може да ги разкрие.

[VladSun]

Цитат (Kalin @ Фев. 06 2007,14:35)

/off-topic: защо не те виждам на биричка напоследък?

/офф
'>
Там сервитьорките много зли - миналият път вдигнах ръка да си поръчам нещо за ядене най-накрая, а тя - пак ракия ми донесе ... и пак голяма ... направо ме уби!
Ама ще гледам да мина някой път като имам време '>
офф/

То ние хубаво го оправяхме в новата версия, но там се борихме срещу XSS-a... а, ако някой все пак успее да открадне сесия, то тогава се проявява тази слабост.

[VladSun]

Цитат (CTEHATA @ Фев. 06 2007,16:34)

Няколко души споменават хешове. Ако някой, който контолира сайта (собственик или вмъкнат) иска паролата ми, може просто да я прихване при следващото ми влизане. ПРЕДИ нейния хеш, посолен или не да се сравни с запаметения.   Т.е хеширането на пароли помага срещу измъкването на логини/пароли "накуп", но по-дългото овладяване на сървъра накрая пак може да ги разкрие.

Хм, не мисля, че пълно щастие има ... Ако се използва yahoo подходът да се хешират паролите client-side с javascript с challenge string, то тогава ми се струва, че запазването на паролите server-side задължително е в plain text.

[gat3way]

Вярвам, че параноята трябва да се държи в разумни граници  '>

Ако говорим за начини да се открадне парола, евентуални подходи има вероятно доста. Примерно да се тръгне по пътя на phising бандюгите, да си направиш една имитация на въпросния сайт, в последствие чрез dns spoofing например, да накараш потребителят да се лог-не на фалшивия ни сайт и да си я прибереш паролата. Ммм още един вариант, който ама грам не зависи нито от това как се съхраняват паролите на сайта, нито има връзка със секюритито на сървъра където се хоства.

Обаче има и друг момент. DNS spoofing-a не е чак толкова просто нещо, защото самият протокол е леко усложнен и един resolver не би трябвало да приема какъвто и да е отговор ей така - трябва ID полето в хедъра да отговаря на същото поле от хедъра на някой изпратен от него DNS query пакет. Оттам нататък нещата изискват малко мислене и вероятността "измамата" да се случи успешно, бързо намалява правопропорционално на latency-то и обратнопропорционално bandwidth-a, докато стане практически невъзможна в определени случаи. Отделно че трябва да знаеш "жертвата" ти кой DNS сървър използва и дали вече не е резолв-нал сайта и резултатът да е кеширан и т.н. уточнения.

Сега си представи човек, който е много добре запознат с тези неща, има добри познания по отношение на UDP протокола, на DNS протокола, има възможност да изпраща подправени пакети (т.е с source address, който не се филтрира от разните там рутери по пътя) - и не на последно място обладан от някаква странна злоба. И този същият човек си няма работа по цял ден и използва тези си познания...за да краде акаунти за някакъв форум'> Съвсем аналогично, пак така си представям някакъв зъл и способен хахор, който "own-ва" сървъра където е хостнат форума, модифицира кода и прибира паролите...или пък пуска някакъв снифър и ги изсниф-ва или някаква простотия от сорта...това пак ми се струва кретения '>

Абе сигурно е вероятно, особено в нечии параноичен ум, ама на мен ми се вижда малко комичен сценарий '>

[CTEHATA]

Цитат (gat3way @ Фев. 06 2007,19:14)

Вярвам, че параноята трябва да се държи в разумни граници  '> .... Абе сигурно е вероятно, особено в нечии параноичен ум, ама на мен ми се вижда малко комичен сценарий '>

Един колега го изключиха навремето от варненското ТУ, защото просто проникна в сървъра и го форматира. Не можах да разбера защо го направи. И сега не знам. Последствията си бяха ясни.
  Още по-малко знам защо някой хора вързват кило динамит на кръста, изкрещяват "акллах акбар" и се взривяват барабар с околните '>
  Та така де, отдавна съм се отказал да вярвам, че ако аз не бих направил нещо някой друг не би го направил. Друг е въпроса колко ми пука за това дали някой ще ми подправи мненията във форума '>
  Параноята си е добра основа за всеки администратор, стига да не води към психиатрията де '>

П.П.
Това, че съм параноик не означава, че ТЕ не ме преследват '>

[gat3way]

Хехе, интересно '>

Просто от любопитство, какво стана след това с твоят приятел, съжалявам ако изглежда нагло, но наистина ми стана много интересно, в смисъл такъв дали това въобще по някакъв начин му е помогнало или попречило оттам нататък? Като изключим факта че е прекратило академичната му кариера, поне в този университет де '> '>

[fogata]

Цитат (Kalin @ Фев. 06 2007,09:51)

Ще извъртя малко темата ,но ми стана интересно.Да разбирам ли че админите на Linux-bg.org не могат да разберат мойта парола за този форум.А какъв е механизма ако си забравя паролата.Ако въпросите ми са глупави моля да ме извините.Аз без да се замисля си мисля,че администратора е все едно root на своя комп. Много се надявам темата да не отиде в секция хумор. П.П като се замислих всъщност аз не знам как да разбера паролата на узера който съм създал на своя комп.Ще потърся нещо да прочета да не се излагам.

Ти вече толкова си се изложил, че дължиш извинение за намеците отправени по адрес на администраторите на този форум. Но това е по-скоро въпрос на възпитание, отколкото на знание.
В момента сядам на компа и като видях това се разтреперах.Не се шегувам или изхвърлям.Калине как може да ти мине подобна мисъл.Сега ще прочета напред да видя аз ли съм объркал нещо за да ме разбереш така,или ти нещо си пропуснал.Ще прочета и останалите постове,защото наистина ми е интересно как е възможно да стане това за което питам.Жалко че съм назад с материала и полагам усилия да разбера отговорите.
 Форуми има всякакви както и хора.Понякога в един форум се намесват и комерсиални интереси.
   Ако нещо съм объркал и някой е разбрал че имам предвид ТОЗИ форум,много съжалявам.Извинявам се не само на администраторите,но и на всеки който смята че съм обидил форума.
Започвам да чета

[CTEHATA]

Цитат (gat3way @ Фев. 06 2007,19:36)

Хехе, интересно '> Просто от любопитство, какво стана след това с твоят приятел, съжалявам ако изглежда нагло, но наистина ми стана много интересно, в смисъл такъв дали това въобще по някакъв начин му е помогнало или попречило оттам нататък? Като изключим факта че е прекратило академичната му кариера, поне в този университет де '> '>

Знаеш ли, след като писах за него и аз почнах да се чудя. Имайки предвид, че последно съм го виждал 1999-та, най-вероятно е забегнал в чужбина.
  Иначе не мисля че толкова много му пукаше. Всички знаехме, че в сървърското има къдърни хора, та чак такава дивотия да не забележат, и то от съседната стая (свободния достъп в ТУ-Варна беше срещо сървърното) ...
  Не съм присъствал, но очевидци разказваха, че един доста интересен даскал, предаващ и UNIX-оподобните неща е нахълтал в стаята почти веднага '> С две думи, направили са шоуто

[fogata]

Върнах се назад и не разбра какво точно е подвело Калин да мисли че визирам този форум.Ако все пак съм навел някого на тази мисъл,още веднъж моля за извинение.

[gat3way]

Еммм то обикновено нищо хубаво не се случва когато вземеш че станеш прекалено самоуверен при положение че си нямаш ама грам идея за страшно много неща '>

Странно как това се случва много често около тази възраст '> Предполагам, че злият хахор е бил някъде първи-втори курс?

Това ми напомни разни неща, честно казано странно ми стана като прочетох за този твой приятел. Абе както и да е, няма значение.

По мои лични наблюдения иначе такива "хакерски" инциденти, особено от такъв вид, доста са се редуцирали в последните години, поради много причини...може би не е много модерно да си зъл хакер в днешно време де, не знам '>