Изпечатай

[fogata]

За удобство много хора ползват едно и също име и парола в различни форуми.В един друг форум,някой които има възможност/например администраторски права/,взима паролата ми, влиза в друг форум с моя узер и парола, и пише мнения от мое име.След това чете,копира,променя и побликува моите получени и изпратени лични съобщения с цел да ме злепостави.
Това нещо наказуемо ли е от закона.
Всичко това се случва наистина, макар и не конкретно с мен.

[kill_u]

Май не е наказуемо за съжаление да се представяш за някой друг. Но пък ако администратор на форум направи това нещо според мен трябва или да закрият форума или собствениците да бъдат увдомени защото това е недопустимо. Но ти сигурен ли си, че твоя приятел не е казал случайно на някой паролата си и от там нещата да са тръгнали лавинообразно. Или пък случайно някой да е налучкал паролата ако е много лесна.

[fogata]

Положението е точно такова каквото го описвам.Аз участвам и в двата форума със същия узер и парола с каквито участвам и тук.Сега започвам да се замислям.
Да се представиш за друг е едно,но ЛС са си лични и е малко прекалено.В края на краищата те могат да съдържат информация която да ти навреди.

[Hapkoc]

От техническа гледна точка не би следвало администратора да има достъп до паролите на потребителите, но това си е offtopic малко.

[gat3way]

Ми не бих казал че съм много запознат с разните форуми, но при тези които съм имал вземане-даване, паролите не се пазят никъде - пазят се MD5 хешове. За жалост, никога не съм виждал тези хешове да са salted, което улеснява малко задачата на "лошия админ". Но като цяло ми се вижда малко идиотска идея това цялото..

[fogata]

Ще извъртя малко темата ,но ми стана интересно.Да разбирам ли че админите на Linux-bg.org не могат да разберат мойта парола за този форум.А какъв е механизма ако си забравя паролата.Ако въпросите ми са глупави моля да ме извините.Аз без да се замисля си мисля,че администратора е все едно root на своя комп.
Много се надявам темата да не отиде в секция хумор.
П.П като се замислих всъщност аз не знам как да разбера паролата на узера който съм създал на своя комп.Ще потърся нещо да прочета да не се излагам.

[gat3way]

Щях да кажа че не знам щото няма откъде да видя сорса ама се сетих че го пуснаха на openfmi '>

Цитати от кода:

Цитат

... pass  =>$oUManager->cryptPass($sPassword,$sLogin.':''>, ... sub cryptPass {    my ($self,        $sPassword,        $sPrefixText,        $sSuffixText,    ) = @_;    return md5_hex($sPrefixText.$sPassword.$sSuffixText); }

Трудно, но не и невъзможно доколкото става ясно. Вади се някакъв MD5 hash който даже не е хеш от паролата ами от паролата +някакви неща, поне доколкото разбирам (мразя и не разбирам от perl).

Авторът на кода може да каже най-добре де '>

[Radev]

Паролите на коректно настроените системи не се записват никъде (на самите системи), а вместо тях се записват MD5 hash-ове, което е еднопосочно криптирана информация и не е възможно (или най-малко е много трудно) да се възстанови паролата от hash-а. Ако си забравиш паролата такива сайтове могат да ти изпратят временна (автоматично генерирана) парола с която да влезеш в системата и после да си смениш паролата.
  За всеки сайт който ти предлага възстановяване на паролата не трябва да ползваш такава, която ползваш и другаде.

[vstoykov]

Значи не трябва да вярваме на сайтове, които ти пращат паролата по е-пощата ако я забравиш, а само на такива, които ти дават случайно генерирана парола

[gat3way]

Хеш-алгоритмите са еднопосочни, но това не означава, че не можеш да генерираш хешове на определено множество стрингове и да ги сравняваш. Може да е бавно, но пък от друга страна има готови бази с хешове, които улесняват нещата.

Това което доста усложнява crack-ването е т.наречения salt, който представлява още един стринг, от който се приготвя крайния резултат (хеша). Това обезсмисля ползването на готови такива бази, защото вариантите нарастват с порядък възможните salt стрингове. Този метод се използва при shadow файловете в линукс и в резултат на което dictionary атаките им се превръщат в почти невъзможен, а bruteforce-ването - в мъчителен процес. За съжаление, при уеб-приложенията съм забелязал че е по-скоро рядкост тази практика.

Иначе на теория, няма криптиращ алгоритъм, който да не може да се разбие, въпросът е колко време и ресурси ще отнеме това. Това обаче е много добре известен факт.

[Kalin]

Цитат (fogata @ Фев. 05 2007,21:15)

Ще извъртя малко темата ,но ми стана интересно.Да разбирам ли че админите на Linux-bg.org не могат да разберат мойта парола за този форум.А какъв е механизма ако си забравя паролата.Ако въпросите ми са глупави моля да ме извините.Аз без да се замисля си мисля,че администратора е все едно root на своя комп. Много се надявам темата да не отиде в секция хумор. П.П като се замислих всъщност аз не знам как да разбера паролата на узера който съм създал на своя комп.Ще потърся нещо да прочета да не се излагам.

Ти вече толкова си се изложил, че дължиш извинение за намеците отправени по адрес на администраторите на този форум. Но това е по-скоро въпрос на възпитание, отколкото на знание.

[Hapkoc]

@Kalin: не видях човека някъде да е уточнил, че единия от двата въпросни форума, за които пише в темата, е linux-bg.org. Докато не направи такова уточнение не мисля че дължи извинение на който и да било.

@fogata: на теория не би трябвало администраторите на форума да ти видят паролата. Би трябвало да могат да я reset-нат (т.е. да генерират нова парола), която на свой ред също не би трябвало да виждат. На практика не знам дали конкретно за тук стоят така нещата.

[Kalin]

@ Наркос:

Цитат (fogata @ Фев. 05 2007,16:31)

Положението е точно такова каквото го описвам. Аз участвам и в двата форума със същия узер и парола с каквито участвам и тук.Сега започвам да се замислям. Да се представиш за друг е едно,но ЛС са си лични и е малко прекалено.В края на краищата те могат да съдържат информация която да ти навреди.

Тук никой не е писал от негово име. Следователно някой е писал по другите форуми от името и с паролата на потребителя регистриран тук.

[VladSun]

@Kalin (специално)

http://www.linux-bg.org/cgi-bin....t=16364

[Kalin]

Цитат (VladSun @ Фев. 06 2007,12:26)

@Kalin (специално) http://www.linux-bg.org/cgi-bin....t=16364

'>
Това не го ли пипахте вече в последния код на сайта?

/off-topic: защо не те виждам на биричка напоследък?