Нас опять взломали, извините.

← →
Красный молоток (2004-08-31 18:28) [160]

Пора бы уж давно форум переписать.

← →
Prohodil Mimo © (2004-08-31 18:37) [161]

[159] Плохиш, не раз было - прочитал книжку или ещё что то там... нифига не врубился... пришёл сюда за помощью. думаешь помогли? Послали дальше читать.

← →
Val © (2004-08-31 18:57) [162]

>[161] Prohodil Mimo © (31.08.04 18:37)
я могу сказать обратное - и что? всего лишь мнение против мнения.

← →
Piter © (2004-08-31 19:01) [163]

Prohodil Mimo © (31.08.04 18:17) [158]

а ты поотвечай-ка на такие тупые вопросы как здесь хотя бы пару месяцев - и сам все поймешь

Prohodil Mimo © (31.08.04 18:37) [161]
Послали дальше читать

и что, почитал дальше? Разобрался?

← →
Юрий Зотов © (2004-08-31 19:08) [164]

> Prohodil Mimo © (31.08.04 18:37) [161]

> не раз было - прочитал книжку или ещё что то там... нифига не
> врубился... пришёл сюда за помощью. думаешь помогли? Послали
> дальше читать.

Сколько раз убеждался - на нормально заданный конкретный вопрос отвечают всегда.

А посылают читать дальше, если:

1. Из вопроса видно, что человек совершенно не знает темы, по которой задает вопрос (то есть, отвечать ему бесполезно - не поймет, пока действительно не прочитает книжку).

2. Вопрос неконкретный (типа "научите программировать").

3. Вопрос требует ответа, который потянет минимум на статью.

4. Вопрос совершенно детский и показывает незнание даже азов (что, по сути, то же самое, что и п.1).

И т.п.

Так вот - какой вопрос Вы задавали?

← →
Agent13 © (2004-08-31 19:42) [165]

Насчёт ответов/неответов на вопросы:
Я не предлагаю закрытия сайта, и не буду уговаривать мастеров отвечать на любую белиберду, но: моё личное наблюдение - я стал всё меньше заглядывать в тематические конференции, не потому что меня перестали интересовать вопросы кодинга, а потому что я практически не получаю оттуда полезной информации, действительно сплошные отсылки в Google или FAQ. Более того, за последние пару месяцев у меня раз 5 возникало желание задать вопрос в форум. Вопросы по мелочам, однако задавать их я не решился, потому как был заранее уверен, что отошлют читать хелп и ещё поиздеваются. Поэтому пришлось потратить время, чтобы найти ответ самому, хотя при желании мне бы могли ответить за 10 минут. То есть создаётся впечатление, что мастера просто считают ниже своего уровня ответить на простой вопрос. А ещё, что особенно коробит, когда на вполне оправданные претензии авторов вопросов делаются заявления вроде:
"Тебе вообще никто отвечать не обязан" (мол мы тебе снисхождение делаем). Я считаю, если не хочешь ответить, лучше помолчать. Так что мастерам тоже есть о чём задуматься.
Всё вышесказанное - ИМХО.

← →
YurikGL © (2004-08-31 19:48) [166]

Agent13 © (31.08.04 19:42) [165]
Сходи на
http://citforum.ru/howto/smart-questions-ru.shtml

Там популярно написано, почему ты делаешь правильно самостоятельно читая хелп

← →
YurikGL © (2004-08-31 19:50) [167]

Кстати, много раз задавал вопросы здесь и могу сказать, что при должном упорстве и минимальных умственных способностях получить нормальный ответ можно.

← →
Nous Mellon © (2004-08-31 19:52) [168]

> [165] Agent13 © (31.08.04 19:42)

Спешу несогласиться! Я разрабатывая свой последний(сейчас уже законченный) проект связанный с БД, неоднократно обращался(а точно раза четыре) в конференцию по БД со своими вопросами. Прежде я читал книги, лазил по сети и только если ничего уже не помогало задавал вопрос в форум. Причем все вопросы сначала продумывал и писал в блокноте, старался конкретно, обстоятельно описать задачу и, знаешь, я все четыре раза получал исчерпывающий ответ на свои вопросы, не такие уж и простые. А потом еще задавал кучу появившихся побочных, например, Анатолию и он помогал, за что я ему и всем помогашим форумчанам очень благодарен. И вот сижу я и думаю может я такой особенный, но почему мне отвечают а другим нет? А может дело не во мне, а в вопросах? И уж тем более не в наших замечательных мастерах.

← →
Nous Mellon © (2004-08-31 19:54) [169]

Вот кстати постом ранее живое подтвеждение моих слов: YurikGL помогавший мне тоже неоднократно. СПасибо ему за это большое. Ну и кто теперь скажет что у нас не помогают?

← →
Agent13 © (2004-08-31 19:56) [170]

> Сходи на
> http://citforum.ru/howto/smart-questions-ru.shtml

Спасибо, на эту ссылку у меня кстати уже тоже аллергия. И не только потому, что её часто приводят, а ещё и потому, что с многим там написанным категорически не согласен. Не спорю, хелп читать надо, но не до посинения. Ответ живого человека часто бывает яснее, только вот люди, которые этот ответ в состоянии дать зачастую этого понять не могут (или не хотят).

← →
Piter © (2004-08-31 20:04) [171]

Agent13 © (31.08.04 19:42) [165]
пришлось потратить время, чтобы найти ответ самому, хотя при желании мне бы могли ответить за 10 минут

вот, вот! Все ищут халявы! А ты осознаешь, что человек тратит время на тебя? ТЫ должен его заинтересовать своим вопросом - чтобы было интересно отвечать!

Смотри какую штуку ты хочешь провернуть - сэкономить свое время, потратив чужое. Ответ один - если ты можешь разобраться сам - РАЗБЕРИСЬ САМ. Здесь тебе никто ничего не должен - это так и это правильно.

Не нравится? Есть масса сайтов. Допустим, я зачастую задаю вопрос здесь, в ФИДО и на королевстве.

И знаешь - хотя в ФИДО уровень самый высокий из представленных мест, но на вопросы зачастую отвечают именно здесь и на Королевстве. На Королевстве имеет смысл задавать вопросы посложнее - вероятность ответа выше, чем здесь. Вот такая расстановка сил.

Знаешь что я хочу сказать - зайди в "Основная" и посмотри, там под каждым топиком есть "Ответов: X" - если X>0 - значит отвечают. Так что не надо жаловаться, что ответов нету. И зачастую X куда больше нуля.

А также можно посмотреть на вопросы и понять насколько они ламерские зачастую - человек даже блин пальцем пошевелить не хочет. Вместо того, чтобы посмотреть в хелп и за пять минут получить ответ, он будет два дня выуживать разжеванный ответ здсь.
И можно только удивиться терпению отвечающих.

← →
pasha_golub © (2004-08-31 20:07) [172]

Piter © (31.08.04 20:04) [171]
Про Фидо и Делфи можно конкретней. Дело в том, что я очень смутно себе представляю вообще, что такое ФИДО.

← →
Piter © (2004-08-31 20:16) [173]

pasha_golub © (31.08.04 20:07) [172]
Про Фидо и Делфи можно конкретней

а что конкретней? Что такое фидо? Ну это разжевано во многих местах - http://www.fido7.ru , например

Или что ты хочешь узнать? Про уровень? Ну просто там в конференции по Дельфи fido7.ru.delphi есть очень и очень грамотный народ. Например, Тенцер.
Да и Игорь Шевченко раньше там отвечал.

Ну а Подгорецкий там модератор - у него просто по другому не бывает :)
(ну или там ко-модератор, к словам не цепляйтесь).

← →
Agent13 © (2004-08-31 20:19) [174]

>[166]-[171]
Не собираюсь вас переспаривать. Я высказал своё мнение, вы высказали своё. Если вы думаете, что мастера всегда правы - что ж - это ваше право...

← →
Anatoly Podgoretsky © (2004-08-31 21:07) [175]

Piter © (31.08.04 17:49) [155]
Пароль по хэшу узнать нельзя, можно получить бесконечное множество паролей, которые дадут тот же самый хэш.

← →
False_Delirium © (2004-08-31 21:11) [176]

Если это не коммеческая тайна - предлагаю совместно поискать неточности и опасные участки кода.

ICQ:76083725

Предположения о вероятных неисправностях писать в форум не разумно, как мне кажется.

← →
Knight © (2004-08-31 22:16) [177]

> Предположения о вероятных неисправностях писать в форум
> не разумно, как мне кажется.

А кто говорил, что нужно это делать в форуме? Нужно собрать комманду, выставить на Ftp или разослать напрямую исходники и думать вместе о том, что можно исправить, общаясь по аське и мылу.

← →
STYLE © (2004-09-01 00:18) [178]

>
> А кто говорил, что нужно это делать в форуме? Нужно собрать
> комманду, выставить на Ftp или разослать напрямую исходники
> и думать вместе о том, что можно исправить, общаясь по аське
> и мылу.

Потом все скрипты этого форума окажутся где-нить на cgi.ru

← →
Knight © (2004-09-01 02:29) [179]

> [178] STYLE © (01.09.04 00:18)

Так надо проверенным людям... :)

← →
Knight © (2004-09-01 02:35) [180]

> [178] STYLE © (01.09.04 00:18)

Всё-равно, говорят, будут на xaker"е выложены... а так хоть народ заранее глянет и подскажет, что исправить... и нехай себе лежат, толку-то от них если безопастность тут будет поднята на новый уровень... даже использовать никто не будет, ведь, кому дырявые варианты нужны... :)

← →
cyborg © (2004-09-01 08:10) [181]

> Agent13
На все мои вопросы я получал ответы, даже не смотря, что у меня трудности с формулированием. :)
Ну, а если человек бамбук, то ему уже ничего не поможет.

← →
WondeRu © (2004-09-01 08:54) [182]

VMcL © (31.08.04 13:53) [113]
У меня тоже есть утяжеление, только очень уж смешное:
<?php
$hash_for_db = md5(md5($password));
?>

Теперь взломщику придётся двойной подбор производить, а это ого-го )))

действительно смешное.) придумал бы еще типа:
DES(DES(Block)) ;-)))

Насколько мне известно, применение двойного шифрования порой может привести к ослаблению криптостойкости системы! Или я не прав?

А насчет хостера я бы подумал! ([59])

← →
Prohodil Mimo © (2004-09-01 10:16) [183]

[171] Piter,
"Ответов: X" - если X>0 - значит отвечают.
вот только ответы это или насмешки или посылки куда подальше?

[165] Agent13 - то же самое и со мной.

А вот какие вопросы я задавал уже и не помню, давно дело было. Возможно в чём то я и сам разобрался, но некоторое так и осталось непонятным, но тут задавать уже не буду.

[168] Nous Mellon, у тебя ник такой что отвечают :о)

← →
YurikGL © (2004-09-01 11:25) [184]

> Prohodil Mimo © (01.09.04 10:16) [183]

А у меня ник тоже ответа просит?

← →
SergP. (2004-09-01 11:26) [185]

> Reindeer Moss Eater © (31.08.04 10:13) [19]
> Ломают не скрипты, а хосты на которых лежат эти скрипты.
> Хоть запереписывайся.

А с чего ты взял что ломают именно хосты?

Чаще всего ищут и используют дыры в скриптах(SQL inject)

← →
}|{yk © (2004-09-01 11:28) [186]

Насколько помню, нет двойного DES, есть тройной DES, который увеличивает криптостойкость в два раза

← →
default © (2004-09-01 11:31) [187]

Anatoly Podgoretsky © (31.08.04 21:07) [175]
не обязательно, могут быть области определения хеш-функции где она инъективна
есть во взоме ещё вариант перебирать все пароли и искать для которых хеши равны(благо обычно хеширование быстро)
потом найти осмысленные варианты...не подойдут...пробовать неосмысленные если их нет сильно много...

← →
Reindeer Moss Eater © (2004-09-01 11:59) [188]

Словари clear password придуманы давно.
Словари готовых хешей для clear password тоже появились, но просто чуть позднее.

← →
REA (2004-09-01 12:30) [189]

А я с некоторых пор даже анкету не создаю - ломают сайт с завидной регулярностью. Одна печаль - с днем рождения не поздравят.

> [189] REA (01.09.04 12:30)

За отдельную плату - пиши мне мылом когда, - поздравлю.

>>pasha_golub © (31.08.04 13:39) [110]

>Да, было бы интересно узнать скорость грубого подбора.

Позапускал я свою тулзу (подбор строки по MD5). Скорость подбора ~1,3 млн. строк/с (на Athlon XP 1800+), причем с ростом длины пароля скорость меняется не очень значительно (есть скриншоты, но не могу выложить, поскольку не захотел читаться мой UltraSpeed CD-RW на 524-м TEAC"е). ИМХО, даже если соптимизировать алгоритм на асме под конкретный процессор, ускорения более, чем в два раза не достичь (а то и меньше).

В итоге имеем.

Для взлома пароля с заранее известной длиной в 5 символов, состоящего из заглавных и строчных англ. букв, потребуется в худшем случае приблизительно 52 ^ 5 / 1 300 000 = ~292 секунды (почти 5 минут).

Если же пароль длиной 8 символов, то "всего лишь": 52 ^ 8 / 1 300 000 = ~41 млн. секунд (почти 476 суток).

}|{yk © (01.09.04 11:28) [186]
Насколько помню, нет двойного DES, есть тройной DES, который увеличивает криптостойкость в два раза

DES(DES(Block)) - шутка )))

DES(DES(Block)) = Block

VMcL © (01.09.04 12:51) [191]
Очень интересные результаты, как мне кажется. 8 символов вполне хороший пароль. Плюс учесть, что используются цифры, знаки, и т.д.

>>pasha_golub © (01.09.04 14:53) [193]

Главное, чтобы суперпуперпароль длиной в надцать символов не заимел такой же хеш, как другой простой пароль в 4-5 символов :-)

Немного наврал в [191].

>причем с ростом длины пароля скорость меняется не очень значительно

Протестировал на длине в 20 символов. Скорость подбора упала до ~1,2 млн. строк/с, то есть на ~7,7%. Вот.

← →
имя (2004-09-03 07:07) [196]

Удалено модератором

← →
имя (2004-09-03 07:07) [197]

Удалено модератором

Ну вот и дырка нашлася :)
============================================= Компьютерные вирусы - это такие маленькие программульки, которые пишут большие говнюки. =============================================

Все же я всегда фигел от этих юниксов/перлов...
Помню первое мое потрясение, в части методов взлома, было когда узнал про какую-то давно зыкрытую дыру не помню где, что можно было в поле e-mail адреса подставить команду shell и она выполнится!!!
Ну как так написан разборщик?? Ну зафиг ее шелу отдавать-то?
Я догадываюсь, что, видимо, там как-то универсально это сделано, да еще, возможно, на рег. выражениях с использованием того же шела, но...

Я вот не силен, правда, но то, что можно скачать перловские скрипты - это все же косяк хостера, по-моему.

> [199] KSergey © (03.09.04 08:21)

Меня тоже умиляло и умиляет. Есть книга поПерлу и там написано про разные уязвимости - читая понимаю, но душа протестует - нафига?

Нас опять взломали, извините. Найти похожие ветки