Нас опять взломали, извините.

← →
McSimm © (2004-08-31 09:40) [0]

Сожалею.

← →
KSergey © (2004-08-31 09:42) [1]

Это кто пишет-то хоть? Натуральный McSimm © или как? ;) И как докажешь, если натуральный? ;)

← →
Суслик © (2004-08-31 09:42) [2]

для нас какие последствия?

← →
Layner © (2004-08-31 09:42) [3]

← →
Суслик © (2004-08-31 09:43) [4]

> KSergey © (31.08.04 09:42) [1]

не натуральный написал бы что-то типа ......................и ......... а ........!

← →
Rouse_ © (2004-08-31 09:46) [5]

Не нужно флеймить, просто примите к сведенью...

← →
KSergey © (2004-08-31 09:46) [6]

> [4] Суслик © (31.08.04 09:43)

Ну... Это от его возраста зависит ;) При желании мог бы и прикинуться, фиг отличишь...
Впрочем, врятли ;) Это не интересно было бы, видимо

← →
КаПиБаРа © (2004-08-31 09:47) [7]

Поздравляю шарик - ты балбес :)
(с) Кот Матроскин

PS: Не удивительно

← →
Суслик © (2004-08-31 09:48) [8]

> Rouse_ © (31.08.04 09:46) [5]

кто флеймит?
в 2 вопрос был задан...

в чем это выражается то?
пароли опять сперли?

← →
Cobalt © (2004-08-31 09:49) [9]

Вношу предложение администрации - менять пароли каждую неделю.

← →
able © (2004-08-31 09:52) [10]

Обидно..

← →
Ega23 © (2004-08-31 09:53) [11]

Последствия? Какие рекомендации?

← →
Суслик © (2004-08-31 09:54) [12]

> Последствия? Какие рекомендации?

молчат :(

← →
Vlad Oshin © (2004-08-31 10:01) [13]

> KSergey © (31.08.04 09:42) [1]

это интимный вопрос :)

> Rouse_ © (31.08.04 09:46) [5]

молчу-молчу, ухожу-ухожу :)

← →
able © (2004-08-31 10:04) [14]

Тут есть довольно много грамотных людей... и неужели ни одного интернет секьюрити?

← →
McSimm © (2004-08-31 10:06) [15]

Простите. Я пока знаю только то, что сайт взломан.

Рекомендации я не могу никакие дать.

← →
Gero © (2004-08-31 10:09) [16]

> Простите

Да ладно тебе, ты же не виноват.

← →
cyborg © (2004-08-31 10:09) [17]

Может стоит начать переписывать скрипты сайта? Энтузиастов каких нибудь попросить?

← →
Gero © (2004-08-31 10:13) [18]

Думаю человека два, хорошо владеющих Perl"ом очень не помешали бы.

← →
Reindeer Moss Eater © (2004-08-31 10:13) [19]

Ломают не скрипты, а хосты на которых лежат эти скрипты.
Хоть запереписывайся.

← →
Undert © (2004-08-31 10:15) [20]

Удалено модератором

← →
cyborg © (2004-08-31 10:15) [21]

> [19] Reindeer Moss Eater © (31.08.04 10:13)

В данном случае не хост взломан, а, видимо, загрузили файл с паролями, которые лежат в текстовом файле. В РНР, например, если данные заключить в <? ?>, то они не будут отображаться при загрузке такой страницы.

← →
Layner © (2004-08-31 10:16) [22]

Надо ставить выделенный сервак, и не будет проблем. А то хостры тоже.. это такой народ ушлый, дай что нибудь спереть только..

← →
Reindeer Moss Eater © (2004-08-31 10:17) [23]

Ну перепишешь ты пароли из одного файла в другой.
А доступ у взломавшего есть ко всей файловой системе.
Что дальше?

← →
cyborg © (2004-08-31 10:18) [24]

> [23] Reindeer Moss Eater © (31.08.04 10:17)

Ты уверен, что у него есть доступ к файловой системе?

← →
Reindeer Moss Eater © (2004-08-31 10:19) [25]

А как можно подменить скрипт не имея оного?

← →
Reindeer Moss Eater © (2004-08-31 10:20) [26]

Или как утянуть файл с данными паролей?

← →
cyborg © (2004-08-31 10:21) [27]

> [26] Reindeer Moss Eater © (31.08.04 10:20)

Я уже сказал
> [21] cyborg © (31.08.04 10:15)

← →
Reindeer Moss Eater © (2004-08-31 10:22) [28]

Ты сказал чепуху.

← →
able © (2004-08-31 10:22) [29]

А откуда ты знаешь все поробности взлома?

← →
Reindeer Moss Eater © (2004-08-31 10:22) [30]

От верблюда

← →
able © (2004-08-31 10:25) [31]

Опять ты начинаешь флеймить.

← →
cyborg © (2004-08-31 10:25) [32]

> [28] Reindeer Moss Eater © (31.08.04 10:22)

В чём заключается чепуха?

> [29] able © (31.08.04 10:22)

http://deep.webest.net/forum/reply.php?num=2.6&id=97065&idx=0

← →
Reindeer Moss Eater © (2004-08-31 10:27) [33]

В данном случае не хост взломан, а, видимо, загрузили файл с паролями, которые лежат в текстовом файле.

и после этого

Ты уверен, что у него есть доступ к файловой системе?

← →
cyborg © (2004-08-31 10:29) [34]

> [33] Reindeer Moss Eater © (31.08.04 10:27)

Причём здесь загрузка текстового файла и доступ к файловой системе?
ввёл в браузере delphimaster/password.txt и уаля!

← →
Aristarh (2004-08-31 10:31) [35]

>Rouse_ © (31.08.04 09:46) [5]
>Не нужно флеймить, просто примите к сведенью...

Угрюмо как-то сказал, мрачно. Почему-то представились скорбные лица на похоронах и плачущие жены.

Все живы-здоровы? Ну и ладушки, остальное забудется.

← →
Gero © (2004-08-31 10:35) [36]

> http://deep.webest.net/forum/reply.php?num=2.6&id=97065&idx=0

Мда. На манеже все те же.

← →
Reindeer Moss Eater © (2004-08-31 10:37) [37]

cyborg ©
ввёл в браузере delphimaster/password.txt и уаля!

Если на сайте так все тупо как ты предполагаешь (файл с паролями лежит в папке веб сервера доступной гостям)
то как с помощью правки скриптов можно защитится от этого?

← →
cyborg © (2004-08-31 10:39) [38]

> [37] Reindeer Moss Eater © (31.08.04 10:37)

> [21] cyborg © (31.08.04 10:15)

← →
имя (2004-08-31 10:40) [39]

Удалено модератором

← →
Undert © (2004-08-31 10:42) [40]

Удалено модератором

← →
имя (2004-08-31 10:43) [41]

Удалено модератором

← →
Undert © (2004-08-31 10:43) [42]

Удалено модератором

← →
имя (2004-08-31 10:43) [43]

Удалено модератором

← →
имя (2004-08-31 10:44) [44]

Удалено модератором

← →
Undert © (2004-08-31 10:46) [45]

Странно, а мой смех кому навредил ?

P.S. Panov был настоящим ? Пароли менять надо ?

← →
pasha_golub © (2004-08-31 10:47) [46]

Мдя. Сожалею. Если тама помощь какая нужна, физическая, например, то я готов. :0)

← →
Суслик © (2004-08-31 10:48) [47]

Знаете, что сейчас происходит?

Сидит этот Никитка и смотрит - во класс, какую я красноту спровоцировал! Вау! Круто...

Неужели не понятно, что одна из действенных мер борьбы с такими акциями - игнорирование обсуждения случившегося факта, надо просто принять к сведению :(((

← →
Romkin © (2004-08-31 10:55) [48]

Пароли менять надо опять :(
Опять скачали файл с ними...

← →
Danilka © (2004-08-31 10:56) [49]

[48] Romkin © (31.08.04 10:55)
Надо переходить на незарегистрированные ники, их никто не взломает :))

← →
Danilka © (2004-08-31 10:57) [50]

Точнее, я хотел сказать, их никто не взламывает

← →
pasha_golub © (2004-08-31 11:02) [51]

Я все-таки считаю, что нужно не сами пароли хранить, а например их md5-сумму. Конечно, тут возникает вопрос, что если забыл/потерял, то сливай воду. Зато воруй - не хочу.

← →
Romkin © (2004-08-31 11:03) [52]

Danilka © (31.08.04 10:56) [49] Млин, да надо просто пароли шифровать! А то так и будем каждые полгода их менять. Самое неудобное то, что многие люди используют один и тот же пароль в разных местах. Например, еще и для своего почтового ящика, указанного в анкете. А это уже ой :(

← →
Reindeer Moss Eater © (2004-08-31 11:03) [53]

А вот считает ли так хостер и его вычислительные ресурсы?

← →
Danilka © (2004-08-31 11:04) [54]

[51] pasha_golub © (31.08.04 11:02)
Вообще, я с этим не сталкивался, интересно, если знаешь md5-сумму, можно подобрать пароль, отличный от оригинального, но имеющий такую-же сумму? Если да, то это не выход.

← →
Romkin © (2004-08-31 11:04) [55]

pasha_golub © (31.08.04 11:02) [51] А что сливай воду? По почте пришлют новый сгенерированный пароль. Так многие делают. Хочешь - пользуй, не хочешь - смени :))

← →
Плохиш © (2004-08-31 11:05) [56]

> Romkin © (31.08.04 11:03) [52]
> Самое
> неудобное то, что многие люди используют один и тот же пароль
> в разных местах. Например, еще и для своего почтового ящика,
> указанного в анкете.

Больные люди :-(

← →
pasha_golub © (2004-08-31 11:05) [57]

Romkin © (31.08.04 11:03) [52]
Правду говоришь. Я так делал. Теперь умнее стал.

← →
pasha_golub © (2004-08-31 11:06) [58]

Плохиш © (31.08.04 11:05) [56]
А че больные? Если, например, для аськи или для мыльницы бесплатной?

← →
WondeRu © (2004-08-31 11:06) [59]

2McSimm
вот утром я сменил пароль, вечером его опять не сопрут?

А может у Борланда хост попросить? (не бить ногами по почкам)))

← →
Romkin © (2004-08-31 11:06) [60]

Danilka © (31.08.04 11:04) [54] Теоретически можно. Фактически - полный перебор, так и делают. Но затраты времени очень значительны , скажем так, месяц покопаешься ;)

← →
pasha_golub © (2004-08-31 11:09) [61]

WondeRu © (31.08.04 11:06) [59]
Интересная идея :0)

← →
kaif © (2004-08-31 11:09) [62]

Пароли надо хранить зашифрованными с потерями информации и проблем не будет. Мысль правильная.

← →
Reindeer Moss Eater © (2004-08-31 11:13) [63]

Мысль то правильная, но надо оценить затраты времени на операции дешифрации при каждом постинге.

← →
Romkin © (2004-08-31 11:14) [64]

Reindeer Moss Eater © (31.08.04 11:13) [63] Не дешифрации, а хеширования :) Они небольшие. Единственное неудобство - пароль не восстановишь. Но вполне преодолимое

← →
Reindeer Moss Eater © (2004-08-31 11:16) [65]

Кайф предложил шифрацию.
Я про его метод.

← →
pasha_golub © (2004-08-31 11:16) [66]

Reindeer Moss Eater © (31.08.04 11:13) [63]
И как это сделать? Исходя из чего? Тут много факторов, но, ИМХО, лучше подождать лишнюю секунду, чем потом огорчаться.

← →
Reindeer Moss Eater © (2004-08-31 11:16) [67]

Они небольшие.

Пока хешируешь раз в день имя своей собаки.

← →
Prohodil Mimo © (2004-08-31 11:20) [68]

593, 398199 - это мой пасс в зашифрованном виде используемый в моих прогах... две цыфры получаю из одного слова.
Как то лет 5 назад придумал алгоритм, на идеальность не надеюсь, но интересно... за сколько времени его разгадать можно?
Если интересно, в отдельной ветке могу выложить исходник.

← →
pasha_golub © (2004-08-31 11:22) [69]

Prohodil Mimo © (31.08.04 11:20) [68]
Дык, без исходника о чем говорить можно?

← →
KSergey © (2004-08-31 11:22) [70]

> [36] Gero © (31.08.04 10:35)

Нифига себе...
Я думал они здесь только флеймят... А их еще и на там хватает!! Этож вагон времени надо!... И не лень? :(

← →
Danilka © (2004-08-31 11:23) [71]

[52] Romkin © (31.08.04 11:03)
> А то так и будем каждые полгода их менять

А что плохого, в этой ветку уже предложили - каждую неделю менять :))

Если есть доступ ко всем скриптам то, думаю, никакое шифрование не спасет, т.к. есть скрипт который обрабатывает новые анкеты, а значит он будет пароль шифровать, то-есть можно будет спокойно другой пароль зашифровать и кому-нибудь его записать.

← →
КаПиБаРа © (2004-08-31 11:29) [72]

Прошу администрацию сообщить когда будет заделана дырка в защите и можно будет изменить пароль.

← →
Knight © (2004-08-31 11:30) [73]

>> McSimm © (31.08.04 10:06) [15]
Рацпредложение... сделать скрипт, чтобы после взлома, одним кликом генерировать новые пароли по анкетам имеющим мэйлы и рассылать их владельцам... дёшего и сердито :)

← →
pasha_golub © (2004-08-31 11:34) [74]

Reindeer Moss Eater © (31.08.04 11:16) [67]
Скосрость работы хеш-функции MD5:
http://re.mipt.ru/infsec/2004/essay/2004_MD5_Message-Digest_Algorithm__Strelnikov.pdf

Ддя тех кому лень смотреть. На Интел Пентиум III 750MHz создание 10000 хещ-ключей от исходных сообщений длиной 10000 байт занимает:

В реализации OpenSSL - 1,152 сек. ============ RFC - 2,614 сек.

← →
SPeller © (2004-08-31 11:36) [75]

> Если есть доступ ко всем скриптам то, думаю, никакое шифрование
> не спасет

Угу. Взял да сменил пароль на новый. Пришёл настоящий Максим - сменил, пришёл Никикта - сменил. Так и будут менять.

← →
WondeRu © (2004-08-31 11:36) [76]

Knight © (31.08.04 11:30) [73]
а хакер конечно же идиот и не сможет в очередной раз подменить и-майлы на какой-нить support@microsoft.com!)

← →
QuestionX (2004-08-31 11:37) [77]

> Reindeer Moss Eater © (31.08.04 11:16) [67]
> Они небольшие.
>
> Пока хешируешь раз в день имя своей собаки.

Не знаю, что там с именем твоей собаки, но затраты ресурсов на MD5 уж точно не скажутся на работе форума. И более сотни работающих скриптов тому подтверждение.

> Reindeer Moss Eater © (31.08.04 10:37) [37]
> Если на сайте так все тупо как ты предполагаешь (файл с
> паролями лежит в папке веб сервера доступной гостям)
> то как с помощью правки скриптов можно защитится от этого?

Нет - проблема не в этом, проблема в том, что небезопасные скрипты могут пропутить скажем тот же #include("pass.txt") и выдать этот файл на блюдечке. И, кроме того, по статистике (см. например void.ru или security.ru) более 80% взломов совершается через скрипты.

← →
SPeller © (2004-08-31 11:38) [78]

> генерировать новые пароли по анкетам имеющим мэйлы и рассылать
> их владельцам

А что если в мэйле что-то вида "гав-гав" вместо знака @ чтобы на ящик спам не сыпался?

← →
pasha_golub © (2004-08-31 11:39) [79]

Romkin © (31.08.04 11:06) [60]
Тeоретически можно. Фактически - полный перебор, так и делают. Но затраты времени очень значительны , скажем так, месяц покопаешься ;)

Скоко? Месяц? Я вот имею инфу, что 10^62 лет.

← →
Prohodil Mimo © (2004-08-31 11:39) [80]

> более 80% взломов совершается через скрипты.

тогда надо убрать все скрипты :о)

← →
Reindeer Moss Eater © (2004-08-31 11:39) [81]

pasha_golub ©

Это для реализации MD5 на чем именно приведены цифры?
Какова будет производительность реализации на движке исполняющем скрипт?
Или какова она будет если в скрипте MD5 недоступно и потребуется подключение внешних библиотек?

Вопрос-то не такой очевидный как кажется.

← →
Knight © (2004-08-31 11:41) [82]

А может проще анкеты в базу загнать?

← →
pasha_golub © (2004-08-31 11:43) [83]

Reindeer Moss Eater © (31.08.04 11:39) [81]

Это для реализации MD5 на чем именно приведены цифры?
Больше чем в пдф сказано сказать не могу, ибо не знаю.

Какова будет производительность реализации на движке исполняющем скрипт?
Если реализовать хеш-функцию в теле скрипта я думаю больших различий не увидим.

Или какова она будет если в скрипте MD5 недоступно и потребуется подключение внешних библиотек?
Доступно оно всегда, ибо можно просто реализовать алгоритм. А можно и подключить. Но про время реакции ничего сказать не могу - не знаю.

← →
Карелин Артем © (2004-08-31 11:44) [84]

Я делал генератор хэшей. MD5 генерация из 16-байтового ключа и запись в базу FB идет порядка 2000 хэшей/сек.

← →
Карелин Артем © (2004-08-31 11:44) [85]

На целероне 900

← →
Reindeer Moss Eater © (2004-08-31 11:45) [86]

Карелин Артем ©

Сайт - это не win32 Delphi приложение.

← →
QuestionX (2004-08-31 11:46) [87]

> Reindeer Moss Eater © (31.08.04 11:39) [81]
> pasha_golub ©
>
> Это для реализации MD5 на чем именно приведены цифры?
> Какова будет производительность реализации на движке исполняющем
> скрипт?
> Или какова она будет если в скрипте MD5 недоступно и потребуется
> подключение внешних библиотек?
>
> Вопрос-то не такой очевидный как кажется.

А вопрос-то очевиднее чем кажется. Поднимаем глаза наверх и внимательно смотрим на строку адрес. видим forum.pl. Вспоминаем perl, если знаем его конечно, и вспоминаем, что там есть встроенная функция md5(), еще раз вспоминаем perl, поле чего напрягая серое вещество, если таковое имеется, отвечаем на свои вопросы.

← →
Romkin © (2004-08-31 11:49) [88]

Алгоритм:
1. Пароль шифруется md5 и не подлежит восстановлению.
2. Смена пароля: вводится адрес почты. Форма уже есть.
а. Происходит поиск анкеты с данным адресом почты.
б. В найденной анкете проверяется дата и время предыдущего запроса на смену пароля. Если с прошлого запроса истекло N часов (3, например), то следующий пункт, иначе - вежливый посыл
в. В анкете устанавливается текущие дата и время запроса пароля.
г. Генерируется случайное число (rid)
д. В файл смены записывается номер анкеты, текущая дата и rid.
е. На указанный адрес отправляется письмо с инструкциями и ссылкой на скрипт с rid в качестве параметра.
ж. При заходе на сайт по данной ссылке требуется подтверждение о смене. Если ответ положительный, пароль из файла смены хешируется, записывается в анкету, возможно, сразу показывается пользователю. И отсылается письмо с новым паролем.
з. Запись в файле смены пароля для данной анкеты удаляется
Примечание: очистка файла смены (сборка мусора).
1. при вводе нового топика, проверяется, первый ли он на сегодня. Если да, то производится сканирование файла смены с удалением всех записей с датами, меньше нынешней.
2. При запросе о смене пароля удаляется запись о предыдущей смене пароля для этой же анкеты.

Нормально? Вопрос: каковы уязвимости?

← →
Reindeer Moss Eater © (2004-08-31 11:49) [89]

QuestionX

Perl - всего лишь язык.
И есть множество движков его выполняющих.
И производительность от них зависит, а не от перла.

← →
pasha_golub © (2004-08-31 11:51) [90]

Romkin © (31.08.04 11:49) [88]
Проверка пустого пароля.

← →
QuestionX (2004-08-31 11:55) [91]

> Reindeer Moss Eater © (31.08.04 11:49) [89]
> QuestionX
>
> Perl - всего лишь язык.
> И есть множество движков его выполняющих.
> И производительность от них зависит, а не от перла.

Реализаций перла, которые широко используются очень мало, и я сильно сомневаюсь, что в каждой из них по-разному выполняется функция md5(). А так как я могу с уверенностью говорить за скорость win и nix версий perl"a выпущенных еще в 2001, то с уверенность предположу, что и в новых версиях md5() не выполняется настолько дольше, чтобы смазать картину.

← →
Romkin © (2004-08-31 11:56) [92]

pasha_golub © (31.08.04 11:51) [90] Ну эт само собой. Там еще много проверок делать надо :))
Усиление: В файл смены пароля пишется уже хешированный пароль, а не хешированный посылается сразу в письме, при подтверждении по ссылке пароль просто перемещается в анкету.
Здесь уже пароль в раскрытом виде идет только в письме :))

← →
Reindeer Moss Eater © (2004-08-31 11:58) [93]

QuestionX

Еще раз:
Реализации перла и его диалекты здесь совершенно не при чем.

← →
QuestionX (2004-08-31 12:05) [94]

> Reindeer Moss Eater © (31.08.04 11:58) [93]
> Еще раз:
> Реализации перла и его диалекты здесь совершенно не при
> чем.

Еще раз. Функция встроенная она написана Си, на котором был написан интерпретатор perl"a и скорость ее исполнения зависит только от бинарника. И поскольку в бинарниках она вряд ли претерпевает изменения от версии к версии, то скорость ее выполнения можно считать постоянной практически для всех perl"ов. Она быстро работала и работает.

← →
VMcL © (2004-08-31 12:16) [95]

>>pasha_golub © (31.08.04 11:39) [79]

>Скоко? Месяц? Я вот имею инфу, что 10^62 лет.

Я дома когда-то написал подборщик паролей, захешированных по MD5 (собственно алгоритм MD5 написан на Object Pascal"е). AFAIR, пароль из 5-ти англ. букв подбирается за несколько минут (Athlon XP 1800+ @ 1533 MHz). Могу дома специально замерять ради интереса.

← →
Reindeer Moss Eater © (2004-08-31 12:18) [96]

Функция встроенная она написана Си,

И она компилируется разными компиляторами для разных платформ.

И по разному импортируется из разных библиотек.
На разных опять же платформах.
Неужели так трудно понять о чем я?

← →
VMcL © (2004-08-31 12:19) [97]

>>Reindeer Moss Eater

AFAIK & ИМХО, по сравнению с записью постов в БД и другими сопровождающими операциями время вычисления MD5 для строки пароля из нескольких (пускай даже 20) символов ничтожно мало.

← →
Reindeer Moss Eater © (2004-08-31 12:22) [98]

VMcL ©

Я нигде и не утверждал, что оно будет неприемлимо большим.
Я говорил про оценку этого времени. И интенсивность постов.

← →
pasha_golub © (2004-08-31 12:36) [99]

VMcL © (31.08.04 12:16) [95]
Не знаю, я ссылался на документ из моего поста:
http://re.mipt.ru/infsec/2004/essay/2004_MD5_Message-Digest_Algorithm__Strelnikov.pdf

← →
QuestionX (2004-08-31 12:39) [100]

> Reindeer Moss Eater © (31.08.04 12:18) [96]
> Функция встроенная она написана Си,
>
> И она компилируется разными компиляторами для разных платформ.
>
> И по разному импортируется из разных библиотек.
> На разных опять же платформах.
> Неужели так трудно понять о чем я?

Понять тебя не трудно - видимо не помнишь сам алгоритм md5 :) В том-то все и дело, что компиляция различными компиляторами (коих не так и много под freebsd) не сильно влияет на скорость выполнения алгоритма MD5 - не веришь, проверь профайлером. Скорость алгоритма может сильно варьироваться от его реализации (коих не менее трех, отличающихся в основном оптимизацией функций f,g,h,i и методом обработки промежуточных блоков) но вот в perl"e используется от версии к версии только одна и та же.

← →
Piter © (2004-08-31 12:40) [101]

Думаю, стоит сменить пароли. Я это уже сделал...

Хотя, если дыру еще не залатали - то это пока не нужно...

← →
pasha_golub © (2004-08-31 12:41) [102]

VMcL © (31.08.04 12:16) [95]
К тому же ограничена область поиска: 26 букв, в итоге имеем около 11 миллионов различных вариантов, а это действительно не так много.

← →
pasha_golub © (2004-08-31 12:46) [103]

И в догонку к моему посту 102.

Если известно кол-во символов в пароле и множество символов использованных, то можно грубой силой. А если не известно кол-во символов, то врядли. Если я ошибаюсь, поправте меня.

← →
wisekaa © (2004-08-31 12:51) [104]

> [88] Romkin © (31.08.04 11:49)
Надо предусмотреть контроль за дублированием почтовых ящиков

← →
McSimm © (2004-08-31 12:52) [105]

> Думаю, стоит сменить пароли. Я это уже сделал...
>
> Хотя, если дыру еще не залатали - то это пока не нужно...

Нет, не залатали. Мне пока не удалось найти дыру, через которую это юное дарование влезло на этот раз.

В прошлый раз он стащил мой пароль на постороннем давно забытом сайте.

← →
Reindeer Moss Eater © (2004-08-31 13:03) [106]

QuestionX
Ты знаком с местной достопримечательностью по имени "интернал сервер еррор" и иже с ним?

Она (достопримечательность), по твоему, появляется от избытка ресурсов на хосте, или может по мановению волшебной палочки?

← →
QuestionX (2004-08-31 13:30) [107]

> Reindeer Moss Eater © (31.08.04 13:03) [106]
> QuestionX
> Ты знаком с местной достопримечательностью по имени "интернал
> сервер еррор" и иже с ним?
>
> Она (достопримечательность), по твоему, появляется от избытка
> ресурсов на хосте, или может по мановению волшебной палочки?

А ты замерь профайлером md5() и поймешь , что "интернал сервер еррор" чаще являться народу не станет, и палочки тут не причем

← →
VMcL © (2004-08-31 13:33) [108]

>>pasha_golub © (31.08.04 12:41) [102]

>К тому же ограничена область поиска: 26 букв

Даже если не использовать символы с кодами >127 в пароле, то:
52 англ. заглавные и строчные буквы, 10 цифр, знаки препинания, скобки, пробел (даже пробел:), кавычки, и т. п.

Итого где-то 80..90 символов. Количество вариантов считается по ф-ле: (к-во вариантов символа) в степени (длина пароля).

То есть, если подбирать конкретно, например, 5-символный пароль из только англ. букв, то в худшем случае нужно перебрать 52^5 = ~3,8 млрд. вариантов. Опять же, у меня, например, паролей меньше восьми разнорегистровых англ. символов обычно нет. Тогда "всего лишь": 52^8 = ~ 53,5 * 10<sup>12</sup> вариантов.

P.S. Надо будет дома всё-таки замерять скорость подбора.

>>pasha_golub © (31.08.04 12:46) [103]

>А если не известно кол-во символов, то врядли.

Почему это? Можно. Начинаем с 1-символьных паролей. Потом 2-х, потом 3-х, ... и так до тех пор, пока либо не найдём пароль, либо не сработает программное ограничение на длину пароля.

P.S. Забыл. Перед односимольными паролями проверяем еще 0-символьные, то бишь пустую строку :-)

← →
VMcL © (2004-08-31 13:33) [109]

← →
pasha_golub © (2004-08-31 13:39) [110]

VMcL © (31.08.04 13:33) [109]
Да, было бы интересно узнать скорость грубого подбора.

Тогда у меня есть утяжеление. Хранить 2 суммы: первую сумму пароля, а вторую - перестановку букв пароля, например, четные буквы с нечетными. Будет две проверки, но сложность подбора (при условии, что атакующий не знает, каким образом совершенна перестановка) возрастает на порядок.

← →
olookin © (2004-08-31 13:46) [111]

А может дать Нику черный значек или просто попросить вежливо. Думаю он сам все расскажет.

← →
olookin © (2004-08-31 13:48) [112]

Имхо, лучше привлечь хакера на свою сторону, чем бороться с ним.

← →
VMcL © (2004-08-31 13:53) [113]

>>pasha_golub © (31.08.04 13:39) [110]

>Хранить 2 суммы...

Тогда он подберет пароль только по первой сумме. AFAIK, очень высока вероятность того, что он будет верный (для MD5). А если даже и нет, то он может продолжить перебор по той же первой сумме.

>(при условии, что атакующий не знает, каким образом совершенна перестановка)

Если полагаться на это, то можно вообше пароли не хешировать :-)

P.S.
У меня тоже есть утяжеление, только очень уж смешное:
<?php $hash_for_db = md5(md5($password)); ?>

Теперь взломщику придётся двойной подбор производить, а это ого-го )))

← →
VMcL © (2004-08-31 13:55) [114]

>>olookin © (31.08.04 13:48) [112]

ИМХО, тоже "лучше привлечь", только не на сторону, а к уголовной ответственности.

← →
esu (2004-08-31 14:00) [115]

pasha_golub © (31.08.04 13:39) [110]
Так что пользователю вводить и пароль и перестановку ? :)

← →
Danilka © (2004-08-31 14:00) [116]

А все-таки, чем спасет этот МД5, если есть полный доступ ко всем файлам?

← →
default © (2004-08-31 14:02) [117]

"Вот почему в некоторых странах можно чемодан на улице оставить, а позже прийти и найти его на том же самом месте? Ведь у людей даже мысли не возникнет, что его можно взять... или, что можно обокрасть незапертую квартиру... а тут... "
вот здесь ключ...я думаю дело не в гениальности этого Nik8 а в том что написано в кавычках
надо кому-то(лучше группе)серьёзно заняться безопасностью...бесплатно не знаю кто правда будет этим заниматься...

← →
VMcL © (2004-08-31 14:06) [118]

>>Danilka © (31.08.04 14:00) [116]

Если есть полный доступ (т.е. и на запись), то ничем. А если только чтение, то значительно усложнит задачу взлома паролей.

← →
olookin © (2004-08-31 14:10) [119]

VMcL © (31.08.04 13:55) [114]
Его не "привлечешь" к уголовной ответственности. Он гражданин другого государства :( Даже если бы был русский, то это было бы сложно. А если просто вежливо попросить показать где дыра, сказать спасибо, что он дыру нашел, он сам ее покажет (надеюсь).
И у меня складывается такое впечатление, что администаторам этого сайта легче принести извинения нам за потерю нашей персональной информации, чем поступится своей тщеславностью и самолюбием.

← →
Piter © (2004-08-31 14:10) [120]

Gero © (31.08.04 10:13) [18]
Думаю человека два, хорошо владеющих Perl"ом очень не помешали бы.

я уэе полгода твержу, что McSimm необходимы помощники... не хотят меня слушать...

Reindeer Moss Eater © (31.08.04 10:13) [19]
Ломают не скрипты, а хосты на которых лежат эти скрипты

плохо ты понимаешь. Ты думаешь взломали апач хостера? Нет, ломанули именно через скрипты...

cyborg © (31.08.04 10:29) [34]
ввёл в браузере delphimaster/password.txt и уаля!

ты что, правда думаешь, что Максим такой тупой? Что прямо в браузере ввел и получил пароль? :)

Reindeer Moss Eater © (31.08.04 11:58) [93]

странная у тебя тяга. Ну вот не хочешь ты, чтобы парои шифровали и все тут. Прямо уперся аки бык.
Тебе то что? Или может ты сначала попробуешь, засечешь время вместо того, чтобы знаниями сверкать?

Ты попробуй, засеки время - вот и посмотрим сколько на это будет тратится...

Athlon XP 1800+ @ 1533 MHz

о! У меня тоже самое - Athlon 1800+.
У тебя случаем не 256 Mb оперативы и 80 Gb жесткий диск Seagate?

← →
Reindeer Moss Eater © (2004-08-31 14:16) [121]

Piter ©
Кто тебе сказал про то что именно я хочу/нехочу?
Номер поста покажи.

И при чем здесь твой атлон с его памятью и ЕГО домашней нагрузкой?
Можешь мне сказать?

← →
Reindeer Moss Eater © (2004-08-31 14:29) [122]

Или может ты сначала попробуешь, засечешь время вместо того, чтобы знаниями сверкать?

Накладные расходы на хеш надо оценивать на реальной системе, а не у себя дома в песочнице.

← →
McSimm © (2004-08-31 14:41) [123]

> чем поступится своей тщеславностью и самолюбием.

не страдаю, вопреки существующему мнению.

← →
Knight © (2004-08-31 14:41) [124]

>> [105] McSimm © (31.08.04 12:52)
Вышли всем желающим исходники форума... вместе и подумаем... а то беспредметный разговор какой-то пулучаестя... свежий взгляд нужен %)

← →
Reindeer Moss Eater © (2004-08-31 14:43) [125]

Ну взломали.
И что?
Вы здесь деньги что ли хранили?
Вышли...всем желающим....мы...всем миром....
Нафик надо-то?

← →
Knight © (2004-08-31 14:45) [126]

>> [117] default © (31.08.04 14:02)
А где ссылка на автора? :)

← →
default © (2004-08-31 14:47) [127]

само собой если будут вестись работы по улучшению безопасности тем больше удовльст-ия ему будет найти дыры(как же он умнее кучи мастеров!хотя одно дело ломать совсем другое строить...)
лучшее средство предложено в [125]
нужно чисто пофигительское отношение хотя на деле можно что-то и улучшить
в ответ на взлом сразу раасылка по почте новых паролей делов-то

← →
Knight © (2004-08-31 14:48) [128]

Reindeer Moss Eater"у не высылать... ему не надо... :)
А я бы посмотрел... хотя бы, что такое Пёрл и с чем его едят... может и нарыл чего попутно %)

← →
default © (2004-08-31 14:48) [129]

Knight © (31.08.04 14:45) [126]
сори)я думал этот не так важно)если бы там какой-то алгоритм бы был я бы 100% упомянул автора)в след-ий раз буду писать

← →
Piter © (2004-08-31 14:49) [130]

Reindeer Moss Eater © (31.08.04 14:16) [121]
Кто тебе сказал про то что именно я хочу/нехочу

никто не говорил - по твои постам очевидно, что ты против этой идеи. Уже видно, что и собеседник разбирается лучше тебя, он использовал это. Нет, ты продолжаешь утверждать, что это будет плохой идеей, приводя все менее и менее весомые аргументы.

Если пароль будет проверяться по времени как одна сотая от времени необходимого для добавления нового поста - нормально будет?

И при чем здесь твой атлон с его памятью и ЕГО домашней нагрузкой?

да это я VMCL писал - у него такой же комп :)

← →
Reindeer Moss Eater © (2004-08-31 14:50) [131]

Piter ©

Или прекрати свой детский треп или укажи номера постов, в котрых я высказывался против.

← →
Knight © (2004-08-31 14:51) [132]

> [129] default © (31.08.04 14:48)

Там ещё ссылки на мой сайт были... :)

По расслке паролей читай
[73] Knight © (31.08.04 11:30)
[76] WondeRu © (31.08.04 11:36)

← →
default © (2004-08-31 14:55) [133]

Knight © (31.08.04 14:51) [132]
ну и пусть...пока не надоест...
программы же будет рассылать...

← →
Knight © (2004-08-31 14:58) [134]

> [133] default © (31.08.04 14:55)
> ну и пусть...пока не надоест...
> программы же будет рассылать...

Теперь будем думать как защитить мэйлы от прямого изменения, через разные там хэши... может проще защитить сами пароли? :)

← →
able © (2004-08-31 14:59) [135]

Может поставить какой-нить форум, вроде IPB, phpBB и не мучиться??

← →
Knight © (2004-08-31 15:00) [136]

В общем Максим, если нужны бесплатные кодеры для форума... пиши, сделаю, что смогу :)

← →
VMcL © (2004-08-31 15:01) [137]

>>Piter © (31.08.04 14:10) [120]

>о! У меня тоже самое - Athlon 1800+.
У тебя случаем не 256 Mb оперативы и 80 Gb жесткий диск Seagate?

<offtopic>
Ну что ж, померяемся пиписками :-)

CPU: Athlon XP 1800+ MB: Elitegroup K7VMM (сам знаю что г... :) RAM: DDR 512 MB HDD: Samsung 120 GB (7200 rpm, 2 MB cache) + в кармане "дискета": Seagate 20 GB (5400 rpm) Video: MSI GeForce FX 5900XT Audio: Creative AudioPCI 64V+ (так, вроде) Modem: int. Acorp 56-PML (так, вроде) CD-RW: LG 52x32x52 CD-ROM: Teac 40x Monitor: Samsung 757NF
</offtopic>

← →
default © (2004-08-31 15:07) [138]

Knight © (31.08.04 15:00) [136]
пусть сами выбирут что проще сделать
по-любому он ломает не так часто если ещё зашифровать совсем задолбается
ломает для интереса...если все дыры оставлять лишь по-разному шифровать(если будет успех расшифровки у него) у него не будет никакого интереса ломать если он не отъявленный расшифровщик)время жалко станет на лабуду

← →
Суслик © (2004-08-31 15:09) [139]

> время жалко станет на лабуду

чтобы стало жалко времени нужно вырасти...
а это в зависимости от исходного положения может занять много времени

← →
default © (2004-08-31 15:12) [140]

Суслик © (31.08.04 15:09) [139]
я имею ввиду если все дыры оставлять как есть а менять только шифр весь его взлом будет проходить одинаково лишь придётся каждый раз ломать голову над расшифровкой, это не интересно станет рано или поздно

← →
Piter © (2004-08-31 15:14) [141]

Reindeer Moss Eater © (31.08.04 14:43) [125]
Вы здесь деньги что ли хранили?

Знаешь, ничего хорошего все таки нету. Надо пароль менять.

А чувствую через некоторое время и опять база форума "слетит"

Вышли всем желающим исходники форума

а вот это можешь обратиться к Nik8 - он вроде обещал высылать любому, кто хочет.

Я, кстати, тоже сейчас за то, чтобы McSimm прямо сейчас опубликовал исходники. Во-первых, возможно кто-то найдет дырку. Во-вторых, народ посмотрит, предложит идеи идеи, рекоммендации. Конечно, будет много флуда, но лучше так. Думаю даже эту ветку можно взять под особый контроль и предупредить, чтобы там НИКТО ни при каких обстоятельствах не писал НЕ ПО ТЕМЕ. Такие посты тут же удалять - автору ставить час R/O.

Сейчас самое подходящее время - все равно сайт взломали. И к тому же исходники все равно украли. Опять же этот Nik8, по-моему, обещал их опубликовать на хакере... если так - чего терять?

Лично я помочь не смогу ничем - ничего не понимаю в perl, но люди то есть кто понимает!

McSimm - подумай. Сейчас как раз очень удобно их будет опубликовать.

К тому же народ может и оптимизацию какую подсказать - тогда нагрузку на сервер может можно будет снизить, реже 500 будет вылезать.

← →
default © (2004-08-31 15:18) [142]

Piter © (31.08.04 15:14) [141]
блин ты понимаешь что это огромный катализатор для попытки будущего взлома
если хочешь каждый пост в тему это по сути какая-то доля в конечной вероятности взлома

← →
Reindeer Moss Eater © (2004-08-31 15:31) [143]

Мне больше досаждает интернал сервер еррор здешний.
А взлом не моего сайта на не на моей машине мне меньше всего печали доставляет.

← →
Piter © (2004-08-31 15:38) [144]

VMcL © (31.08.04 15:01) [137]
Ну что ж, померяемся пиписками :-)

блин! Да не собирался я ничем меряться. Я считай брата по компу встретил :) Разве браться меряются пиписьками? :)

← →
Piter © (2004-08-31 15:43) [145]

default © (31.08.04 15:18) [142]
блин ты понимаешь что это огромный катализатор для попытки будущего взлома

ну давай тогда все данные расшарим, пусть они будут доступны всем, да? И дадим каждому по умолчанию возможность модерирования.
Полностью с тобой согласен, что ломать такой сайт будет никому не интересно.

Piter © (31.08.04 15:43) [145]
какие данные?нужное будет зашифровано
если будет ясно что взлом - рассылка паролей
всё просто и не надо заморачиваться
дыры пусть не исправляются(как бы этого не хотелось, по крайней мере нажно подождать какое-то время...) дабы не создавать мотива для взлома
пусть тратит своё врея на расшифровку
на [143] бы лучше посмотрели)это ерро дедостал

>>Piter © (31.08.04 15:38) [144]

<offtopic>
Откуда я знаю, что ты за "брат"? Ты же полную конф-цию не привел, только процессор. Вдруг какая-нибудь "седьмая вода на киселе" :))
</offtopic>

>>Piter © (31.08.04 15:43) [145]

>ну давай тогда все данные расшарим, пусть они будут доступны всем, да?

Как вариант.

да и всё это обсуждение зря
это его подогревает
в следующий раз советую просто разослать пароли с просьбой не обсуждать это на форуме(что взлом был)
пусть там на своём дремучем хвастается
и людям из этого форума лучше бы в подобных дискус-ях не устаст-ать
типа взломал, а всем глубоко пофиг
сломает махом

default © (31.08.04 15:47) [146]
если будет ясно что взлом - рассылка паролей

да? А у многих тут реальный e-mail указан, а? А если указывать реальный e-mail - то взломщик получит неплохую базу адресов для спама. ПРОВЕРЕННЫХ адресов.

И еще - тебе пять раз говорили - что мешает злоумышленнику ПЕРЕПРАВИТЬ e-mail адреса в базе?

Это логика неправильная 100%. Никто не должен получить доступ к сайту, ни на чтение, ни на запись. Если такое есть - это дыра и надо править. Только так. Все нормальные люди делают так.

А не оставляют дыры со словами - да нуууу, все равно взломают..

Как вариант.

а что? Отличный вариант? И почему администраторы других популярных сайтов не додумались! Давайте книжку напишем - новая идеалогия защиты серверов! И будет там писать, чтобы люди все выставляли - все равно взломают!

Piter © (31.08.04 16:17) [149]
узнать-то можно как-то что переправил и сделать всё заново
тогда проще дать этому парню чёрный значёк а не пыхтеть над защитой
чтобы сделать нормальную надо литературку почитать и ещё некоторое время на практику кто будет это делать только из-за этого парня?!
вообщем чего я тут распинаюсь блин)
[143]

Piter © (31.08.04 16:17) [149]
мыло указ-ся при регистр-ии и не светиться в регистр-ых данных
в других местах хранится в зашифр-ом виде
куда он там спаммить будет?!

default © (31.08.04 17:25) [151]
в других местах хранится в зашифр-ом виде

так. Значит мыло хранится в зашифрованном виде? Ок, как тогда будут рассылаться новые пароли? Значит, сервер может расшифровать мыло? А злоумшленник имеет доступ к сайту.... и?

Piter © (31.08.04 17:34) [152]
я давно заметил этот момент)я не спец в сетевом прогр-ии...а что с расшифровкой пароля такого не будет?

to default © (31.08.04 17:22) [150]:
>тогда проще дать этому парню чёрный значёк а не пыхтеть над
>защитой
Да чего уж там, сразу модератором сделать. Во избежание... :o)

to default © (31.08.04 17:37) [153]:
>а что с расшифровкой пароля такого не будет?
Если хранить хеш, то расшифровка не нужна.

default © (31.08.04 17:37) [153]
а что с расшифровкой пароля такого не будет?

чего "такого"? Если шифровать грамотно - то обратной расшифровке пароль не поддается, естественно. Его можно узнать только методом полного перебора.

Piter © (31.08.04 17:49) [155]
да это всё понятно.."такого" я имел ввиду то что ты описал до этого
вообщем оставим это жуе ставшую пустой беседу

А зачем вообще это всё надо? защиты там всякие придумывают, правила.
сайт всё меньше становится полезным... в основном идёт трёп ни о чём или поливают друг друга чем то напоминающем грязь. Мастера начали зазнаваться и на вопросы отвечают с неохотой и в основном аля "посмотри там". Раньше были более развёрнутые ответы, и пользы от них было побольше. сейчас задавая вопрос на 90% уверен что никакого ответа не получиш.
Скоро сайт станет бесполезным, а вместо него можно будет повесить только одну страничку : "Читайте книги, хелп, юзайте рамблер и им подобные" :о(

> Prohodil Mimo © (31.08.04 18:17) [158]

Считаешь, что сайт надо переименовать в "Онлайн поддержка всех халявщиков по любым вопросам"?

← →
Красный молоток (2004-08-31 18:28) [160]

Пора бы уж давно форум переписать.

[159] Плохиш, не раз было - прочитал книжку или ещё что то там... нифига не врубился... пришёл сюда за помощью. думаешь помогли? Послали дальше читать.

Prohodil Mimo © (31.08.04 18:17) [158]

а ты поотвечай-ка на такие тупые вопросы как здесь хотя бы пару месяцев - и сам все поймешь

Prohodil Mimo © (31.08.04 18:37) [161]
Послали дальше читать

и что, почитал дальше? Разобрался?

> Prohodil Mimo © (31.08.04 18:37) [161]

> не раз было - прочитал книжку или ещё что то там... нифига не
> врубился... пришёл сюда за помощью. думаешь помогли? Послали
> дальше читать.

Сколько раз убеждался - на нормально заданный конкретный вопрос отвечают всегда.

А посылают читать дальше, если:

1. Из вопроса видно, что человек совершенно не знает темы, по которой задает вопрос (то есть, отвечать ему бесполезно - не поймет, пока действительно не прочитает книжку).

2. Вопрос неконкретный (типа "научите программировать").

3. Вопрос требует ответа, который потянет минимум на статью.

4. Вопрос совершенно детский и показывает незнание даже азов (что, по сути, то же самое, что и п.1).

И т.п.

Так вот - какой вопрос Вы задавали?

Насчёт ответов/неответов на вопросы:
Я не предлагаю закрытия сайта, и не буду уговаривать мастеров отвечать на любую белиберду, но: моё личное наблюдение - я стал всё меньше заглядывать в тематические конференции, не потому что меня перестали интересовать вопросы кодинга, а потому что я практически не получаю оттуда полезной информации, действительно сплошные отсылки в Google или FAQ. Более того, за последние пару месяцев у меня раз 5 возникало желание задать вопрос в форум. Вопросы по мелочам, однако задавать их я не решился, потому как был заранее уверен, что отошлют читать хелп и ещё поиздеваются. Поэтому пришлось потратить время, чтобы найти ответ самому, хотя при желании мне бы могли ответить за 10 минут. То есть создаётся впечатление, что мастера просто считают ниже своего уровня ответить на простой вопрос. А ещё, что особенно коробит, когда на вполне оправданные претензии авторов вопросов делаются заявления вроде:
"Тебе вообще никто отвечать не обязан" (мол мы тебе снисхождение делаем). Я считаю, если не хочешь ответить, лучше помолчать. Так что мастерам тоже есть о чём задуматься.
Всё вышесказанное - ИМХО.

Agent13 © (31.08.04 19:42) [165]
Сходи на
http://citforum.ru/howto/smart-questions-ru.shtml

Там популярно написано, почему ты делаешь правильно самостоятельно читая хелп

Кстати, много раз задавал вопросы здесь и могу сказать, что при должном упорстве и минимальных умственных способностях получить нормальный ответ можно.

> [165] Agent13 © (31.08.04 19:42)

Спешу несогласиться! Я разрабатывая свой последний(сейчас уже законченный) проект связанный с БД, неоднократно обращался(а точно раза четыре) в конференцию по БД со своими вопросами. Прежде я читал книги, лазил по сети и только если ничего уже не помогало задавал вопрос в форум. Причем все вопросы сначала продумывал и писал в блокноте, старался конкретно, обстоятельно описать задачу и, знаешь, я все четыре раза получал исчерпывающий ответ на свои вопросы, не такие уж и простые. А потом еще задавал кучу появившихся побочных, например, Анатолию и он помогал, за что я ему и всем помогашим форумчанам очень благодарен. И вот сижу я и думаю может я такой особенный, но почему мне отвечают а другим нет? А может дело не во мне, а в вопросах? И уж тем более не в наших замечательных мастерах.

Вот кстати постом ранее живое подтвеждение моих слов: YurikGL помогавший мне тоже неоднократно. СПасибо ему за это большое. Ну и кто теперь скажет что у нас не помогают?

> Сходи на
> http://citforum.ru/howto/smart-questions-ru.shtml

Спасибо, на эту ссылку у меня кстати уже тоже аллергия. И не только потому, что её часто приводят, а ещё и потому, что с многим там написанным категорически не согласен. Не спорю, хелп читать надо, но не до посинения. Ответ живого человека часто бывает яснее, только вот люди, которые этот ответ в состоянии дать зачастую этого понять не могут (или не хотят).

Agent13 © (31.08.04 19:42) [165]
пришлось потратить время, чтобы найти ответ самому, хотя при желании мне бы могли ответить за 10 минут

вот, вот! Все ищут халявы! А ты осознаешь, что человек тратит время на тебя? ТЫ должен его заинтересовать своим вопросом - чтобы было интересно отвечать!

Смотри какую штуку ты хочешь провернуть - сэкономить свое время, потратив чужое. Ответ один - если ты можешь разобраться сам - РАЗБЕРИСЬ САМ. Здесь тебе никто ничего не должен - это так и это правильно.

Не нравится? Есть масса сайтов. Допустим, я зачастую задаю вопрос здесь, в ФИДО и на королевстве.

И знаешь - хотя в ФИДО уровень самый высокий из представленных мест, но на вопросы зачастую отвечают именно здесь и на Королевстве. На Королевстве имеет смысл задавать вопросы посложнее - вероятность ответа выше, чем здесь. Вот такая расстановка сил.

Знаешь что я хочу сказать - зайди в "Основная" и посмотри, там под каждым топиком есть "Ответов: X" - если X>0 - значит отвечают. Так что не надо жаловаться, что ответов нету. И зачастую X куда больше нуля.

А также можно посмотреть на вопросы и понять насколько они ламерские зачастую - человек даже блин пальцем пошевелить не хочет. Вместо того, чтобы посмотреть в хелп и за пять минут получить ответ, он будет два дня выуживать разжеванный ответ здсь.
И можно только удивиться терпению отвечающих.

Piter © (31.08.04 20:04) [171]
Про Фидо и Делфи можно конкретней. Дело в том, что я очень смутно себе представляю вообще, что такое ФИДО.

pasha_golub © (31.08.04 20:07) [172]
Про Фидо и Делфи можно конкретней

а что конкретней? Что такое фидо? Ну это разжевано во многих местах - http://www.fido7.ru , например

Или что ты хочешь узнать? Про уровень? Ну просто там в конференции по Дельфи fido7.ru.delphi есть очень и очень грамотный народ. Например, Тенцер.
Да и Игорь Шевченко раньше там отвечал.

Ну а Подгорецкий там модератор - у него просто по другому не бывает :)
(ну или там ко-модератор, к словам не цепляйтесь).

>[166]-[171]
Не собираюсь вас переспаривать. Я высказал своё мнение, вы высказали своё. Если вы думаете, что мастера всегда правы - что ж - это ваше право...

Piter © (31.08.04 17:49) [155]
Пароль по хэшу узнать нельзя, можно получить бесконечное множество паролей, которые дадут тот же самый хэш.

Если это не коммеческая тайна - предлагаю совместно поискать неточности и опасные участки кода.

ICQ:76083725

Предположения о вероятных неисправностях писать в форум не разумно, как мне кажется.

> Предположения о вероятных неисправностях писать в форум
> не разумно, как мне кажется.

А кто говорил, что нужно это делать в форуме? Нужно собрать комманду, выставить на Ftp или разослать напрямую исходники и думать вместе о том, что можно исправить, общаясь по аське и мылу.

>
> А кто говорил, что нужно это делать в форуме? Нужно собрать
> комманду, выставить на Ftp или разослать напрямую исходники
> и думать вместе о том, что можно исправить, общаясь по аське
> и мылу.

Потом все скрипты этого форума окажутся где-нить на cgi.ru

> [178] STYLE © (01.09.04 00:18)

Всё-равно, говорят, будут на xaker"е выложены... а так хоть народ заранее глянет и подскажет, что исправить... и нехай себе лежат, толку-то от них если безопастность тут будет поднята на новый уровень... даже использовать никто не будет, ведь, кому дырявые варианты нужны... :)

> Agent13
На все мои вопросы я получал ответы, даже не смотря, что у меня трудности с формулированием. :)
Ну, а если человек бамбук, то ему уже ничего не поможет.

VMcL © (31.08.04 13:53) [113]
У меня тоже есть утяжеление, только очень уж смешное:
<?php
$hash_for_db = md5(md5($password));
?>

Теперь взломщику придётся двойной подбор производить, а это ого-го )))

действительно смешное.) придумал бы еще типа:
DES(DES(Block)) ;-)))

Насколько мне известно, применение двойного шифрования порой может привести к ослаблению криптостойкости системы! Или я не прав?

А насчет хостера я бы подумал! ([59])

[171] Piter,
"Ответов: X" - если X>0 - значит отвечают.
вот только ответы это или насмешки или посылки куда подальше?

[165] Agent13 - то же самое и со мной.

А вот какие вопросы я задавал уже и не помню, давно дело было. Возможно в чём то я и сам разобрался, но некоторое так и осталось непонятным, но тут задавать уже не буду.

[168] Nous Mellon, у тебя ник такой что отвечают :о)

← →
SergP. (2004-09-01 11:26) [185]

> Reindeer Moss Eater © (31.08.04 10:13) [19]
> Ломают не скрипты, а хосты на которых лежат эти скрипты.
> Хоть запереписывайся.

А с чего ты взял что ломают именно хосты?

Чаще всего ищут и используют дыры в скриптах(SQL inject)

Насколько помню, нет двойного DES, есть тройной DES, который увеличивает криптостойкость в два раза

Anatoly Podgoretsky © (31.08.04 21:07) [175]
не обязательно, могут быть области определения хеш-функции где она инъективна
есть во взоме ещё вариант перебирать все пароли и искать для которых хеши равны(благо обычно хеширование быстро)
потом найти осмысленные варианты...не подойдут...пробовать неосмысленные если их нет сильно много...

Словари clear password придуманы давно.
Словари готовых хешей для clear password тоже появились, но просто чуть позднее.

← →
REA (2004-09-01 12:30) [189]

А я с некоторых пор даже анкету не создаю - ломают сайт с завидной регулярностью. Одна печаль - с днем рождения не поздравят.

> [189] REA (01.09.04 12:30)

За отдельную плату - пиши мне мылом когда, - поздравлю.

>>pasha_golub © (31.08.04 13:39) [110]

>Да, было бы интересно узнать скорость грубого подбора.

Позапускал я свою тулзу (подбор строки по MD5). Скорость подбора ~1,3 млн. строк/с (на Athlon XP 1800+), причем с ростом длины пароля скорость меняется не очень значительно (есть скриншоты, но не могу выложить, поскольку не захотел читаться мой UltraSpeed CD-RW на 524-м TEAC"е). ИМХО, даже если соптимизировать алгоритм на асме под конкретный процессор, ускорения более, чем в два раза не достичь (а то и меньше).

В итоге имеем.

Для взлома пароля с заранее известной длиной в 5 символов, состоящего из заглавных и строчных англ. букв, потребуется в худшем случае приблизительно 52 ^ 5 / 1 300 000 = ~292 секунды (почти 5 минут).

Если же пароль длиной 8 символов, то "всего лишь": 52 ^ 8 / 1 300 000 = ~41 млн. секунд (почти 476 суток).

}|{yk © (01.09.04 11:28) [186]
Насколько помню, нет двойного DES, есть тройной DES, который увеличивает криптостойкость в два раза

DES(DES(Block)) - шутка )))

DES(DES(Block)) = Block

VMcL © (01.09.04 12:51) [191]
Очень интересные результаты, как мне кажется. 8 символов вполне хороший пароль. Плюс учесть, что используются цифры, знаки, и т.д.

>>pasha_golub © (01.09.04 14:53) [193]

Главное, чтобы суперпуперпароль длиной в надцать символов не заимел такой же хеш, как другой простой пароль в 4-5 символов :-)

Немного наврал в [191].

>причем с ростом длины пароля скорость меняется не очень значительно

Протестировал на длине в 20 символов. Скорость подбора упала до ~1,2 млн. строк/с, то есть на ~7,7%. Вот.

← →
имя (2004-09-03 07:07) [196]

Удалено модератором

← →
имя (2004-09-03 07:07) [197]

Удалено модератором

Ну вот и дырка нашлася :)
============================================= Компьютерные вирусы - это такие маленькие программульки, которые пишут большие говнюки. =============================================

Все же я всегда фигел от этих юниксов/перлов...
Помню первое мое потрясение, в части методов взлома, было когда узнал про какую-то давно зыкрытую дыру не помню где, что можно было в поле e-mail адреса подставить команду shell и она выполнится!!!
Ну как так написан разборщик?? Ну зафиг ее шелу отдавать-то?
Я догадываюсь, что, видимо, там как-то универсально это сделано, да еще, возможно, на рег. выражениях с использованием того же шела, но...

Я вот не силен, правда, но то, что можно скачать перловские скрипты - это все же косяк хостера, по-моему.

> [199] KSergey © (03.09.04 08:21)

Меня тоже умиляло и умиляет. Есть книга поПерлу и там написано про разные уязвимости - читая понимаю, но душа протестует - нафига?

Нечего этот perl использовать. Делайте все на PHP.

а PHP не ломают, да? Тогда уж CGI-приложение. ValueHost, кажется, позволяет.
Если дырка в коде - без разницы PHP или Perl.
Или дырка на хостинге - сливай воду.

>196
Тебе уже сказали, что здесь ты не будеш писать ничего.

panov © (13.09.04 15:50) [206]
Тебе уже сказали, что здесь ты не будеш писать ничего

Ну так уже написал :)
И его пост навечно сохранен в моем клиенте :)

Нас опять взломали, извините. Найти похожие ветки