Вернуться   RaceYou! Всероссийский виндсерфинг форум > Кальянная > Эй, админ!

Эй, админ! Предложения и критика в адрес администрации форума. Любые вопросы по проекту RaceYou!

Ответ
Опции темы
Непрочитано 22.05.2019, 23:27
#31
Luvilla
Windsurfer

Аватар для Luvilla
 
забавное обсуждение...

Цитата:
Сообщение от Skiminok Посмотреть сообщение
Просто так, для информации, вход на форум счас выглядит так:
<form action="login.php?do=login" method="post" onsubmit="md5hash(vb_login_password, vb_login_md5password, vb_login_md5password_utf, 0)">

Никто до ваших паролей не доберется, максимум до их MD5 хэшей.
Это вот... это сильно
правда, без иронии, респект
хотя на самом деле там всё несколько не так... не так безоблачно... но это в данном случае не важно


Цитата:
Сообщение от skat Посмотреть сообщение
Вас не подменяют, потому что с ваших паролей профита ноль. Нафиг кому нужны ваши пароли или логины, здесь не банк-онлайн, что здесь брать?
а это вообще роскошно сказано... потому что это правда

===
есть примерно стопиццот способов хакнуть сайт/форум
и все стопиццот способов валяются в сети, как текстом, так и видеоуроками
и среди них способ "получить пару логин/пароль, расковыряв нешифрованный трафик" примерно на стопиццотпервом месте

Несколько лет назад на одном уважаемом форуме я сподвиглась черкнуть небольшой обзорчик по взломам
Ахрунг: многа букафф! ссылка: http://vbsupport.org/forum/showpost....49&postcount=5
движок там такой же, как здесь, если захотите читнуть весь топик - найдёте, куда нажать, но там особо читать нечего, в той теме

Суть (для тех, кто ниасилил): вероятность того, что даже школохацкер от полного безделья будет выколупывать пару логин/пароль из трафика, предварительно крякнув роутер в макдональдсе и дождавшись, пока туда забредёт тот, кто надумается логиниться на форум, где у него в личке "сенсетив инфа", стремится к нулю. Не храните в личке то, что относится к категории "сенсетив инфа" (потому что отдельный аккаунт, может, и не уведут, но если будет слита база, доступны будут все тексты, как постов, так и ЛС. Речь не об этом конкретном форуме, речь про "вообще").

Взломы и протоколы живут отдельно друг от друга.

Есть смысл переходить на ХТТПС в двух (трёх) случаях:
- если хостер настолько охренел, что пихает свою рекламу при передаче данных, но тогда нужно менять хостера
- если провайдеры делают то же самое, и юзера начинают жаловаться на "левую" рекламу, вот тут деваться некуда, не советовать же юзерам менять провайдера? - тогда, конечно, спасает только ХТТПС
- был в моей практике один случай, когда совершенно отмороженный провайдер, неизвестно чего обкурившись обчитавшись, вообще рубанул весь трафик по http://, никто никуда попасть не мог, открывались только сайты с https://

=====

Цитата:
Сообщение от skat Посмотреть сообщение
Оооо! Похоже начинается моя любимая стадия в обсуждении! Она называется "сейчас пекарь расскажет стоматологу, как отрегулировать опережение зажигания двухтактного дизельного мотора с помощью гугла и википедии"
а я ведь ждала продолжения... тоже обожаю эту тему...
Luvilla вне форума Ответить с цитированием
Непрочитано 23.05.2019, 02:40
#32
Kent78rus
Windsurfer

 
Location: Питер
Weight: 96 kg.
Благодарностей: 2
Цитата:
Сообщение от Luvilla Посмотреть сообщение

Несколько лет назад на одном уважаемом форуме я сподвиглась черкнуть небольшой обзорчик по взломам
Ахрунг: многа букафф! ссылка: http://vbsupport.org/forum/showpost....49&postcount=5
движок там такой же, как здесь, если захотите читнуть весь топик - найдёте, куда нажать, но там особо читать нечего, в той теме

Суть (для тех, кто ниасилил)
Смахивает на вольный пересказ какого нибудь "творения", вроде этого :
Миниатюры
Нажмите на изображение для увеличения
Название: hacking-for-dummies-kevin-beaver-freelibros.jpg
Просмотров: 438
Размер:	80.8 Кб
ID:	49167  
Kent78rus вне форума Ответить с цитированием
Непрочитано 23.05.2019, 02:41
#33
Kent78rus
Windsurfer

 
Location: Питер
Weight: 96 kg.
Благодарностей: 2
Вообще тема обещает перерасти в срач, посему удаляюсь.
Kent78rus вне форума Ответить с цитированием
Непрочитано 23.05.2019, 11:00
#34
Alagert
Windsurfer

 
Location: СПб
Weight: 73 kg.
Благодарностей: 6
Цитата:
Сообщение от skat Посмотреть сообщение
Оооо! Похоже начинается моя любимая стадия в обсуждении! Она называется "сейчас пекарь расскажет стоматологу, как отрегулировать опережение зажигания двухтактного дизельного мотора с помощью гугла и википедии"
Только давайте определимся кто пекарь, стоматолог и прочее. А то смахивает на глухого с немым, вон кулхацкеры подтянулись.
Про меня вот тут почитать можно: https://www.linkedin.com/in/andrey-tsvetkov-9b771637/
Alagert вне форума Ответить с цитированием
Непрочитано 23.05.2019, 11:28
#35
Skiminok
Windsurfer

Аватар для Skiminok
 
Sail Number: 100
Club: SlalomFM
Location: Москва, Дахаб
Weight: 100+ (( kg.
Благодарностей: 455
Изображений: 4
Резюме замечательное, однако к теме разговора особо отношения не имеет.
Из вышеизложенного я так и не понял, каким образом кто-то может получить доступ к драгоценным паролям Alagert и Kent78rus, если доступ к raceyou.ru будет осуществляться по http, а не https.
Skiminok вне форума Ответить с цитированием
Непрочитано 23.05.2019, 11:52
#36
Alagert
Windsurfer

 
Location: СПб
Weight: 73 kg.
Благодарностей: 6
Цитата:
Сообщение от Skiminok Посмотреть сообщение
Резюме замечательное, однако к теме разговора особо отношения не имеет.
Из вышеизложенного я так и не понял, каким образом кто-то может получить доступ к драгоценным паролям Alagert и Kent78rus, если доступ к raceyou.ru будет осуществляться по http, а не https.
https://md5.gromweb.com/?md5=482c811...497ffa98491e38
про rainbow tables продолжать? или у кулхацкера спросите?

В коде выше я даже соли не вижу при хешировании. За сим удаляюсь я из этого треда.
Alagert вне форума Ответить с цитированием
Непрочитано 23.05.2019, 11:57
#37
VVishen
Windsurfer

 
Благодарностей: 18
Цитата:
Сообщение от Alagert Посмотреть сообщение
https://md5.gromweb.com/?md5=482c811...497ffa98491e38
про rainbow tables продолжать? или у кулхацкера спросите?
Вроде как в vbulletin используются соленные хеши.
VVishen вне форума Ответить с цитированием
Непрочитано 23.05.2019, 12:03
#38
Alagert
Windsurfer

 
Location: СПб
Weight: 73 kg.
Благодарностей: 6
Цитата:
Сообщение от VVishen Посмотреть сообщение
Вроде как в vbulletin используются соленные хеши.
по уму должен, мне лень лезть внутрь исходников, смотреть что конкретно делает функция md5hash() у них.

Но даже если так, соль из кода точно так же достать можно. а дальше или по таблицами или вот к этим ребятам https://github.com/xpn/CUDA-MD5-Crack
Alagert вне форума Ответить с цитированием
Непрочитано 23.05.2019, 12:12
#39
VVishen
Windsurfer

 
Благодарностей: 18
Цитата:
Сообщение от Alagert Посмотреть сообщение
по уму должен, мне лень лезть внутрь исходников, смотреть что конкретно делает функция md5hash() у них.

Но даже если так, соль из кода точно так же достать можно. а дальше или по таблицами или вот к этим ребятам https://github.com/xpn/CUDA-MD5-Crack
А наличие соли делает радужные таблицы бесполезными.
VVishen вне форума Ответить с цитированием
Непрочитано 23.05.2019, 12:32
#40
Alagert
Windsurfer

 
Location: СПб
Weight: 73 kg.
Благодарностей: 6
Цитата:
Сообщение от VVishen Посмотреть сообщение
А наличие соли делает радужные таблицы бесполезными.
верно, а реверсы на gpu справляются и с солеными хешами.

Я может чего нить не понимаю, но соли я тут не вижу:
Цитата:
function md5hash(B,A,E,C){
if(navigator.userAgent.indexOf("Mozilla/") == 0 && parseInt(navigator.appVersion) >= 4){
var D=hex_md5(str_to_ent(trim(B.value)));
A.value=D;
if(E){
D=hex_md5(trim(B.value));
E.value=D
}
if(!C){
B.value=""
}
}
return true
};
Alagert вне форума Ответить с цитированием
Непрочитано 23.05.2019, 12:36
#41
VVishen
Windsurfer

 
Благодарностей: 18
Цитата:
Сообщение от Alagert Посмотреть сообщение
верно, а реверсы на gpu справляются и с солеными хешами.

Я может чего нить не понимаю, но соли я тут не вижу:
Соли нет, дыра в безопасноти

vb_login_username=VVishen&vb_login_md5password=81d c9bdb52d04dc20036dbd8313ed055
хеш: 81dc9bdb52d04dc20036dbd8313ed055
реверс хеша: 1234 мой временный пароль :)
VVishen вне форума Ответить с цитированием
Непрочитано 23.05.2019, 13:32
#42
Alagert
Windsurfer

 
Location: СПб
Weight: 73 kg.
Благодарностей: 6
Прикольно, я нашел исходники версии 4.2.2, это 2013 год, думал с того времени починили уже. Ан нет.

Вот skat и Skiminok полюбуйтесь.
Alagert вне форума Ответить с цитированием
Непрочитано 23.05.2019, 13:45
#43
VVishen
Windsurfer

 
Благодарностей: 18
Цитата:
Сообщение от Alagert Посмотреть сообщение
Прикольно, я нашел исходники версии 4.2.2, это 2013 год, думал с того времени починили уже. Ан нет.

Вот skat и Skiminok полюбуйтесь.
А если когда-то были хеши без соли, то бесшовно включить соль уже не получится
VVishen вне форума Ответить с цитированием
Непрочитано 23.05.2019, 14:27
#44
skat
windsurfer

Аватар для skat
 
Club: Лаборатория X-16
Location: Новороссийск
Weight: 76 kg.
Благодарностей: 164
Записей в блоге: 25
Изображений: 3146
Цитата:
Сообщение от Alagert Посмотреть сообщение
Вот skat и Skiminok полюбуйтесь.
Я знаю только html + css, на ваши последние посты я смотрю, как баран на нло
skat вне форума Ответить с цитированием
Непрочитано 23.05.2019, 15:49
#45
lalex
winduser

Аватар для lalex
 
Club: Летающие болотоходцы
Location: Казантип, в Москве зимую
Weight: ~60 kg.
Благодарностей: 333
Да все как обычно, перепалка и троллинг ))
lalex вне форума Ответить с цитированием
Ответ

Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

 


Часовой пояс GMT +3, время: 13:52.


Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. Перевод: zCarot