Srodne teme

14.04.2024. Re: Gde je Kejt? (samo pogrešni odgovori)
18.12.2002. Problemcic?
01.06.2004. mysql i naredba CASE
21.10.2004. Jednostavan DELETE
23.01.2005. dataset na osnovu slozenijeg SQL select upita
10.02.2005. Prevod baza u XML
23.10.2005. Želim nulu a ne NULL, kako?
26.10.2005. Subquery plus subquery
14.03.2006. Nemogu proaci gresku u zadatku.Ako ko zna pomagaj..
06.08.2006. Da li se ovo moze resiti upitom?

Navigacija

Brisanje liste

Lista poslednjih: 16, 32, 64, 128 poruka.

Sifra proslednjena na vise od 1000 adresa

[es] :: Advocacy :: Sifra proslednjena na vise od 1000 adresa

[ Pregleda: 2927 | Odgovora: 18 ] > FB > Twit

Autor

notaped

Član broj: 286509
*.ynet.sk.

Profil

Sifra proslednjena na vise od 1000 adresa

^{16.06.2011. u 09:10 - pre 156 meseci}

cao ljudi,
prvo da se unapred izvinim ako sam pogresio podforum, posto ovo nije vezano za elitesecurity forum.

Naime, registrovao sam se u jednoj igri, koja je trenutno u, nazovi, pre-beta fazi.
Danas sam dobio cudan mail, koji je pocinjao mojim korisnickim imenom i lozinkom. Odmah posle toga mi je stigao jos jedan mail, u kojem mi se izvinjavaju na neprijatnostima i prosledjuju mi novu sifru, uz napomenu da je moj mail "mogla" da vidi "3rd party", posto su mi oni(administratori ili kako vec da ih nazovem), jel, ulazili u nalog i sasvim slucajno prekopirali moju email adresu i lozinku u sam sadrzaj maila, koji je proslednjen svim ljudima registrovanim na sajtu(circa 1000:)).
mene zanima sledece:
da li oni imaju pravo da skladiste sifre bez neke enkripcije?
da li ja mogu negde(nekome) da prijavim ovaj sajt? Kompanija je registrovana u Rumuniji ili SAD, nisam siguran...
da li ima smisla da bilo sta radim(osim menjanja sifri na 70% sjatova, na kojima sam registrovan....)

hvala
cao :)

Odgovor na temu

X Files
Vladimir Stefanovic
Pozarevac

SuperModerator
Član broj: 15100
Poruke: 4902
212.200.65.*

Jabber: xfiles@elitesecurity.org

+638 Profil

Re: Sifra proslednjena na vise od 1000 adresa

^{16.06.2011. u 09:24 - pre 156 meseci}

Zanimljiva tema:
Cemu-sluzi-belezenje-lozinki-kriptovanom-obliku-pomocu-hes-funkcija
http://www.elitesecurity.org/t418405

Ja sam ubedjen da je ta enkripcija neophodna zbog administratora tog sistema (a ne nekih 3rd party lica) koji bi umeo da na ovaj ili onaj nacin zloupotrebi otvoreni oblik passworda.

Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.dynamic.sbb.rs.

Sajt: angelstudio.org

+392 Profil

Re: Sifra proslednjena na vise od 1000 adresa

^{16.06.2011. u 09:52 - pre 156 meseci}

@notaped

Imaju pravo da skladište šifre bez enkripcije. Problem je što je admin zeznuo stvari, izvinjavaju ti se i daju novi pass, to je sve. Da ih tužiš mislim da ne možeš.
Ti koristiš jednu šifru na 70% sajtova? To je najgluplje što može da se uradi! U svakom slučaju, moraš šifre da promeniš (nemoj samo da kažeš da je isti username svuda takodje! Svako ko ti googluje username te je u*ebo onda skroz)

@X-Files

Ajd da koriste nešto što u čemu ne može da se nadje kolizija, nego svi koriste MD5, tako da tvoja teorija pada u vodu.

Odgovor na temu

Dejan Lozanovic
Dejan Lozanovic
Beograd

Član broj: 691
Poruke: 2325
*.dta.co.rs.

Jabber: null@elitesecurity.org
Sajt: speedy-order.com

+75 Profil

Re: Sifra proslednjena na vise od 1000 adresa

^{16.06.2011. u 10:23 - pre 156 meseci}

Citat:

bojan_bozovic:
Ti koristiš jednu šifru na 70% sajtova? To je najgluplje što može da se uradi!

Hmm stvarno , za neki junk site koji mi je trazio da se logujem kako bi mogao da pristupim nekim podacima treba sad da smisljam novu lozinku ? Ti moras da se salis, ono sto je vaznije, tamo svuda imam jedinstvenu lozinku a za ovu svakodnevnu buraniju gde i da mi uzmu sifru ne brine me koristim jednu te istu sifru....

http://speedy-order.com

Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.dynamic.sbb.rs.

Sajt: angelstudio.org

+392 Profil

Re: Sifra proslednjena na vise od 1000 adresa

^{16.06.2011. u 10:48 - pre 156 meseci}

Sajt igre koju igraš već nije junk site, junk site je nešto drugo. Ako ti neko upadne u nalog može da napravi problem, bar da popiješ ban u toj igri, a sve je mnogo ozbiljnije ako su tu tvoji lični podaci. Junk site je npr. neki sajt koji traži free registraciju, često bez razloga, i koji pitanje je hoćeš li uopšte ponovo da posetiš. Igrao sam igre online, plaćao sam karticom online, i to činim još uvek, da mi sad neko upadne na nalog koji trenutno ne koristim, a gde su moji podaci jer sam plaćao karticom, uopšte mi ne bi bilo prijatno.

Poz.

_{[Ovu poruku je menjao bojan_bozovic dana 16.06.2011. u 11:58 GMT+1]}

Odgovor na temu

EArthquake

Član broj: 20684
Poruke: 884
*.dynamic.sbb.rs.

+67 Profil

Re: Sifra proslednjena na vise od 1000 adresa

^{16.06.2011. u 12:23 - pre 156 meseci}

Citat:

bojan_bozovic: @notaped

@X-Files

Ajd da koriste nešto što u čemu ne može da se nadje kolizija, nego svi koriste MD5, tako da tvoja teorija pada u vodu.

kolko puta treba da ponovim , postojanje collision napada na MD5 nema ama bas nikakvog uticaja na koriscenje istog za slkadistenje lozinki

collision napad: nadji dve proizvoljne poruke koje imaju isti hash (to mu dodje kao birthday attack)

ono sto bi bilo interesantno je first preimage napad ili ti za dati hash dodji do pocetne poruke, a za MD5 ne postoji _praktican_ napad te vrste
cak ne postoji ni second preimage napad , koji predstavlja nalazenje proizvoljne poruke koja ima trazeni hash (suptilna ali jako bitna razlika od collision napada)
i jos jednom , glavni problem MD5 hasheva za cuvanje lozinki je 1) brzina kojom se izvrsava i 2) rasirenost rainbow tabela

e sad , sto se tice nesretnog slucaja clana notaped
mislim da jako lepo oslikava ono sto smo raspravljali na temi o hashiranju lozinki

a notaped, sta da radis , desavaju se greske ...

Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.dynamic.sbb.rs.

Sajt: angelstudio.org

+392 Profil

Re: Sifra proslednjena na vise od 1000 adresa

^{16.06.2011. u 12:31 - pre 156 meseci}

Nije ti potreban preimage napad, jer ako u bazi nema lozinke već hasha, ako uneseš drugu lozinku koja ima isti hash prolaziš. Kako će serverside softver da uporedi lozinke ako u bazi nema uopšte lozinke? Uporedjuje se onda samo hash. Ono što priznajem onda prepreka može da bude je preduga lozinka, ili provera da ista nema u sebi neameričke znakove - svašta rade, ali onda imaš rešenje br.2, a to je bruteforce. Ljudi mahom ne koriste duge lozinke.

Odgovor na temu

mulaz
Ljubljana

Član broj: 47602
Poruke: 2239
212.235.185.*

Jabber: mulaz@elitesecurity.org
Sajt: www.mulaz.org

+184 Profil

Re: Sifra proslednjena na vise od 1000 adresa

^{16.06.2011. u 12:42 - pre 156 meseci}

Citat:

bojan_bozovic: Nije ti potreban preimage napad, jer ako u bazi nema lozinke već hasha, ako uneseš drugu lozinku koja ima isti hash prolaziš. Kako će serverside softver da uporedi lozinke ako u bazi nema uopšte lozinke? Uporedjuje se onda samo hash.

Možda bi bio bolji bruteforce, jer ljudi ne koriste preduge lozinke, kad imaš hash.

E zato imas salt :) Neku sifru koja stoji samo na serveru, i onda ti racunas md5(salt|sifra). Ako je salt duzi od hasha, sanse za pronalazenje passworda se jos umanjuju :)

*oznaka "|" oznacava 'konkatenaciju' (ne znam prave reci na nijednom drugom jeziku osim engleskog), znaci: salt=SALT123 i sifra=PASS123, onda racunas md5(SALT123PASS123)

Bolje ispasti glup nego iz aviona
http://www.mulaz.org/

Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.dynamic.sbb.rs.

Sajt: angelstudio.org

+392 Profil

Re: Sifra proslednjena na vise od 1000 adresa

^{16.06.2011. u 12:45 - pre 156 meseci}

@mulaz

Da, jasno mi je, sad, ali jesi li siguran da se koristi salt ili ne? Kako nije tvojh server i nije tvoj softver, ne možeš da budeš siguran. Ako je problem nekome da koristi SHA1, nisam siguran da koristi salt uopšte.

Radi se o sledećem, ako neka budala dodje do tvojih ličnih podataka, pojma nemaš šta može da se desi, čak i ako se o običnoj igri radi. Samo pročitaj ovu horor priču.

http://articles.nydailynews.co..._stabs-man-knife-virtual-world

Ludak ga je šest meseci tražio, da dodje do njegovih podataka i pokuša da ga ubije.

Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..

+655 Profil

Re: Sifra proslednjena na vise od 1000 adresa

^{16.06.2011. u 12:49 - pre 156 meseci}

Ja i dalje ne vidim kako to silno pomaze nekome ko sajt napada od spolja to da li ima kolizija u hash-u, sve i da nema salt-a? Isti djavo i dalje mora da brute force-uje. Ako je sajt iole ozbiljno uradjen posle 10 ili 100 pokusaja ce blokirati taj IP - i mir u kuci.

Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'

Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.dynamic.sbb.rs.

Sajt: angelstudio.org

+392 Profil

Re: Sifra proslednjena na vise od 1000 adresa

^{16.06.2011. u 12:55 - pre 156 meseci}

Ako mu je poznat hash a nema salta, dovoljno je da koristi MD5 na passwordima (možda da počne sa aa ili aaa) i hashove koje dobija uporedjuje sa onim hashom koji ima. Sa saltom bi bilo drugačije, priznajem, i ako je lozinka duža. Tek ako nadje pass koji ima isti hash pokušava login, ako ne nadje, ništa.

Odgovor na temu

nkrgovic
Nikola Krgović
Beograd

Član broj: 3534
Poruke: 2807

ICQ: 49345867
Sajt: https://www.twinstarsyste..

+655 Profil

Re: Sifra proslednjena na vise od 1000 adresa

^{16.06.2011. u 13:17 - pre 156 meseci}

Kako mu je poznat hash - ako hash stoji na serveru? Mislim, AKO neko uhakuje server i moze da dodje do svih hash-eva, moze da dodje do jos mnogo toga vrednijeg... :)

Please do not feed the Trolls!

Blasphemy? How can I blaspheme? I'm a god!'

Odgovor na temu

Dejan Lozanovic
Dejan Lozanovic
Beograd

Član broj: 691
Poruke: 2325
*.dta.co.rs.

Jabber: null@elitesecurity.org
Sajt: speedy-order.com

+75 Profil

Re: Sifra proslednjena na vise od 1000 adresa

^{16.06.2011. u 13:21 - pre 156 meseci}

Citat:

bojan_bozovic: Sajt igre koju igraš već nije junk site, junk site je nešto drugo. Ako ti neko upadne u nalog može da napravi problem, bar da popiješ ban u toj igri, a sve je mnogo ozbiljnije ako su tu tvoji lični podaci. Junk site je npr. neki sajt koji traži free registraciju, često bez razloga, i koji pitanje je hoćeš li uopšte ponovo da posetiš. Igrao sam igre online, plaćao sam karticom online, i to činim još uvek, da mi sad neko upadne na nalog koji trenutno ne koristim, a gde su moji podaci jer sam plaćao karticom, uopšte mi ne bi bilo prijatno.

Poz.

_{[Ovu poruku je menjao bojan_bozovic dana 16.06.2011. u 11:58 GMT+1]}

Nesto gde ide moja kreditna kartica nije junk site. Ali raznorazni forumi po netu koji traze da imas account kako bi mogao recimo attacment da skines jesu junk site i tu su svu iste lozinke.

http://speedy-order.com

Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.dynamic.sbb.rs.

Sajt: angelstudio.org

+392 Profil

Re: Sifra proslednjena na vise od 1000 adresa

^{16.06.2011. u 13:31 - pre 156 meseci}

@nkrgovic

Citat od X-Files

Citat:

Zanimljiva tema:
Cemu-sluzi-belezenje-lozinki-kriptovanom-obliku-pomocu-hes-funkcija
http://www.elitesecurity.org/t418405

Ja sam ubedjen da je ta enkripcija neophodna zbog administratora tog sistema (a ne nekih 3rd party lica) koji bi umeo da na ovaj ili onaj nacin zloupotrebi otvoreni oblik passworda.

--------------------------------------------------------------------------------

Ja samo branim svoje mišljenje da je ipak potrebna sigurna hash funkcija.

@dejan lozanović

Pa zašto bi onda gaming site bio drugačiji? Hajd' da vidimo čovek je napravio nalog u beta fazi. Zašto bi se neko mučio sa bagovima, i u slučaju svih online igara, brisanjem svog progresa nakon završetka beta faze, ako mu to nije važno? Nema logike.

Odgovor na temu

mulaz
Ljubljana

Član broj: 47602
Poruke: 2239
212.235.185.*

Jabber: mulaz@elitesecurity.org
Sajt: www.mulaz.org

+184 Profil

Re: Sifra proslednjena na vise od 1000 adresa

^{16.06.2011. u 14:23 - pre 156 meseci}

Citat:

nkrgovic: Kako mu je poznat hash - ako hash stoji na serveru? Mislim, AKO neko uhakuje server i moze da dodje do svih hash-eva, moze da dodje do jos mnogo toga vrednijeg... :)

Pa i sam md5 se koristi zato da se ne cuva password u cleartextu na serveru, i onda svi poceli o kolizijama, a tu pomaze salt.

Citat:

bojan_bozovic: Ako mu je poznat hash a nema salta, dovoljno je da koristi MD5 na passwordima (možda da počne sa aa ili aaa) i hashove koje dobija uporedjuje sa onim hashom koji ima. Sa saltom bi bilo drugačije, priznajem, i ako je lozinka duža. Tek ako nadje pass koji ima isti hash pokušava login, ako ne nadje, ništa.

Da, ali ako ne znas duzino salta onda mozes od 'a' do passworda duzine 100, 200,...n slova, i jos nisi siguran, pa tek onda da pronadjes sta je salt a sta password.

Inace za md5 se cesto koriste rainbow tabele koje jako skracuju brute-force, i koje postoje za 'kratke' passworde, a za duge ne :) (odnosno, mogu da se naprave, ali rainbow tabele za password duzine 100 simbola bi bile ogromne :))

E sad... i sony je (kako se prica) cuvao passworde u cleartextu, znaci da to ne vazi samo za beta igrice... ali zna se kako je sony prosao tu :)

Bolje ispasti glup nego iz aviona
http://www.mulaz.org/

Odgovor na temu

maksvel

Član broj: 107376
Poruke: 2417

Jabber: maksvel
Sajt: maksvel.in.rs

+161 Profil

Re: Sifra proslednjena na vise od 1000 adresa

^{16.06.2011. u 15:44 - pre 156 meseci}

Pa dobro, bar su korisnicima mogli da pošalju lozinku ako je zaborave, bez da prave novu

Odgovor na temu

EArthquake

Član broj: 20684
Poruke: 884
*.dynamic.sbb.rs.

+67 Profil

Re: Sifra proslednjena na vise od 1000 adresa

^{16.06.2011. u 16:10 - pre 156 meseci}

Citat:

bojan_bozovic: Nije ti potreban preimage napad, jer ako u bazi nema lozinke već hasha, ako uneseš drugu lozinku koja ima isti hash prolaziš. Kako će serverside softver da uporedi lozinke ako u bazi nema uopšte lozinke? Uporedjuje se onda samo hash. Ono što priznajem onda prepreka može da bude je preduga lozinka, ili provera da ista nema u sebi neameričke znakove - svašta rade, ali onda imaš rešenje br.2, a to je bruteforce. Ljudi mahom ne koriste duge lozinke.

a ja ti idalje tvrdim da za MD5 ne postoji TA vrsta kolizija

postoji napad kojim mozes da generises dve proizvoljne poruke koje daju isti hash , a ne da na osnovu poznatog hash-a izgenerises drugu poruku koja daje isti hash

po poslednji put POSTOJANJE KOLIZIJA NE UTICE NA SIGURNOST HASH FUNKCIJA PRI CUVANJU LOZINKI , kao sto ne utice ni na HMAC

razjasni terminologiju

jednostavno , da bi mogao da zloupotrebis koliziju , moras da imas kontrolu nad ulaznim podacima

i , salt sluzi jedino odbrani od rainbow tabela , ne i od bruteforce napada i nema ama bas nikakve veze s kolizijama

sa druge strane , slazem se , ne treba danas koristiti MD5 definitivno
samo hocu da razjasnim ovo gore, jer sam na Kriptografija forumu pominjao vec nekoliko puta

Odgovor na temu

bojan_bozovic

Član broj: 29028
Poruke: 3292
*.dynamic.sbb.rs.

Sajt: angelstudio.org

+392 Profil

Re: Sifra proslednjena na vise od 1000 adresa

^{16.06.2011. u 16:37 - pre 156 meseci}

@earthquake

Sad mi je jasno, hvala!

Odgovor na temu

EArthquake

Član broj: 20684
Poruke: 884
*.dynamic.sbb.rs.

+67 Profil

Re: Sifra proslednjena na vise od 1000 adresa

^{16.06.2011. u 16:39 - pre 156 meseci}

nema na cemu , drago mi je da smo se razumeli

btw, jako lep Q&A o kolizijama:
http://web.archive.org/web/200...yptography.com/cnews/hash.html

Odgovor na temu

[es] :: Advocacy :: Sifra proslednjena na vise od 1000 adresa

[ Pregleda: 2927 | Odgovora: 18 ] > FB > Twit

Srodne teme

27.12.2006. problem sa upitom baze
08.11.2006. Select upit - hitno!!!
26.06.2007. [Outlook 2007] Slanje email na vise adresa
16.02.2008. kako poslati email na vise adresa
03.05.2008. Sifra na arhivi (winrar)
14.06.2009. Problem sa inner join upitom
25.09.2009. Spajanje dve tabele u jednu
05.05.2010. Forma html i PHP
11.05.2011. kako izabrati sliku

Navigacija

Lista poslednjih: 16, 32, 64, 128 poruka.