| Poster |
Message |
 Jutulind
|
 Foorum & turvalisus
Olin mina tööl tulemüüri taga ja jälgisin juhtumisi http connectioneid. Järsku käis sealt läbi www.tqhq.ee .. Nägin kuis töökaaslane sisse logis ja voila - esimeses päringus oli ka tema parool plaintextina nähtav ... Nii ei saa, ei tohi ja ei ole ilus kah. Newt ... kas sa ei tahaks äkki parooli enne päringusse saatmist MD5-ga hashida ja võrdlust selle vastu teha ?
____________________________
Team OUTLAW
'80 Jeep Wagoneer 258 cid R6 4 spd manual
'79 Jeep Wagoneer 360 cid V8 TH400
'06 Fiat Panda 4x4 |
| 09.10.2003 at 21:16 |
Last edited 09.10.2003 at 21:16 by Jutulind
|
newton
 Moderator |
 Foorum & turvalisus
Nii saab, nii tohib, ilus tõesti pole. Kenam oleks tõepoolest näiteks nii baasi kui cookie'sse panna hash. Kunagi oli mingi plaan seda osa ümber teha, sh. lisada meili teel aktiveerimine ja lost password featuur, aga läks nagu alati, st. oli ka muud teha.
Aga kui palju turvalisemaks see reaalselt midagi teeks? Sina saaks hashi sama moodi välja sniffida ja siis hakata seda ise foorumile edastama ja saaksid täpselt sama moodi kellegi useri ära varastada.
Ainuke vahe on see, et sa passwordi ennast teada ei saa, st. kui keegi talitab nii mõtlematult, et kasutab foorumi passwordi ka kuskil mujal, siis oleks see "kuskil mujal" hashi korral paremini kaitstud kui praegu. Või ma eksin? |
| 09.10.2003 at 21:36 |
|
vvt
 |
Foorum & turvalisus
võib-olla oT, aga praegu just avastasin, et välja logida ei saa... |
| 09.10.2003 at 22:09 |
|
newton
Moderator |
Foorum & turvalisus
on jah OT, aga kui on vaja välja logida ja muidu ei saa, siis cookie'de kustutamine aitab. Kui sellega on mingi probleem, siis pane priva peale. |
| 09.10.2003 at 22:20 |
|
Jutulind
|
Foorum & turvalisus
quote:
newton:st. kui keegi talitab nii mõtlematult, et kasutab foorumi passwordi ka kuskil mujal, siis oleks see "kuskil mujal" hashi korral paremini kaitstud kui praegu. Või ma eksin?
Ei, Sa ei eksi ... Aga probleem sellisel kujul ei ole ainult sniffimises vaid ka elementaarses historys. Sniffivad advanced vennad ( ok ... ka kiddied aga mitte nii tihti ) aga historyt oskab mu noorem õde ka vaadata. Ja kui ma tõesti kasutangi seda parooli veel paaris kohas ( igale poole uue parooli meelde jätmine väsitab ju ...  ) siis ka need talle valla ...
____________________________
Team OUTLAW
'80 Jeep Wagoneer 258 cid R6 4 spd manual
'79 Jeep Wagoneer 360 cid V8 TH400
'06 Fiat Panda 4x4 |
| 10.10.2003 at 00:58 |
|
ats
|
Foorum & turvalisus
Selleks, et historyst näha poleks, tuleb lihtsalt login formil submit method get asemel postiks panna. Aga, et salasõna üldse näha ei oleks aitab ainult https ning ametlik sert maksab raha ja isetehtud on tüütu. |
| 10.10.2003 at 09:00 |
|
smr
|
Foorum & turvalisus
no isetehtud serdi saab ju kasutaja masinasse salvestada, nii et järgmistel kordadel ei pea ta enam seda pop uppi nägema ju?? |
| 10.10.2003 at 09:13 |
|
newton
Moderator |
Foorum & turvalisus
Hostija hinnakirjast on näha, et HTTPS-i meie pakett ei toeta ja IMHO oleks see vast overkill ka, ei tule nagu ette ühtegi foorumit, mis HTTPS'i peal käiks.
GET oli my bad, selle muutsin praegu ära ja sisse-välja logimine vähemalt minu jaoks töötab hästi, nii Firebird 0.6.1 kui ka IE 6-ga.
Hashimise teema loeme to-do listis kergitatuks
|
| 10.10.2003 at 09:32 |
|
tfr
|
Foorum & turvalisus
quote:
newton: Hashimise teema loeme to-do listis kergitatuks
Kliendi poole peal hashimine tähendab seda, et sisselogimiseks peab kasutajal JavaScript sisse lülitatud olema. Enamusel kindlasti on, aga kindlasti leidub ka paranoide, kes leiavad, et JS on üks neist saatanast olevatest asjadest. Ja kui ülejäänud süsteem seda ei kasuta, on narr seda ainult sisselogimise jaoks nõuda.
Tegelt võib muidugi nii teha, et server kontrollib passwordi nii plainteksti kui hashi vastu - siis jäävad JavaScripti väljalülitanud tegelased lihtsalt sellest tilgast lisasecurity-st ilma.
S.t. et teed sinna formil onSubmit() evendi ja seal sees keerad passwordi väärtuse tema MD5-ks. Serveri poole peal teed päringu tüüpi WHERE username='$username' and (password='$password' or password=md5('$password')). Peaks toimima.
Meil oli firmas just ühe oma süsteemi üle täpselt seesama ususõda.  |
| 10.10.2003 at 12:11 |
Last edited 10.10.2003 at 12:11 by tfr
|
jaanus
|
Foorum & turvalisus
minu eksperthinnang sellele "turvaprobleemile" =
täiesti ükskõik, kuidas seda parooli siin solgutatakse. |
| 10.10.2003 at 13:47 |
|
5.0
|
Foorum & turvalisus
minul on küll iga ja seega ka selle foorumi, jaoks ainulaadne salasõna |
| 10.10.2003 at 17:01 |
|
gretzky
Moderator |
Foorum & turvalisus
quote:
kes leiavad, et JS on üks neist saatanast olevatest asjadest.
Vot sellisel juhul saadaks sellised kõvapead aastasse 1985, las mõnulevad.
aga see, "or md5(pws)" on päris hea idee.
Kui minna vähemuse arvestamisele, siis võib mõnel cookie ka ära keelatud olla, alles hiljuti oli turvateemaks, ja esimene asi lõi mul pähe, et
nägemist tqhq.
____________________________
Dodge Ram 5.7 hemi '04 - rebuild
Ford Mustang '05
Jeep Grand Cherokee '08 |
| 10.10.2003 at 18:16 |
Last edited 10.10.2003 at 18:20 by gretzky (Moderator)
|
ats
|
Foorum & turvalisus
JS cryptist kliendi masinas on kasu ainult siis kui see muutub ehk server saadab formi random key, millega salasõna ära cryptitakse ning siis vaatab, kas serveri pool on kahe asja (random key, mis on sessionis ja pwd) crypti tulemus sama. Kui on lihtsalt on crypt, siis pole mitte mingit vahet - sniffid crypti tulemuse ja saadad selle vormi salasõnaks minema - mingit vahet pole, kas lahtine või md5
Aga tegemist on siiski foorumi, mitte pangaga |
| 11.10.2003 at 00:42 |
|
PlyVal64
|
Foorum & turvalisus
quote:
ats: Aga tegemist on siiski foorumi, mitte pangaga
Seda ma ka siin püüan lugeda ja mingeid ulmesõnu kokku veerida. Mina võiks oma salasõna rahumeeles ka avalikustada, see küll mingit muret ei valmista. Ja ma usun, et keegi normaalne inimene seda ka kurjasti ära ei kasuta. Vast jah, ainult pangakoodid jätaks oma teada, kuid vajadusel saab hea sõber ka need minult. "Salaja ja teki all" ... nigut Rummu pätibande oleks |
| 11.10.2003 at 10:33 |
|
