Portál AbcLinuxu, 6. května 2025 11:51

Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

Vložit další komentář
2.6.2013 10:08 NN
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
Odpovědět | Sbalit | Link | Blokovat | Admin
K cemu je takova informace, kdyz se clovek vlastne ani nedozvi, jaky 3rd party sofrtware je deravy..
2.6.2013 12:20 J
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
Tak je nechte..
Si chcou taky uzit toho exploitu.. ;)
2.6.2013 12:34 gnat
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
Odpovědět | Sbalit | Link | Blokovat | Admin
Nechápu ten reset hesel. To je mají uložená ? To ještě dneska někdo dělá ?
Max avatar 2.6.2013 12:44 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
Já spíš nechápu tebe. Ty si snad myslíš, že jsou osolený hashe neprolomitelný?
Zdar Max
Měl jsem sen ... :(
2.6.2013 17:48 gnat
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
ano, myslím si, že pokud nepoužiju SHA1, tak je nalezení kolize dostupnými prostředky neproveditelné
mikirc avatar 2.6.2013 18:23 mikirc | skóre: 19 | blog: MikiSoft | Vsetín
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
vis jak se rika, myslet znamena hov...
Byl jednou jeden...
Max avatar 2.6.2013 23:45 Max | skóre: 72 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
Myslet si můžeš, co chceš, realita je bohužel trochu někde jinde ;-)
Zdar Max
Měl jsem sen ... :(
mikirc avatar 2.6.2013 14:27 mikirc | skóre: 19 | blog: MikiSoft | Vsetín
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
No ja bych spise uzivatelum napsal at si resetuji hesla vsude, kde pouzili to same jak u nich. Precejenom kazdy nema vsude jine heslo. Ano banka, PC, paypal a podobne dulezite, ma normalni clovek jine heslo, ale na nejake portaly davat pokazde jine, to by se jeden zblaznil.
Byl jednou jeden...
Jendа avatar 2.6.2013 15:42 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
Bohužel ano. Nevím o žádném použitelném způsobu autentizace přes HTTP(s), při kterém by se druhé straně neposílalo heslo. Ale to se dá pochopit, asymetrická kryptografie byla vynalezena teprve před 35 lety.
To ještě dneska někdo dělá ?
Jak se přihlašuješ na webové stránky ty?
2.6.2013 17:40 SAM: | skóre: 23 | blog: marsark_linux
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
Shibboleth, eduid.cz a jiné systémy federalizovaných identit
Jendа avatar 2.6.2013 19:39 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
To je něco jako openID, ne? Tam mi může správce identity kompromitovat všechny účty. Sám si identitu spravovat nemůžu, protože nemám důvěryhodný server a tunelovat to z notebooku, který je za desatero firewally, je opruz.

(možná třepu hovadiny, přiznám se, že zas tak moc dobře tomu nerozumím)
2.6.2013 17:50 gnat
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
jak to souvisí s tím, jestli ukládají hesla v plaintextu nebo jen hashe ?
2.6.2013 18:45 adsfds
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
lol, ty uz radsi nic nerikej.
2.6.2013 19:30 ivi
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
samo ze drupal neuklada v plaintexu, konkretne hesla uklada takto:

Napr. moje heslo: $S$DJox9KNdhPS..VCWsfctuvlfGQWnwQwFlbkKmPe/s3THcqLZzTq
2.6.2013 20:16 gnat
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
...a nebojíš se ho publikovat, protože jsi také přesvědčený, že je každému k ničemu. Což mě jen utvrzuje v názoru, že reset hesel byl nesmyslný.
2.6.2013 19:32 ivi
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
este dodam, ze je to v SHA512
Jendа avatar 2.6.2013 19:34 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
Nijak. Jenže když někdo kompromitoval aplikaci, mohl si hesla, která mu uživatelé poslali, protože zapamatovat.
2.6.2013 20:13 gnat
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
Jenže kompromitování Drupalu výslovně popírají. Přiznávají jen přístup k údajům o uživatelích. A i tak by šlo jen o účty, ke kterým se někdo v době napadení přihlásil. IMHO je hash osolenýho hesla bez znalosti saltu nanic. Naopak pokud hesla resetuju, nevím, zda je aplikace kompromitovaná a dělám tomu takovouhle publicitu, tak velikost cílové skupiny s rizikem odchycení vzrůstá.
Jendа avatar 2.6.2013 20:23 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
Nerozumím ti. Nejdřív píšeš, že to popírají, potom, že nevíš, zda je aplikace kompromitovaná.
a dělám tomu takovouhle publicitu, tak velikost cílové skupiny s rizikem odchycení vzrůstá.
Takže je lepší mu těch pár hesel nechat.
4.6.2013 10:05 David Jaša | skóre: 44 | blog: Dejvův blog
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
Nicméně tady vidím sofiinu volbu: buď se heslo neposílá, ale pak ho musí mít každá protistrana v otevřené podobě, je na druhé straně kvalitně osolený hash, ale heslo pak musí cestovat po síti otevřené (resp. tunelované skrz TLS).
oVirt | SPICE
Jendа avatar 4.6.2013 11:30 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Narušení bezpečnosti Drupal.org
Existují pokročilé metody, jako třeba SCRAM, které jsem si pořád ještě nenastudoval :). Ale triviálně si představ protokol, který ti umožní se 100000x přihlásit, aniž by druhá strana znala heslo a aniž by se heslo posílalo:
  • Spočítáš SHA(SHA(SHA(SHA(SHA(SHA(heslo)))))), pošleš službě.
  • Příště se přihlásíš hodnotou SHA(SHA(SHA(SHA(SHA(heslo))))), služba zkontroluje, že SHA(hodnota) je to, co jsi jí předtím poslal.
  • Příště se přihlásíš hodnotou SHA(SHA(SHA(SHA(heslo)))), služba zkontroluje, že SHA(hodnota) je to, co bylo minule.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.