Mine sisusse
Otsi siit
  • Rohkem valikuid...
Otsi tulemusi mis sisaldab...
Otsi tulemusi...
Külaline kvann

HOIATUS: Ka sinu paroolid võivad olla valedes kätes.

Soovitatud postitused

Külaline kvann

Viimasest korrast, kui ma SA-MP alafoorumis mõne serveri osas sõna võtsin, on möödas juba päris hulk aega. Olen end tagasi hoidnud, kuid eile juhtus midagi, mis ületas igasugused eetilisuse piirid. Et saaksite aru, kui jõhkra privaatsuse rikkumisega tegemist on, lähen otsaga eilsesse päeva, kus liikvele läksid erinevad täiesti SA-MPivälised tekstid, mis olid saadetud Facebooki privaatsõnumitena.

 

Taipasin kontrollida, kust on minu Facebooki kontosse sisse logitud ning nägin seda, mida arvata oligi: Minu kontot on kasutatud kasutatud täiesti võõrast seadmest, täpsemalt Paidest. Tegin Imperial Roleplay foorumi kaudu IP kontrolli, tulemused on järgmised:

 

A5xXRah.png8Ezmezz.png

(Mõlema sisselogimise IPd olid samad.)

 

Lasin kontrollida ka kahe teise serveri administraatoritel: Üks kahest andis sama tulemuse, teine mitte midagi. Pärast seda hakkasin mõtlema, kust sai kasutaja dOn. minu parooli. Taipasin, et isik oli omal ajal Sarmo Roleplay sAdministraator ning Sarmo RP kasutas PlayON mängumoodi. PO GM aga kasutab paroolide kaitsmiseks MD5 algoritmi, mille tagasipööramine käib teatud veebilehtedel sekunditega. Kombineerides sealt saadud parooli foorumikasutaja registreerimiseks kasutatud e-mailiga, sai dOn. minu Facebooki sisselogimisandmed.

 

Jah, taipan, et oleksin pidanud enda kontot paremini kaitsma, kasutades mobiilikoodi, kuid see pole antud teema mõte. Teema mõtteks on see, et antud isik kasutab serveri kasutajate paroole nende privaatsuse rikkumise eesmärgil. Kas see mõjutab ka sind? Täiesti võimalik, kuna Sarmo Roleplay oli midagi enamat, kui tavaline keldriserver. See suutis vahelduva eduga üleval püsida väga pika aja ning läbi aegade käisid seda proovimas väga paljud mängijad. Igaüks, kes omas Sarmo Roleplay serveris kasutajat, peaks kindlasti enda paroolid ära muutma, vastasel juhul on serveri juhtidel ligipääs sinu kõikvõimalikele kontodele ning salajastele andmetele.

Muudetud liikme kvann'i poolt

Jaga seda postitust


Postituse link
Share on other sites
Külaline misterx
Author of the topic Postitas

Teiste serverite kohta ei tea, aga Breaking LS salvestab oma paroole sama moodi, olge nendega ka ettevaatlikud.

Jaga seda postitust


Postituse link
Share on other sites
Külaline kvann
Author of the topic Postitas

BLSi puhul on vähemalt omanikud inimesed, kes võtavad asja mõistusega. Siiski, kui andmebaas valede inimeste kätte peaks sattuma, on lood samamoodi halvad.

Jaga seda postitust


Postituse link
Share on other sites
Teiste serverite kohta ei tea, aga Breaking LS salvestab oma paroole sama moodi, olge nendega ka ettevaatlikud.

 

Tundub täpselt, et sul oleks selle serveri või juhtkonna vastu mingi vimm. Enamus playon mängumoodil põhinevad serverid kasutavad sama MD5 encryptingut ja seda muuta pole mingi kunst, 2 minutit ja on asi tehtud koos ucp paroolivahetusega (emaili kinnitusega loomulikult).

 

Aga iseenesest jah, on lollus kasutada kuskil foorumites sama parooli, mis on facebookis või mõnes muus sarnases kohas.


b_560_95_1.png

Jaga seda postitust


Postituse link
Share on other sites
Enamus playon mängumoodil põhinevad serverid kasutavad sama MD5 encryptingut ja seda muuta pole mingi kunst, 2 minutit ja on asi tehtud koos ucp paroolivahetusega (emaili kinnitusega loomulikult).

 

Aga iseenesest jah, on lollus kasutada kuskil foorumites sama parooli, mis on facebookis või mõnes muus sarnases kohas.

 

MD5 ei ole krüpteering. Asi pole mitte selles, kui keeruline seda muuta on vms vaid selles, et seda ei tehta. PlayOn UCP ongi ilgelt haavatav, samamoodi on ka selle modifikatsioon, mis siin foorumis ringi liikus. BLS-i UCP on ka haavatav, aga seal nende haavatavustega midagi tarka teha ei anna, kuna funktsionaalsus praktiliselt puudub.

Jaga seda postitust


Postituse link
Share on other sites
VIP

Mina kui Sarmo RP omanik võin Sarmo kaitseks öelda aind nii palju.

Tal ei olnund mitte kuskilt võimalik saada md5 paroole, selle aja kui Sarmo RP üleval oli sai andmetele ligi ainult 1 inimene ja see ka mina. Algselt kui käisid mingid arendajad sealt läbi (2tk) siis nemadki ei saand ühelegi filele ligi, üks ei saand GMigi näha.

Kui keegi on tõsiselt hüsteerias nüüd, et kus ta kasutab sama parooli mis Sarmo RPs siis jah, PO UCP kasutasime ligi 1 kuu ja peale seda ehitasin uus millel olid igasugused SQL Injectionid ja asjad täiesti võimatud.


Less words, more action!

 

Steam: /id/calabria202

https://sarmo.eu/

Jaga seda postitust


Postituse link
Share on other sites

Ma ei hakka isegi Sinuga vaidlema, kui inglise keel piisavalt oskad siis hakka aga lugema: http://en.wikipedia.org/wiki/MD5

Samas ei saa Sa kindlalt väita, et seda ei tehta - Sa ei ole nende serverite juhtkonnas ega arendaja kohapeal, et teaksid sellist väidet õhku loopida.


b_560_95_1.png

Jaga seda postitust


Postituse link
Share on other sites
Ma ei hakka isegi Sinuga vaidlema, kui inglise keel piisavalt oskad siis hakka aga lugema: http://en.wikipedia.org/wiki/MD5

Samas ei saa Sa kindlalt väita, et seda ei tehta - Sa ei ole nende serverite juhtkonnas ega arendaja kohapeal, et teaksid sellist väidet õhku loopida.

Krüpteering != hashimine. Hash erineb krüpteeritud andmetest selle poolest, et seda on praktiliselt võimatu uuesti loetavaks teha (teoorias). Lisaks hashimisele tuleks kasutada ka igal kasutajal unikaalset salti, mis pannakse hashimisel paroolile lõppu, et kaks sama parooliga kasutajat ei saaks sama hashi.

Üpris kindlalt leiaks ka sealt Sarmo RP UCP-st mõne haavatavuse. Kõik mida ma väidan omab faktilist põhja, selles sa kahtlema ei pea.

 

Jutu point: Paljud inimesed ei oska andmeid ja süsteeme adekvaatselt kaitsta. Kui neile haavatavusest teada andma, hakkavad nad igasugu jama ajama, selle asemel, et see ära parandada. Lisaks sellele usaldavad inimesed oma andmeid (nt. paroole) kahtlastele lehtedele. Ei ole mõtet kasutada sama parooli mitmes kohas. Kui ikka väga lihtsaid rünnakuid ei osata ära hoida (märksõnad SQLi, XSS, CSRF), pole väga viisakas mis-iganes rakendusi kokku keevitada. Samuti võiks paroolid liikuda üle SSL-i.

Jaga seda postitust


Postituse link
Share on other sites

calabria ma kahtlen sinu ucp sql turvalisuses, sest sul puudub programmeerimise osas haridus, mida oleksid omandanud koolis või mõnes muus asutuses.

 

Kõige parem oleks see, kui kõik ei hakkaks nüüd vaidlema selle üle, et mis hash'i, salt'i või krüpteeringut keegi kasutab.

Muudetud liikme Suvaline1'i poolt

Jaga seda postitust


Postituse link
Share on other sites
VIP
calabria ma kahtlen sinu ucp sql turvalisuses, sest sul puudub programmeerimise osas haridus, mida oleksid omandanud koolis või mõnes muus asutuses.

 

Kõige parem oleks see, kui kõik ei hakkaks nüüd vaidlema selle üle, et mis hash'i, salt'i või krüpteeringut keegi kasutab.

Jah tõsi, et pole omandanund seda koolis kuid hetkel on omandamisel. Kui sa nüüd oma silmaringi arendad kuskile kuhu praegu veel arenend pole siis paljud paljud "hackerid"/skripterid ei ole omandanund vaata, et põhiharidust.

Nagu Kvannile ütlesin siis koos salti ja tavalise cyrptiga mis veel pandud md5 nii väga http://www.google.com kaudu md5 decryptimine ei aita.


Less words, more action!

 

Steam: /id/calabria202

https://sarmo.eu/

Jaga seda postitust


Postituse link
Share on other sites
Krüpteering != hashimine. Hash erineb krüpteeritud andmetest selle poolest, et seda on praktiliselt võimatu uuesti loetavaks teha (teoorias). Lisaks hashimisele tuleks kasutada ka igal kasutajal unikaalset salti, mis pannakse hashimisel paroolile lõppu, et kaks sama parooliga kasutajat ei saaks sama hashi.

Üpris kindlalt leiaks ka sealt Sarmo RP UCP-st mõne haavatavuse. Kõik mida ma väidan omab faktilist põhja, selles sa kahtlema ei pea.

 

Jutu point: Paljud inimesed ei oska andmeid ja süsteeme adekvaatselt kaitsta. Kui neile haavatavusest teada andma, hakkavad nad igasugu jama ajama, selle asemel, et see ära parandada. Lisaks sellele usaldavad inimesed oma andmeid (nt. paroole) kahtlastele lehtedele. Ei ole mõtet kasutada sama parooli mitmes kohas. Kui ikka väga lihtsaid rünnakuid ei osata ära hoida (märksõnad SQLi, XSS, CSRF), pole väga viisakas mis-iganes rakendusi kokku keevitada. Samuti võiks paroolid liikuda üle SSL-i.

 

Mõnes mõttes on sul õigus, kuid selleks et neid haavatusi ei tuleks oleks juba mõtekam kasutada frameworki (laravel, fuelphp, phalcon, symfony etc), milles on juba funktsioonid olemas ja haavatus sellesmõttes miinimumi viidud.

Muidugi kui inimene ei tea, kuidas mõne asja puhul toimida siis ei loe see ka, et süsteem ise turvaline on, kuna miskit võib kahe silmavahele jääda ja sealt tuleb juba viga sisse.

 

Plain php ja SQL peal saite on juba lollus teha, kui on alternatiivsed ja nö valmis lahendus käega katsuda.


b_560_95_1.png

Jaga seda postitust


Postituse link
Share on other sites
Külaline kvann
Author of the topic Postitas
Põhimõtteliselt turvavigu esineb alati, aga nende vältimiseks võid kutsuda appi mõne sellise nutika venna, kes suudab tuua välja turvavead.

Selline meetod on kasutusel nt facbookis, kus lausa makstakse, kui keegi toob välja turvavea.

Palun kustuta enda kasutaja. Sa käid pidevalt rääkimas teemades, milles sa korrutad varemöeldut või tood sisse enda poolvigased argumendid. On võimalik luua ka täiesti veavabat koodi, kuid see on tohutult ajanõudlik, kuna esimene punkt pole kohe kirjutama asumine vaid kõigi antud teemaga seotud senituntud turvavigade ja exploitidega tutvumine. Koodi kirjutamisel tuleb kõigist neist vigadest hoiduda ja kõik exploitid ära patchida, lisaks tuleb kirjutada tohutult turvakontrolle, et vältida ka tulevasi vigu. Ka pärast kõike seda vajab kood põhjalikku testimist.

Jaga seda postitust


Postituse link
Share on other sites
SUPERVIP
Teiste serverite kohta ei tea, aga Breaking LS salvestab oma paroole sama moodi, olge nendega ka ettevaatlikud.

 

Kunagi ehk tõesti, pikemat aega enam mitte. Ilma proofita palun mitte jätkata seda vanat teemat, aitäh.


ᕙ༼ຈل͜ຈ༽ᕗ flex your dongers ᕙ༼ຈل͜ຈ༽ᕗ

Jaga seda postitust


Postituse link
Share on other sites
Külaline kvann
Author of the topic Postitas
kvann siis võiksid tulla kamandama, kui sa oleksid mõne serveriga edukas, aga praeguseni küll sellist muudust pole toimunud, mingi päev läbi kirjutad koodi, aga kunagi ikka ei saa enda sitta valmis.

 

ZO0j5n.gif

 

Lugesin su varasemaid postitusi ning märkasin seal päris mitu korda enda nime. Oleme me kusagilt varasemast serverist tülli jäänud? SA-MP pole minu jaoks põhjus tülitsemiseks ning olen nõus selle probleemi ära lahendama.

Olen täiesti nõus, et serverite osas pole ma midagi suurt saavutanud, kuid arendajana pean ma end küll üheks Eesti parimaks₁. Selles, et mu serverid edukad pole olnud, selles ma olen täielikult ise süüdi ning ma luban, et kunagi, kui Imperial 2.6 avaneb2, ei korda ma enda vigu.

_____

 

₁ - Selles, et mul antud osas nii kõrge enesehinnang on, selles on mängijad ise "süüdi" oma pidevate kiitmistega. Lihtsalt nüüd ma üritan seda varjus hoida ja ei mängi serveris, kus arendan, diivat.

2 - Ma tõesti lootsin, et see teema ei muutu reklaamiks, kuid paari nädala jooksul peaksite saama infot avamise jne kohta. Server ise on ka lahe, kuid hoopis tähtsam on see jutt, mille ma avamiskuulutusega koos välja lasen...

Jaga seda postitust


Postituse link
Share on other sites

Kommentaari lisamiseks loo konto või logi sisse

Kommenteerimiseks peate olema liige

Loo konto

Liituge meie kommuuni uue kontoga. See on lihtne!

Loo uus konto

Logi sisse

On juba konto? Logi sisse siit.

Logi sisse nüüd

×
×
  • Loo uus...

Oluline informatsioon

Selle veebisaidi paremaks muutmiseks oleme teie seadmesse paigutanud küpsised . Võite kohandada oma küpsiste seadeid , vastasel juhul eeldame, et te olete küpsiste kasutamisega nõus kui jätkate veebisaidil sirvimist.. Palun lugege läbi Kasutustingimused ja Privaatsuspoliitika.