mboost-dp1
sxc.hu - simonok
Jeg undrer mig altid over hvorfor der skal være et bruger-id i url'et på den slags sider - nogen der sagde session vars? :-)
Inkompetente skvadderkåls-udviklere.
Inkompetente skvadderkåls-udviklere.
#9
Så det eneste man skal, er at angive det rigtige hash? Så håber jeg godt du VIRKELIG har styr på at laveet godt hash.
Hvad med lidt simpel validering? Altså noget med lige at tjekke, at den bruger der er logget ind, faktisk har adgang til det han beder om?
(Hvor der det dog nemt at kritisere et projekt man ved absolut intet om. Men HVIS det nu er ligesom de fleste andre...)
Så det eneste man skal, er at angive det rigtige hash? Så håber jeg godt du VIRKELIG har styr på at laveet godt hash.
Hvad med lidt simpel validering? Altså noget med lige at tjekke, at den bruger der er logget ind, faktisk har adgang til det han beder om?
(Hvor der det dog nemt at kritisere et projekt man ved absolut intet om. Men HVIS det nu er ligesom de fleste andre...)
#10
Pointen er jo netop at der ikke er noget login...hvis der havde været et login, havde det jo været unødvendigt med et hash :)
Og prøv du bare at gætte et hash. Jeg vil godt give dig et hash, og så lad os se hvor lang tid det tager dig at finde ud af hvad det betyder. Hvis du bruteforcer det, vil det stadig tage meget lang tid, selv med rainbow tables og dictionary attacks. Derefter skal du så lige finde ud af hvordan de bliver generet, ud fra hvilke data osv osv, før du kan komme i nærheden af at lave en beregner selv.
Pointen er jo netop at der ikke er noget login...hvis der havde været et login, havde det jo været unødvendigt med et hash :)
Og prøv du bare at gætte et hash. Jeg vil godt give dig et hash, og så lad os se hvor lang tid det tager dig at finde ud af hvad det betyder. Hvis du bruteforcer det, vil det stadig tage meget lang tid, selv med rainbow tables og dictionary attacks. Derefter skal du så lige finde ud af hvordan de bliver generet, ud fra hvilke data osv osv, før du kan komme i nærheden af at lave en beregner selv.
#12,13: en hash som md5 med 128 bit har 2^128 kombinationsmuligheder. Selv hvis du lagde de 40.000 brugere ind i et system, med hver deres hash-nøgle, ville det tage meget lang tid før du ramte bare een.
Derudover er du nød til at sende hver eneste hash til serveren for at få at vide om du har gættet rigtigt. Når der pludselig begynder at komme 10000 requests per sekund, vil der nok være nogen der undrer sig.
Bare for hyggens skyld, så vil det gennemsnitligt tage 1618542460620902128345579 år at gætte EEN hash, hvis du sender 10k requests per sekund til serveren.
Derudover er du nød til at sende hver eneste hash til serveren for at få at vide om du har gættet rigtigt. Når der pludselig begynder at komme 10000 requests per sekund, vil der nok være nogen der undrer sig.
Bare for hyggens skyld, så vil det gennemsnitligt tage 1618542460620902128345579 år at gætte EEN hash, hvis du sender 10k requests per sekund til serveren.
#14
Pointen er netop, at jeg måske ikke behøver at gætte mig frem. Hvis hashet står i en url, så skal jeg blot have urlen. Urler er sådan noget fx. Google er rigtig god til at finde.
Et eksempel på hvor let det kan gå:
På en hemmelig side er der et link, til en knap så hemmelig side. Ét klik på linket, og den hemmelige side er nu logget som referrer-url.
Den knap så hemmelige side har nogle statistikker, som bla. viser ref-urls. Ikke at de bliver offentliggjort som sådan, men hemmelige er det heller ikke.
Webmaster på den ikke-hemmelige side vælger en dag liiige at linke til sin statistik, som en del af et ligegyldigt indlæg i et tilfældigt forum.
1 måned senere er din hemmelige url indexeret af Google.
Der er mange måder en url kan slippe løs. Den bliver cachet i browseren, den ryger i en proxy, osv osv. Det behøver ikke at gå galt, men der skal så pokkers lidt til.
Hvis jeg nu skriver http:// myplace.dk/admin/login.php?user=admin&password=lut - eller hvis jeg skriver http:// myplace.dk/admin/login.php?credentials=d41d8cd98f00b204e9800998ecf8427e - så er det lige let for jer at misbruge urlen. Og så er det fløjtende ligegyldigt hvor godt et salt jeg bruger. Der er intet behov for at se hvad hashet indeholder, eller at lave et nyt hash.
Pointen er netop, at jeg måske ikke behøver at gætte mig frem. Hvis hashet står i en url, så skal jeg blot have urlen. Urler er sådan noget fx. Google er rigtig god til at finde.
Et eksempel på hvor let det kan gå:
På en hemmelig side er der et link, til en knap så hemmelig side. Ét klik på linket, og den hemmelige side er nu logget som referrer-url.
Den knap så hemmelige side har nogle statistikker, som bla. viser ref-urls. Ikke at de bliver offentliggjort som sådan, men hemmelige er det heller ikke.
Webmaster på den ikke-hemmelige side vælger en dag liiige at linke til sin statistik, som en del af et ligegyldigt indlæg i et tilfældigt forum.
1 måned senere er din hemmelige url indexeret af Google.
Der er mange måder en url kan slippe løs. Den bliver cachet i browseren, den ryger i en proxy, osv osv. Det behøver ikke at gå galt, men der skal så pokkers lidt til.
Hvis jeg nu skriver http:// myplace.dk/admin/login.php?user=admin&password=lut - eller hvis jeg skriver http:// myplace.dk/admin/login.php?credentials=d41d8cd98f00b204e9800998ecf8427e - så er det lige let for jer at misbruge urlen. Og så er det fløjtende ligegyldigt hvor godt et salt jeg bruger. Der er intet behov for at se hvad hashet indeholder, eller at lave et nyt hash.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund