mboost-dp1
sxc.hu - simonok
Har på fornemmelsen at denne side snart bliver lukket ligesom The Pirate Bay.
Ideen med at opfordre folk til selv at gå på opdagelse for at finde sikkerhedsbrist, synes jeg virker meget farlig.
For det første tror jeg de færreste virksomheder/private mennesker, vil bryde sig om at nogen snuser rundt på deres hjemmesider for at finde huller.
For det andet har jeg på fornemmelsen, at det kan give alvorligt bagslag når/hvis hackeren ser muligheden for at opnå et udbytte via en knækket kode. Det virker en smule naivt, at belønningen er at vinde "capture the flag"
Som bevist mange gange før, er det ikke altid målet helliger midlet. Det tror jeg heller ikke på i dette tilfælde
Skal lige siges, at jeg langtfra er en ekspert i programmering, så jeg har ingen forstand på hvad man opnå, ved at løse de forskellige opgaver.
Ideen med at opfordre folk til selv at gå på opdagelse for at finde sikkerhedsbrist, synes jeg virker meget farlig.
For det første tror jeg de færreste virksomheder/private mennesker, vil bryde sig om at nogen snuser rundt på deres hjemmesider for at finde huller.
For det andet har jeg på fornemmelsen, at det kan give alvorligt bagslag når/hvis hackeren ser muligheden for at opnå et udbytte via en knækket kode. Det virker en smule naivt, at belønningen er at vinde "capture the flag"
Som bevist mange gange før, er det ikke altid målet helliger midlet. Det tror jeg heller ikke på i dette tilfælde
Skal lige siges, at jeg langtfra er en ekspert i programmering, så jeg har ingen forstand på hvad man opnå, ved at løse de forskellige opgaver.
Jeg er på nippet til at rate dit indlæg irrelevant men okay.
De opgaver de ligger op er jo ikke nogen hvori man sætter en virksomhed som mål. Du har misforstået det hvis du tror det er "stjæl newz.dk brugdatabase". Det er opgaver ala nogen man vil få til en eksamen eller lign. i IT sikkerhed.
Formålet er at selv avaerage joe programmøren får et indblik ind i sikkerhed og hvor der er mangler således at hans programmer ikke bliver offer for samme trick.
At låse vores verden ned og sige at sådanne sider er ulovlige er ingen vej frem, så har vi istedet en masse blackhat hackere derude der har den viden og en masse programmører der aner hat om sikkerhed fordi de ikke må undersøge det. Du kan vel selv regne ud hvad det betyder.
Et gammelt udtryk hedder "Security through obscurity is no security"
Hvilket løst oversat betyder at ved ved at sikre sig ved at gøre noget uforståeligt betyder ikke at det er sikkert. Man sikrer sig nemlig kun imod laveste fælles nævner. Det samme gælder ved at gøre whitehat hacking ulovligt. Du bremser alle de små folkeskole elever i at lege med tingene, tilgengæld bliver fremtiden så et vilde vesten hvor blackhat hackere kan en masse og vi ikke aner hvordan vi skal sikre os imod det.
Målet helliger så aboslut midlet da begge ting er positive her.
Og igen der er ingen private virksomheder der bliver ramt af dette, det er en "skole øvelse"
De opgaver de ligger op er jo ikke nogen hvori man sætter en virksomhed som mål. Du har misforstået det hvis du tror det er "stjæl newz.dk brugdatabase". Det er opgaver ala nogen man vil få til en eksamen eller lign. i IT sikkerhed.
Formålet er at selv avaerage joe programmøren får et indblik ind i sikkerhed og hvor der er mangler således at hans programmer ikke bliver offer for samme trick.
At låse vores verden ned og sige at sådanne sider er ulovlige er ingen vej frem, så har vi istedet en masse blackhat hackere derude der har den viden og en masse programmører der aner hat om sikkerhed fordi de ikke må undersøge det. Du kan vel selv regne ud hvad det betyder.
Et gammelt udtryk hedder "Security through obscurity is no security"
Hvilket løst oversat betyder at ved ved at sikre sig ved at gøre noget uforståeligt betyder ikke at det er sikkert. Man sikrer sig nemlig kun imod laveste fælles nævner. Det samme gælder ved at gøre whitehat hacking ulovligt. Du bremser alle de små folkeskole elever i at lege med tingene, tilgengæld bliver fremtiden så et vilde vesten hvor blackhat hackere kan en masse og vi ikke aner hvordan vi skal sikre os imod det.
Målet helliger så aboslut midlet da begge ting er positive her.
Og igen der er ingen private virksomheder der bliver ramt af dette, det er en "skole øvelse"
#1: Der ser nu ikke ud til at foregå noget ulovligt på den side, det er kun kode som er lavet til formålet, som skal prøves at "knækkes" og altså ikke en eller anden webside for et kommercielt firma. Dvs at denne side er lige så ulovlig, som det er ulovligt at bryde ind i sit egent hus fordi man har glemt sine nøgler!
Deres første opgave med binære filer er ikke lige min kop te, men opgave 2 med php filer ser spændende ud :)
Deres første opgave med binære filer er ikke lige min kop te, men opgave 2 med php filer ser spændende ud :)
Der er noget du må forstå.. For at kunne beskytte sig mod noget, er man nødt til at vide hvad man skal beskytte sig mod. Der er ikke noget bedre end at opfordre til at blive bedre og få bedre viden
Opgave 2 spørger til hvordan man kan bryde igennem en side opbygget med PHP, og hvordan man kan bruge data den smider i hovedet på én, til "...videre kompromittering...". Der er altså ikke sat en generel opgave om at hacke Danske Banks netbanksløsning. Du kan skrive et par test-script på din egen boks derhjemme, sætte en Apache-server op, og løse opgaven. Det er ikke værre end dét.
Samtidig vil alt dette forbedre sikkerheden. Tror du banker f.eks. bare åbner en "netbank" uden at de først har haft "sikkerhedskonsulenter" inde? Nej, vel? Nogen gør det da selvfølgelig, men de får så også høvl i den virkelige verden.
Så, fordi du ikke kan lide det, så skal alle lade være? Selvom det kan hjælpe alle, inkl. newz.dk selv - de blev trods alt selv ramt af en sikkerhedsbrist for ikke så længe siden. Tror du man lærte noget af at nogen pillede? Blev man bedre af det? Hvad nu hvis det i artiklen beskrevne ikke er onde mennesker der ønsker at lave ravage, men bare at blive klogere - har man ikke lyst til at få dem til at kigge efter sikkerhedshuller, frem for de som ønsker at ødelægge?
La' os lige tage et kig på verden udenfor engang. Alle Netto-ansatte har mulighed for at tage af kassen - hvor mange gør det? De fleste regnskabsansatte har mulighed for at lave underslæb, men hvor mange gør det?
@#0:
Ser spændende ud :) Håber de poster resultater et sted...
thorsager (1) skrev:Skal lige siges, at jeg langtfra er en ekspert i programmering, så jeg har ingen forstand på hvad man opnå, ved at løse de forskellige opgaver.
Opgave 2 spørger til hvordan man kan bryde igennem en side opbygget med PHP, og hvordan man kan bruge data den smider i hovedet på én, til "...videre kompromittering...". Der er altså ikke sat en generel opgave om at hacke Danske Banks netbanksløsning. Du kan skrive et par test-script på din egen boks derhjemme, sætte en Apache-server op, og løse opgaven. Det er ikke værre end dét.
Samtidig vil alt dette forbedre sikkerheden. Tror du banker f.eks. bare åbner en "netbank" uden at de først har haft "sikkerhedskonsulenter" inde? Nej, vel? Nogen gør det da selvfølgelig, men de får så også høvl i den virkelige verden.
thorsager (1) skrev:om bevist mange gange før, er det ikke altid målet helliger midlet. Det tror jeg heller ikke på i dette tilfælde
Så, fordi du ikke kan lide det, så skal alle lade være? Selvom det kan hjælpe alle, inkl. newz.dk selv - de blev trods alt selv ramt af en sikkerhedsbrist for ikke så længe siden. Tror du man lærte noget af at nogen pillede? Blev man bedre af det? Hvad nu hvis det i artiklen beskrevne ikke er onde mennesker der ønsker at lave ravage, men bare at blive klogere - har man ikke lyst til at få dem til at kigge efter sikkerhedshuller, frem for de som ønsker at ødelægge?
thorsager (1) skrev:For det andet har jeg på fornemmelsen, at det kan give alvorligt bagslag når/hvis hackeren ser muligheden for at opnå et udbytte via en knækket kode. Det virker en smule naivt, at belønningen er at vinde "capture the flag"
La' os lige tage et kig på verden udenfor engang. Alle Netto-ansatte har mulighed for at tage af kassen - hvor mange gør det? De fleste regnskabsansatte har mulighed for at lave underslæb, men hvor mange gør det?
@#0:
Ser spændende ud :) Håber de poster resultater et sted...
oh shit et grimt layout..
Eller.. der er jo ikke noget layout..
Men fed ide - det bliver spændende, dejligt med et dansk initiativ på den front
Eller.. der er jo ikke noget layout..
Men fed ide - det bliver spændende, dejligt med et dansk initiativ på den front
@ #6 og #7:
Øh - dudes... Læs lige en anelse op på psykologien i det at opbygge en hjemmeside... ;-)
Kan I finde det I skal bruge? Går det hurtigt? Er I på nogen måde i tvivl?
Hvis det ikke er noget for jer, så kan I jo hopper tilbage i jeres IE7.1(hotfix 510) der stadig ikke følger standarden, og så kigge på alle de 'pirrende' dreamweaver/frontpage tingester der er derude.
De har deres målgruppe, og har de sorteret jer fra pga. alene layout? Fine by me :-)
Øh - dudes... Læs lige en anelse op på psykologien i det at opbygge en hjemmeside... ;-)
Kan I finde det I skal bruge? Går det hurtigt? Er I på nogen måde i tvivl?
Hvis det ikke er noget for jer, så kan I jo hopper tilbage i jeres IE7.1(hotfix 510) der stadig ikke følger standarden, og så kigge på alle de 'pirrende' dreamweaver/frontpage tingester der er derude.
De har deres målgruppe, og har de sorteret jer fra pga. alene layout? Fine by me :-)
Netop :)nyx (8) skrev:Kan I finde det I skal bruge? Går det hurtigt? Er I på nogen måde i tvivl?
Post #7 var faktisk ikke ment som en joke. Det er standard html4, hvor det så er op til ens browser at sætte standard-fonts, og headingsizes.
alas, sådan som internettet altid var i starten, da det var info sider på universiteterne.
Windcape (9) skrev:Netop :)
Post #7 var faktisk ikke ment som en joke. Det er standard html4, hvor det så er op til ens browser at sætte standard-fonts, og headingsizes.
alas, sådan som internettet altid var i starten, da det var info sider på universiteterne.
Gid der var flere der lavede deres sider sådan... Hvordan skal man kunne "sælge" sig selv, hvis "køberen" ikke kan finde rundt på siden, bliver blændet af en 0xFFFFFF baggrund, skal have Flash og ActiveX installeret og piv-åbent og dertil oven SKAL bruge en IE-browser? Jeg ved ikke.. Det kan godt være mig der er "krævende", men jeg plejer at vælge Flash-sider fra, sider der ikke kan ses i Firefox - tjah, så ønsker de åbenbart ikke mig som kunde, og ubegrænset ActiveX? glem det!... Og så er der sider der decideret fjendtlige overfor mig som bruger, med mouse-over lydeffekter og rullende bannere der tager fokus fra sidens indhold? Ikke på vilkår... Iframes blokeres og tåbeligt brug af frames straffes ved at jeg straks forlader siden.
Men jeg er så nok heller ikke målgruppen for hverken Facehugger, eller MSN.com, Arto eller lign. ...
:-)
nyx (8) skrev:De har deres målgruppe, og har de sorteret jer fra pga. alene layout? Fine by me :-)
nyx (10) skrev:Gid der var flere der lavede deres sider sådan...
nyx (10) skrev:Hvordan skal man kunne "sælge" sig selv, hvis "køberen" ikke kan finde rundt på siden, bliver blændet af en 0xFFFFFF baggrund
Nu er jeg ikke helt skarp i HTML-farvekoder, men er 0xFFFFFF ikke bare hvid?
Og lidt ironisk er det komplet ligegyldig.ZiN (11) skrev:Ironisk nok er begge af HotM1 top-besvarelser lavet af linux-folk, på trods af at der er en fil til både Windows og Linux. :-P
Jeg har da også installeret IDA på min workstation ... som kører Vista.
Det er bare mere normalt at folk i det community som arbejder seriøst med hackning kører en form for unix.
Givet det at windows ikke er en ideel platform, men hvis man skulle ønske at teste windows specifikke hacks, så er det jo relevant at benytte den.
Men til besvarelsen er det OS du benytter ligegyldigt, da et disassemblet resultat er meget ens.
Man kunne vel om noget, sige at det er sværere at diassemble en win32 PE executeable, end de typiske programmer til *nix.
*nix brugerere er jo ikke svært glade for binaries :p
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund