mboost-dp1
"Skulle eftersigende" ..
Ja jeg kan godt se man kan komme langt uden beviser.
Evidence or it didn't happen.
.. Edit: Og det ville da heller ikke være særlig smart at bekræfte oplysningerne, i hvert fald ikke fra Facebooks side.
Ja jeg kan godt se man kan komme langt uden beviser.
Evidence or it didn't happen.
.. Edit: Og det ville da heller ikke være særlig smart at bekræfte oplysningerne, i hvert fald ikke fra Facebooks side.
Mig bekendt er det ikke folks kodeord til facebook der er brugt men nærmere folk password som IKKE er til facebook.
Han skulle eftersigende have tjekket loggen over forkerte passwords personerne har brugt og har haft held med at bruge dem til personernes email istedet.
Han skulle eftersigende have tjekket loggen over forkerte passwords personerne har brugt og har haft held med at bruge dem til personernes email istedet.
#3,#5
Som #7 siger, har han ikke rørt databasen.
Han skulle angiveligt have udnyttet en menneskelig fejl.
Mange mennesker kommer ofte, ved et uheld, til at benytte en forkert kode på facebook. Der sker det at man nogen gange kommer til at taste koden til noget helt andet.
Det kan han se i web serverens log filer, og skulle (igen) angiveligt have prøvet sig frem mellem disse email adresser og koder ind til han skulle være kommet igennem 2 af dem.
Så kan i måske lære at kun logge ind via sikre forbindelser? :)
Som #7 siger, har han ikke rørt databasen.
Han skulle angiveligt have udnyttet en menneskelig fejl.
Mange mennesker kommer ofte, ved et uheld, til at benytte en forkert kode på facebook. Der sker det at man nogen gange kommer til at taste koden til noget helt andet.
Det kan han se i web serverens log filer, og skulle (igen) angiveligt have prøvet sig frem mellem disse email adresser og koder ind til han skulle være kommet igennem 2 af dem.
Så kan i måske lære at kun logge ind via sikre forbindelser? :)
TuxDK (10) skrev:Så kan i måske lære at kun logge ind via sikre forbindelser? :)
Logges der ikke under en SSL forbindelse?
TuxDK (10) skrev:Så kan i måske lære at kun logge ind via sikre forbindelser
Fordi forbindelsen er sikret, er loggen på serveren vel præcis den samme som hvis det var en usikker forbindelse. Serveren har jo decoded de sendte informationer og gemt dem i loggen. SSL forhindre mig bekendt kun folk i af sniffe trafikken.
Og jeg vil desuden stadig tro det er en log i deres system, han har brugt. Ethvert stort system har sit eget log/fejl system. Så i dette tilfælde har han kigget deres egen log igennem efter "login error". Og her står sikkert hvad brugerne har tastet, så man kan fortælle dem at de f.eks. har bruge store bogstaver (fordi caps er slået til).
Dermed ikke sagt at han faktisk har gjort det. Men det er sådan det er foregået, hvis han har.
ghostface (7) skrev:Mig bekendt er det ikke folks kodeord til facebook der er brugt men nærmere folk password som IKKE er til facebook.
Han skulle eftersigende have tjekket loggen over forkerte passwords personerne har brugt og har haft held med at bruge dem til personernes email istedet.
Det lyder godt nok langt ude, hvis Facebook logger passwords i cleartekst, så er dette et største problem jeg ser. jeg tror bestemt heller ikke de gør dette, det får de intet ud af. og det er bestemt heller ikke velset.
TuxDK (10) skrev:
Det kan han se i web serverens log filer, og skulle (igen) angiveligt have prøvet sig frem mellem disse email adresser og koder ind til han skulle være kommet igennem 2 af dem.
Så kan i måske lære at kun logge ind via sikre forbindelser? :)
nu må i sgu holde op med at ytre jer om noget i ingen ide har om, En web server logger sgu ikke hvad du taster ind. den logger hvad du tilgår som url strings, og intet andet.
hvad skulle en "sikker forbindelse" gør i dette tilfælde?... og hvad mener du er en sikker forbindelse?... SSL?... det benytter alle jo ved autentifikation. OGSÅ facebook (og nej man skal ikke slå det til)
TuxDK: stop med at sprede usandheder.
Det er jo ren nøgn det du sidder og skriver.
Tjek nu op på de ting du sidder og lukker ud.
#14 så man kan fortælle dem at de har brugt caps logs?... nej du, det er kun lysskye forretninger, scam virksomheder, og kriminelle som nogensinde ville logge brugeres passwords.
trylleklovn (3) skrev:Mon ikke login informationerne er krypteret hos facebook.
Selv hvis de er krypterede, har han jo adgang til en hel del regnekraft.
Hvis nogen kan bruteforce krypteringen, er det sikkert ham.
Men ja, lam "nyhed" at bringe, det er jo rygte-smederi i samme lave stil som i børnehaven.
Hvis man ville stjæle alle vores password, så ville han sgu aldrig benytte bruteforce hehe, hvis han ville så loggede han dem.
Uanset, så er det ikke noget der nærmer sig "hacking" - det er social engineering og almindelig snusfornuft der beskrives.
Hvis jeg læser et password over skulderen, eller læser det via en keylogger, så har jeg ikke hacket brugeren, eller tjenesten.
Men 'hacke' sælger overskrifter.
Hvis jeg læser et password over skulderen, eller læser det via en keylogger, så har jeg ikke hacket brugeren, eller tjenesten.
Men 'hacke' sælger overskrifter.
Jeg arbejde engang på et lille system, som havde langt større sikkerhed end nødvendigt. Fx. var kodeord opbavaret som et hash af et prefix og kodeord (eller noget i den stil). Brugernavnet kunne have været med, det ville ikke ændre løsningen.
Så opdagede at der var rigtigt mange, som havde samme kodeord. Jeg blev nysgerrig, og ville vide hvad det var. Så jeg lagde en ting ind i hash-funktionen: Hvis resultatet var det populære hash, skulle den logge input.
Kort efter stod der "123456" i loggen. Piece of cake.
(Forbindelsen kunne have været https, det ville ikke ændre noget.)
Så opdagede at der var rigtigt mange, som havde samme kodeord. Jeg blev nysgerrig, og ville vide hvad det var. Så jeg lagde en ting ind i hash-funktionen: Hvis resultatet var det populære hash, skulle den logge input.
Kort efter stod der "123456" i loggen. Piece of cake.
(Forbindelsen kunne have været https, det ville ikke ændre noget.)
#16
Det bestemmer du da godt selv som sysadmin.
Hvis de vil logge alt input så gør de da bare det. Jeg har da flere webapplikationer jeg kan logge alt input fra for at debugge eventuelle problemer. Det er dog applikationer vi kører lokalt men det ændrer ikke på det er muligt.
nu må i sgu holde op med at ytre jer om noget i ingen ide har om, En web server logger sgu ikke hvad du taster ind. den logger hvad du tilgår som url strings, og intet andet.
Det bestemmer du da godt selv som sysadmin.
Hvis de vil logge alt input så gør de da bare det. Jeg har da flere webapplikationer jeg kan logge alt input fra for at debugge eventuelle problemer. Det er dog applikationer vi kører lokalt men det ændrer ikke på det er muligt.
Nyhed: Hemmelig kilde hos MS afslører at Bill Gates angivelig har smuglet kode ind i Windows, der automatisk starter webcam, og hvis der er tale om et kønt kvindelig ansigt, tilføjer vedkommende til hans nye twitter og facebook profiler..
Kilde: Unknown and/or random generated data.
Kilde: Unknown and/or random generated data.
Så vidt jeg mindes (i min korte karriere) fortæller webservers logs intet om hvilket password der er forsøgt - kun at passwordet var forkert/login successfuldt eller ej. Alt andet kunne da hurtigt rende op i en god del logs.
For ikke at nævne at de logs jeg endelig har set fra webservere med passwords altid har haft dem krypteret (for at kunne sammenligne dem op mod DB'en.
For ikke at nævne at de logs jeg endelig har set fra webservere med passwords altid har haft dem krypteret (for at kunne sammenligne dem op mod DB'en.
ghostface (22) skrev:#16
Det bestemmer du da godt selv som sysadmin.
Hvis de vil logge alt input så gør de da bare det. Jeg har da flere webapplikationer jeg kan logge alt input fra for at debugge eventuelle problemer. Det er dog applikationer vi kører lokalt men det ændrer ikke på det er muligt.
Her snakker du web applikationer og ikke web server :)
Udover at det kun er påstande uden nogen beviser, så linker posten til slashdot, som IKKE er den originale artikel. Det er rigtig dårlig stil, synes jeg. Øv!
Man kan sagtens få webserveren til at logge login-forsøg, det er der ikke noget der forhindrer den i, udover begænsninger på lagerplads/hastighed. Man kunne f. eks. sætte en
Man kan sagtens få webserveren til at logge login-forsøg, det er der ikke noget der forhindrer den i, udover begænsninger på lagerplads/hastighed. Man kunne f. eks. sætte en
if $username is in SetOfInterestingJournalistsusernames, eller noget. Det medfører godt nok lidt unødvendig overhead til alle de millioner andre brugere der prøver at logge ind.
then log($username,$password)
fi
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund