Hore

Fórum » Ephoto - návrhy a pripomienky
 

Ochrana pošty

Stratený Stano
Stratený Stano ocenenie redakciou 2012-03-09 14:10:20+01
Zaujímalo by ma, a možno nielen mňa, ako je chránená súkromná pošta jednotlivých užívateľov na portáli ePhoto. Kto všetko do nej môže nakukovať...
 
arpi
2012-03-12 23:18:18+01
príspevok od: Stratený Stano
Aby som trochu rozšíril oblasť, zaujímalo by ma i to, prečo som po opätovnom návrate na portáli prihlásený, keď som sa pred odchodom dôsledne odhlásil... A stáva sa mi to pomerne často - večer sa odhlásim, skontrolujem, či môj nick svieti na modro, ale ráno po vstupe na portál už je nick zelený a ja som prihlásený...
Mozno si len Hery rano cital tvoju postu
 
Stratený Stano
ocenenie redakciou 2012-03-12 23:23:51+01
príspevok od: arpi
Mozno si len Hery rano cital tvoju postu
Sviniar malý... a ja som bol furt v tom, že si len prezerá holé baby...
 
xmartankox
2012-03-13 00:00:03+01
príspevok od: duroslav
Tušíš vôbec čo je MD5?

Ak si prečítaš krátky popis toho decrypteru, tak ti musí byť jasné, že nič sa nedecryptuje, ale sa porovnávajú známe kombinácie hash reťazec.

Som len tak pre srandu skúsil zopár hashov, ktoré mám toť v jednej voľne pohodenej databázi a chudák decrypter mi zosmutnelým hlasom odpovedal, že moje MD5 hashe nemá v databázi, tudíž ich nevie decryptovať.
Vid prispevky vyssie. Pisal som ze som to necital (popis k "dekryperu"). Viem co je hash, a viem co je md5. Keby si ty vedel, ze md5 je davno prelomeny .... alebo si to vedel?

Text ziskany koliziou je z hladiska hashu rovnocenny, co znamena ze po "zasifrovani" oboch textov dostanes rovnaky hash, co je uplne dostatocne ako bezpecnostna diera. To vsak samozrejme predpoklada, ze sa vobec dostanes k hashom (cize mas pristup k db), prip. ak je implementovane hashovanie na strane klienta, tak nejaky sniffing.

Priznavam, ze nerozumiem metode ktoru pouzil Klima (tunel), a ani nepotrebujem. Nemam nastudovany presny algoritmus akym zo stringu dostanem pomocou MD5 hash. A tiez to nepotrebujem.

Tiez by som mal opravit tu pasaz o osekavani 1000 znakoveho stringu, nasiel som jeden ktoremu sa hash nemeni az nad 2000 znakov. Z toho mi vychadza ze zrejme zalezi na konkretnej implementacii, vacsina systemov vsak umoznuje dlzku hesla v omnoho nizsich rádoch.
 
morgoth
2012-03-14 14:40:03+01
príspevok od: Marcel Rebro
Marin, nachcem mentorovať, ale : okrem toho že si si vygúglil výraz "MD5 decrypt" vieš čo znamená výraz "hash"? Vieš o tom že táto metóda je jednosmerná a nereverzná?

MD5kou zahashovaný string má vždy 32 znakov. Skús mi len v skratke popísať vyčísliteľný algoritumus, ktorým dekóduješ (napr.) 1000 znakový string zahašovaný na spomínaných 32 znakov ....
Vyčísliteľný algoritmus? Jednoducho, stačí si otestovať všetky stringy do tisíc znakov

// nehovorím, že je s dnešnou technikou realizovateľný
 
morgoth
2012-03-14 14:55:59+01
príspevok od: xmartankox
Vid prispevky vyssie. Pisal som ze som to necital (popis k "dekryperu"). Viem co je hash, a viem co je md5. Keby si ty vedel, ze md5 je davno prelomeny .... alebo si to vedel?

Text ziskany koliziou je z hladiska hashu rovnocenny, co znamena ze po "zasifrovani" oboch textov dostanes rovnaky hash, co je uplne dostatocne ako bezpecnostna diera. To vsak samozrejme predpoklada, ze sa vobec dostanes k hashom (cize mas pristup k db), prip. ak je implementovane hashovanie na strane klienta, tak nejaky sniffing.

Priznavam, ze nerozumiem metode ktoru pouzil Klima (tunel), a ani nepotrebujem. Nemam nastudovany presny algoritmus akym zo stringu dostanem pomocou MD5 hash. A tiez to nepotrebujem.

Tiez by som mal opravit tu pasaz o osekavani 1000 znakoveho stringu, nasiel som jeden ktoremu sa hash nemeni az nad 2000 znakov. Z toho mi vychadza ze zrejme zalezi na konkretnej implementacii, vacsina systemov vsak umoznuje dlzku hesla v omnoho nizsich rádoch.
Md5 je zatial zlomena len na najdenie kolizii, to nas pri zadanom hashi netrapi, potrebovali by sme zvladnut preimage attack. Inak povedane, je to diera, ale nestaci nam to. Inac by sa uz davno md5 nepouzivalo nikde.
// Inak povedane: vieme najst x,y take ze md5(x)=md5(y). Zatial sa nevie k danemu md5(x) najst y taky ze md5(y)=md5(x)

Md5 zvlada samozrejme aj dlhsie vstupy ako 1000/2000 znakov. Ale to by bolo aj tak jedno, vzhladom na to ze velkost priestoru vyslednych md5 sum je 2^128, je pravdepodobne, ze k 1000 znakovemu stringu existuje aj kratsi retazec ktory ma rovnaky hash. Je vsak netrivialne ho najst.

A tretia vec, vacsinou sa md5 hashe "solia" nejakym sialenym retazcom. (Trebars sa pripoji na zaciatok hesla retazec '#TbEX=LD#432'). Tymto sa stanu vsetky tabulky na nete neuzitocne a ak by sa aj niekto dostal iba k databaze hesiel, su mu skoro na nic (sanca ze si tipne spravny retazec je skoro nulova, ak sa dostane aj k tomuto retazcu, stale musi testovat miliardy moznosti roznych hesiel, alebo si vyrabat vlasnu rainbow table (nie ze by to asi malo moc velky vyznam...). Ale v tomto pripade ste uz odkazani aj na vlastny rozum, ak ste mali heslo "heslo", alebo datum narodenia, je najdenie vasho hesla otazkou sekund az minut.
 
Stratený Stano
ocenenie redakciou 2012-03-15 13:38:14+01
príspevok od: Stratený Stano
Aby som trochu rozšíril oblasť, zaujímalo by ma i to, prečo som po opätovnom návrate na portáli prihlásený, keď som sa pred odchodom dôsledne odhlásil... A stáva sa mi to pomerne často - večer sa odhlásim, skontrolujem, či môj nick svieti na modro, ale ráno po vstupe na portál už je nick zelený a ja som prihlásený...
Dávam si záležať na dôslednom odhlásení z portálu a opäť sa mi 2x stalo, že po opätovnom vsupe na ePhoto som bol prihlásený...

OTÁZKA NA ADMINA:
Je to chyba systému, alebo robím niečo zle, alebo je to provokácia zo strany toho, kto na môj účet vie vojsť...?

Posielam otázku adminovi do pošty, takže mal by o nej vedieť...
 
Stratený Stano
ocenenie redakciou 2012-03-15 13:43:22+01
Ešte otázočka na ostatných členov portálu:
Stáva sa to aj vám, alebo mám s tým problém len ja...?
 
Marcel Rebro
2012-03-15 13:54:30+01
Mnohe casti engine ePhoto su naprogramovane nekonzistentne (mozno dokonca roznymi developermi). Casti kodu vykonavajuce tu istu funkciu nie su enkapsulovane formou metody (OOP) alebo funkcie / procedury. A to je pricinou ze sa v roznych siuaciach nespravaju rovnako. Dokazom je napriklad :

- editor komentarov : v hodnoteni fotky je pouzity iny ak pri pisani komentu. Pod fotkou sa specialne znaky neprevadzaju na HTML enitity a preto napriklad nefunguje novy riadok. Rovnako sa neprevadzaju emotikony (co ma netrapi ale je to fakt)

- info o stave uzivatela (prihlaseny / neprihlaseny) : v komentaroch sa zjavne informacia nacitava z COOKIEs s urcitou casovou platnostou, ktora sa obnovuje pri ativitach. V profile sa nastavuje podla toho ci uzivatel je alebo nie je prihlaseny. V dosledku toho moze by uzivatel "modry" (neprihlaseny) ale po kliku na profil je "zlty" (prihlaseny). A tak sa moze stat ze uzivatel aj po korektnom odhlaseni este nejaku dobu svieti na zlto - v komentarcoh napriklad.
 
Marcel Rebro
2012-03-15 14:03:20+01
modry a zaroven zlty o 14:00
 
JOK3R
2012-03-15 14:51:49+01
Vy si snad cez ephoto postu posielate cisla kreditnych kariet spolu so security kodom ked to tu takto vazne riesite
 
Marcel Rebro
2012-03-15 14:57:41+01
príspevok od: JOK3R
Vy si snad cez ephoto postu posielate cisla kreditnych kariet spolu so security kodom ked to tu takto vazne riesite
Mas ten pocit? Mne sa zda, ze ide len o neplanovane vyzradene vyznania lasky ... a to moze byt horsie ako cisla kariet. Hlavne ked sa dostanu do nespravnych (teda spravnych) ruk ...
 
JOK3R
2012-03-15 15:23:23+01
príspevok od: Marcel Rebro
Mas ten pocit? Mne sa zda, ze ide len o neplanovane vyzradene vyznania lasky ... a to moze byt horsie ako cisla kariet. Hlavne ked sa dostanu do nespravnych (teda spravnych) ruk ...
Aha, tak to je o niecom inom, radsej prazdna kreditka ako prezradena milenka
 
Stratený Stano
ocenenie redakciou 2012-03-21 12:11:13+01
Zo včerajšej debaty na Facebooku:
Marcel Rebro - SS je never ending storry ... po konspiracnej teorii o tom ako si citam jeho sukromne spravy na eFoto ma uz nic neprekvapi

Otázočka na autora tohto príspevku: Kde a kedy som konkrétne a verejne uviedol jeho meno ako hlavného protagonistu mojej konšpiračnej teórie...? Že práve on číta moje súkromné správy na ePhpte...? Pamäť mi ešte dobre slúži a tak odpoviem zaňho - Nikdy a nikde...

I keď - čo ak som to niekomu napísal do pošty...?
 
admin
redakcia ephoto.sk 2012-03-21 12:28:13+01
príspevok od: Stratený Stano
Zo včerajšej debaty na Facebooku:
Marcel Rebro - SS je never ending storry ... po konspiracnej teorii o tom ako si citam jeho sukromne spravy na eFoto ma uz nic neprekvapi

Otázočka na autora tohto príspevku: Kde a kedy som konkrétne a verejne uviedol jeho meno ako hlavného protagonistu mojej konšpiračnej teórie...? Že práve on číta moje súkromné správy na ePhpte...? Pamäť mi ešte dobre slúži a tak odpoviem zaňho - Nikdy a nikde...

I keď - čo ak som to niekomu napísal do pošty...?
Pokial mate pocit, ze sa Vam niekto naburava do posty na ePhote. Co je nepravdepodobne.....Napiste mi sukromnu spravu a uvedte ine heslo, zmenime a nebude treba vytvarat ziadne konspiracne teorie
 
JOK3R
2012-03-21 12:36:56+01
Odporucam zacat vyuzivat ine bezpecne neodpocuvatelne kanaly
 
JOK3R
2012-03-21 12:40:39+01
príspevok od: admin
Pokial mate pocit, ze sa Vam niekto naburava do posty na ePhote. Co je nepravdepodobne.....Napiste mi sukromnu spravu a uvedte ine heslo, zmenime a nebude treba vytvarat ziadne konspiracne teorie
Však heslo sa dá zmeniť v profile, či admin chce vedieť heslo a čítať poštu? LOL
 
Stratený Stano
ocenenie redakciou 2012-03-21 12:40:48+01
príspevok od: admin
Pokial mate pocit, ze sa Vam niekto naburava do posty na ePhote. Co je nepravdepodobne.....Napiste mi sukromnu spravu a uvedte ine heslo, zmenime a nebude treba vytvarat ziadne konspiracne teorie
Ja nevytváram teóriu, len som sa normálne slušne opýtal, ako je chránená súkromná pošta a kto do nej vidí - a dosiaľ mi nikto kompetentný neodpovedal... Zmienku, že "je to nepravdepodobné", veľmi za odpoveď nepokladám a nepresvedčila ma, že sa nemusím ničoho obávať...
Ďakujem za ponuku, heslo si viem zmeniť i sám, ak to bude potrebné...
Potešila by ma naozaj fundovaná a seriózna odpoveď...
 
JOK3R
2012-03-21 12:59:12+01
príspevok od: Stratený Stano
Ja nevytváram teóriu, len som sa normálne slušne opýtal, ako je chránená súkromná pošta a kto do nej vidí - a dosiaľ mi nikto kompetentný neodpovedal... Zmienku, že "je to nepravdepodobné", veľmi za odpoveď nepokladám a nepresvedčila ma, že sa nemusím ničoho obávať...
Ďakujem za ponuku, heslo si viem zmeniť i sám, ak to bude potrebné...
Potešila by ma naozaj fundovaná a seriózna odpoveď...
Aj to že sa pri styku roztrhne kondóm je málo pravdepodobné, ale 100% záruku ti nedá nikdy nikto.

Môžeš mať v pc keyloger, trojana, nikto nebude ručiť za klientské pc, dnes skrátka už nikto nič negarantuje
 
Stratený Stano
ocenenie redakciou 2012-03-21 13:06:33+01
príspevok od: JOK3R
Aj to že sa pri styku roztrhne kondóm je málo pravdepodobné, ale 100% záruku ti nedá nikdy nikto.

Môžeš mať v pc keyloger, trojana, nikto nebude ručiť za klientské pc, dnes skrátka už nikto nič negarantuje
Rozumiem ti, ale ja sa nepýtam na ochranu môjho PC. Pýtam sa na niečo iné...
 
admin
redakcia ephoto.sk 2012-03-21 13:12:22+01
príspevok od: Stratený Stano
Ja nevytváram teóriu, len som sa normálne slušne opýtal, ako je chránená súkromná pošta a kto do nej vidí - a dosiaľ mi nikto kompetentný neodpovedal... Zmienku, že "je to nepravdepodobné", veľmi za odpoveď nepokladám a nepresvedčila ma, že sa nemusím ničoho obávať...
Ďakujem za ponuku, heslo si viem zmeniť i sám, ak to bude potrebné...
Potešila by ma naozaj fundovaná a seriózna odpoveď...
Tak si heslo zmente a nebude potrebne nic riesit, pokial si myslite, ze sa niekto prihlasuje za Vas Osobne si neviem predstavit, co by kto z toho mal, ale to nemusime hadam riesit Mali sme zaujem riesit Vas problem a aj sme Vam slusne v sukromnej sprave dali odpoved Preto to napisem znova a verejne. Do sukromnej posty nikto nevidi okrem Vas, a ako uz bolo napisane, pokial ste sa s heslom nikomu nezdoveril, pristup dalsej osoby je nemozny. Za Vas pristup na internet z akehokolvek zariadenia mi uz nenesieme zodpovednost ani za to, ci sa Vam donho niekto nabura alebo nie....
 
Strana 3 z 3
 





Inzercia
  • ()
     
  • ()
     
  • ()
     
  • ()
     
  • ()