Ochrana pošty

Mozno si len Hery rano cital tvoju postu

Sviniar malý... a ja som bol furt v tom, že si len prezerá holé baby...

Vid prispevky vyssie. Pisal som ze som to necital (popis k "dekryperu"). Viem co je hash, a viem co je md5. Keby si ty vedel, ze md5 je davno prelomeny .... alebo si to vedel?

Text ziskany koliziou je z hladiska hashu rovnocenny, co znamena ze po "zasifrovani" oboch textov dostanes rovnaky hash, co je uplne dostatocne ako bezpecnostna diera. To vsak samozrejme predpoklada, ze sa vobec dostanes k hashom (cize mas pristup k db), prip. ak je implementovane hashovanie na strane klienta, tak nejaky sniffing.

Priznavam, ze nerozumiem metode ktoru pouzil Klima (tunel), a ani nepotrebujem. Nemam nastudovany presny algoritmus akym zo stringu dostanem pomocou MD5 hash. A tiez to nepotrebujem.

Tiez by som mal opravit tu pasaz o osekavani 1000 znakoveho stringu, nasiel som jeden ktoremu sa hash nemeni az nad 2000 znakov. Z toho mi vychadza ze zrejme zalezi na konkretnej implementacii, vacsina systemov vsak umoznuje dlzku hesla v omnoho nizsich rádoch.

Vyčísliteľný algoritmus? Jednoducho, stačí si otestovať všetky stringy do tisíc znakov

// nehovorím, že je s dnešnou technikou realizovateľný

Md5 je zatial zlomena len na najdenie kolizii, to nas pri zadanom hashi netrapi, potrebovali by sme zvladnut preimage attack. Inak povedane, je to diera, ale nestaci nam to. Inac by sa uz davno md5 nepouzivalo nikde.
// Inak povedane: vieme najst x,y take ze md5(x)=md5(y). Zatial sa nevie k danemu md5(x) najst y taky ze md5(y)=md5(x)

Md5 zvlada samozrejme aj dlhsie vstupy ako 1000/2000 znakov. Ale to by bolo aj tak jedno, vzhladom na to ze velkost priestoru vyslednych md5 sum je 2^128, je pravdepodobne, ze k 1000 znakovemu stringu existuje aj kratsi retazec ktory ma rovnaky hash. Je vsak netrivialne ho najst.

A tretia vec, vacsinou sa md5 hashe "solia" nejakym sialenym retazcom. (Trebars sa pripoji na zaciatok hesla retazec '#TbEX=LD#432'). Tymto sa stanu vsetky tabulky na nete neuzitocne a ak by sa aj niekto dostal iba k databaze hesiel, su mu skoro na nic (sanca ze si tipne spravny retazec je skoro nulova, ak sa dostane aj k tomuto retazcu, stale musi testovat miliardy moznosti roznych hesiel, alebo si vyrabat vlasnu rainbow table (nie ze by to asi malo moc velky vyznam...). Ale v tomto pripade ste uz odkazani aj na vlastny rozum, ak ste mali heslo "heslo", alebo datum narodenia, je najdenie vasho hesla otazkou sekund az minut.

Dávam si záležať na dôslednom odhlásení z portálu a opäť sa mi 2x stalo, že po opätovnom vsupe na ePhoto som bol prihlásený...

OTÁZKA NA ADMINA:
Je to chyba systému, alebo robím niečo zle, alebo je to provokácia zo strany toho, kto na môj účet vie vojsť...?

Posielam otázku adminovi do pošty, takže mal by o nej vedieť...

Ešte otázočka na ostatných členov portálu:
Stáva sa to aj vám, alebo mám s tým problém len ja...?

Mnohe casti engine ePhoto su naprogramovane nekonzistentne (mozno dokonca roznymi developermi). Casti kodu vykonavajuce tu istu funkciu nie su enkapsulovane formou metody (OOP) alebo funkcie / procedury. A to je pricinou ze sa v roznych siuaciach nespravaju rovnako. Dokazom je napriklad :

- editor komentarov : v hodnoteni fotky je pouzity iny ak pri pisani komentu. Pod fotkou sa specialne znaky neprevadzaju na HTML enitity a preto napriklad nefunguje novy riadok. Rovnako sa neprevadzaju emotikony (co ma netrapi ale je to fakt)

- info o stave uzivatela (prihlaseny / neprihlaseny) : v komentaroch sa zjavne informacia nacitava z COOKIEs s urcitou casovou platnostou, ktora sa obnovuje pri ativitach. V profile sa nastavuje podla toho ci uzivatel je alebo nie je prihlaseny. V dosledku toho moze by uzivatel "modry" (neprihlaseny) ale po kliku na profil je "zlty" (prihlaseny). A tak sa moze stat ze uzivatel aj po korektnom odhlaseni este nejaku dobu svieti na zlto - v komentarcoh napriklad.

modry a zaroven zlty o 14:00

Vy si snad cez ephoto postu posielate cisla kreditnych kariet spolu so security kodom ked to tu takto vazne riesite

Mas ten pocit? Mne sa zda, ze ide len o neplanovane vyzradene vyznania lasky ... a to moze byt horsie ako cisla kariet. Hlavne ked sa dostanu do nespravnych (teda spravnych) ruk ...

Aha, tak to je o niecom inom, radsej prazdna kreditka ako prezradena milenka

Zo včerajšej debaty na Facebooku:
Marcel Rebro - SS je never ending storry ... po konspiracnej teorii o tom ako si citam jeho sukromne spravy na eFoto ma uz nic neprekvapi

Otázočka na autora tohto príspevku: Kde a kedy som konkrétne a verejne uviedol jeho meno ako hlavného protagonistu mojej konšpiračnej teórie...? Že práve on číta moje súkromné správy na ePhpte...? Pamäť mi ešte dobre slúži a tak odpoviem zaňho - Nikdy a nikde...

I keď - čo ak som to niekomu napísal do pošty...?

Odporucam zacat vyuzivat ine bezpecne neodpocuvatelne kanaly

Však heslo sa dá zmeniť v profile, či admin chce vedieť heslo a čítať poštu? LOL

Ja nevytváram teóriu, len som sa normálne slušne opýtal, ako je chránená súkromná pošta a kto do nej vidí - a dosiaľ mi nikto kompetentný neodpovedal... Zmienku, že "je to nepravdepodobné", veľmi za odpoveď nepokladám a nepresvedčila ma, že sa nemusím ničoho obávať...
Ďakujem za ponuku, heslo si viem zmeniť i sám, ak to bude potrebné...
Potešila by ma naozaj fundovaná a seriózna odpoveď...

Aj to že sa pri styku roztrhne kondóm je málo pravdepodobné, ale 100% záruku ti nedá nikdy nikto.

Môžeš mať v pc keyloger, trojana, nikto nebude ručiť za klientské pc, dnes skrátka už nikto nič negarantuje

Rozumiem ti, ale ja sa nepýtam na ochranu môjho PC. Pýtam sa na niečo iné...