|
Dnes jsem se tady dozvěděl z threadů, že někdo tady údajně hackuje nicky. Jak se proti takovýmu hacknutí bránit? Jak to ten člověk, co se logne za někoho jiného, může zjistit? Já vim, že si můžu dávat každou hodinu nový heslo atp... Ale je dost možný, že na to existuje asi nějaká finta. Nebo snad je tady nějakej blázen, co zkouší u jednotlivých členů různý hesla stylem vyjde/nevyjde? Ale když se tato skutečnost stane, co se stane dál? Třeba člen 100Thermal má smazanej účet údajně kvůli hacknutí, hassasin se kvůli tomu snad smazal, co v takovým případě dělat? Pomůže admin v tomhle případě nějak? |
|
|
Lahvan_FlaskiCZ |
co jsem zaslech, jde se nějakým pro mě záhadným způsobem hacknout do nicků, když dáváš na G link někam jinam mimo G. samozdřejmě nevím jak, ale prý to je způsob. jinak když už tak pernamentně měnit hesla. :rolleyes:
potvrzeno, nelinkovat mimo Grower |
|
|
paranpytlak |
Když se chce..... věc admina. Třeba max. tři chybné pokusy za 24 hodin a delší prodleva mezi jednotlivými pokusy. Brutální útok je potom nemožný. Další věc je, pokud tě někdo snffne a odchytí přihlašovací údaje. Malinko to ztíží, pokud pojedeš ssl, ale fakt jen ztíží :)
Jasná volba byla, když mi bylo 15... pekařina... :D - ne, vážně, nepovolit v nastavení účtu cookie!! Jinak to se pak hackuje z kavárny.
atd atd atd......
Edit: a jak píše LF, nelinkovat z G na externí odkazy!! |
|
|
Jahudka! |
paranpytlak - Muzes bliz vysvetlit proc nelinkovat externi odkazy?Jak to funguje a co to s tim ma spolecneho?Neni mi dost dobre jasny,jak bys pres externi odkaz mohl prijit na neci heslo,takze bych byl rad kdyz bys to trosku rozved kdyz uz to bylo nakousnuto;). |
|
|
Lahvan_FlaskiCZ |
Jahudka: jj, Jarda XXL mi to potvrdil, v zasadě tím narušíš ochranu G a hacker ti může zpětně z linkovaného serveru nabourat acc. to už je ale vyšší dívčí, fakt tomu nerozumím, ale vím o tom už nějaký ten měsíc. |
|
|
virgill |
nevim grower je pristupnej verejne z netu a to ze nekam das link neznamena ze ten link prihlasi kazdyho kdo si ho precte jako bys to byl ty, kazdopadne strach z hackovani nemam.....
PS: hackovani je pro lamy a milovniky deczek |
|
|
CAESAR |
hlavne mat poriadne heslo |
|
|
inVALIDa |
zajima me ..
TO JAKO DOPORUCUJETE SMAZAT I V MINULOSTI ZVEREJNENE ODKAZY NA EXTERNI STRANKY ???
predpokladam ze ne....
A TY CO JSOU V PODPISU ?
asi taky ne ? |
|
|
paranpytlak |
Jahu, krásně to vysvětlil SzN.
SzN, nějak jsem nepochopil to tvoje "ale kdepak". |
|
|
carlos |
citace: |
Původní příspěvek od Lahvan_FlaskiCZ
Jahudka: jj, Jarda XXL mi to potvrdil, v zasadě tím narušíš ochranu G a hacker ti může zpětně z linkovaného serveru nabourat acc. to už je ale vyšší dívčí, fakt tomu nerozumím, ale vím o tom už nějaký ten měsíc. |
Když tomu nerozumíš, buď od té dobroty a vyhni se komentářům typu "potvrzeno" a podobně. Chování jaké popisuješ je naprostý absurdní nesmysl.
Všem členům mohu vřele doporučit jako heslo použít nezvyklou těžko uhádnutelnou kombinaci písmen, ale také číslic. |
|
|
detlef |
Jelikož do těchto technologií vcelku vidím, můžu prohlásit, že vám NIKDO heslo nezmění.
Hesla se ukládají v zašifrované podobě - funkcí md5() do databáze. Takové "zakódované" heslo je potom jeden řetězec ze kterého nikdo nemůže nic poznat. Také tento způsob nebyl ještě nikdy prolomen - jediné co se stává je kolize hashů (těch zakódovaných hesel) - nelze z nich ale stejně heslo zjistit.
Abyste na Groweru mohli heslo změnit - musíte znát staré heslo.
Pokud jste pochopili, co jsem napsal, tak vám došlo, že vaše hesla nevidí ani hlavní admin Groweru, vidí pouze hashe.
Jinak s těmi externími odkazy je to vcelku blbost. Jediná možnost je ta, že na kterou stránku odkážete, tak ta vidí váš refer - stránku odkud jste přišli, ale ta je vcelku k ničemu.
Heslo se dá ještě odchytit mezi vámi a serverem Groweru, vyžaduje to ale opravdu dobré načasování a cílený útok. Proto, pokud můžete, používejte zašifrovanou komunikaci SSL, pokud tohle uděláte, heslo nikdo neodchytne, ani kdyby se POSRAL.
Taky si dávejte pozor na automatické přihlášení - v cookies zůstává informace o vašem přihlášení.
Pokud odcházíte z Groweru - vždy zmáčkněte exit a potom teprve zavřete okno prohlížeče. Také doporučuju promazat cookies a historii prohlížených stránek - pokud jste na cizím počítači. |
|
|
Lahvan_FlaskiCZ |
citace: |
Původní příspěvek od carlos
Když tomu nerozumíš, buď od té dobroty a vyhni se komentářům typu "potvrzeno" a podobně. Chování jaké popisuješ je naprostý absurdní nesmysl.
Všem členům mohu vřele doporučit jako heslo použít nezvyklou těžko uhádnutelnou kombinaci písmen, ale také číslic. |
jojo, kařdý si dá heslo typu JGL1I354354G a budeme všichni v pohodě. :rolleyes: panečku taky řešení.
psal jsem pouze, že mi byl potvrzen způsob ''hackování'' účtů. :wink: |
|
|
detlef |
Neřešil bych to :) Každej se někdy splete ne? :) |
|
|
detlef |
Myslím, že vBulletinu vycházejí pravidelné záplaty. Taky bych řekl, že to, co se může podělat je vypnutný. Například se tyhle fóra dobře bouraj na nedokonalejch pluginech. |
|
|
carlos |
Koukám, že se tu vyrojila spousta bezpečnostních expertů. Pokud mi někdo z vás chce poradit s bezpečností, ať mi hackne účet a pak mi pošle řešení... Rád mu přenechám svoje místo ;)...
Znovu opakuju, že veškeré zde dosud uvedené dohady jsou naprosté nesmysly a další debata opravdu nemá význam a bude jen přidávat na paranoie některým členům :smoker:.
Téma uzavírat nebudu, jelikož by mě někteří mohli osočit, že bráním svobodnému šíření paranoii, ale rozhodně nehodlám vyvracet každou blbost zvlášť... (jedině jako placenou konzultaci ;))...
A znovu opakuji tu jedinou podstatnou věc, která tu padla: jako heslo použijte nezvyklou těžko uhádnutelnou kombinaci písmen, ale také číslic
|
|
|
paranpytlak |
citace: |
Jinak s těmi externími odkazy je to vcelku blbost. Jediná možnost je ta, že na kterou stránku odkážete, tak ta vidí váš refer - stránku odkud jste přišli, ale ta je vcelku k ničemu. |
kámo, každej se splete, no..... vidím i IP adresu, typ prohlížeče, operační systém a mrtě dalsích věcí.....
Každej se někdy sekne :)
Edit: ještě bych carlose doplnil s dovolením - jeďte ssl
Edit2: carlose bych asi nehádal klasicky, spíš na http://grower.cz/forum/admin/
:D |
|
|
CAESAR |
detlef:nepravda,hashe sa luskaju celkom pohodlne |
|
|
Erixon |
CAESAR: při dobrým heslu to moc pohodlně nejde - bruteforce attack (zkoušení všech kombinací) v rozumným čase na průměrně výkonným pc zvládne tak 7 místný heslo. Dictionary attack (hádání podle slovníku) zas rozluští jen blbě vymyšlený hesla.
Jediný řešení jsou nezáplatovaný exploity. Jestli ňáký aktuáně jsou nevim, muselo by se vygooglit a případně vyzkoušet ;) (expert nejsem tak nechytat za slovo, to jsou jen vzpomínky na pobyt na školní síti:)) |
|
|
virgill |
2 CARLOS no hlavne by me od carlose zajimalo kolik lidi si uz stezovalo na hacknutej ucet tipl bych tak nula.... rekl bych ze by bylo lepsi reseni kourit min konopi a tim padem trpet mensi paranoiou peace |
|
|
|
virgill: a co tohle? http://grower.cz/forum/showthread....6&pagenumber=11 - vyjádření Dudeho? Možná je to jen kachna, ale odkazuji se na dva případy. Jestli byl Thermal smáznutej za něco jinýho, tak to bohužel nevim... Každopádně jsou tady lidé, kteří tvrdí, že hacknout jde, druhá skupina, že nejde - kde je pravda? |
|
|
|
rappa: pravda je vždy někde mezi, proto: měním heslo - předtím jsem měl směšně jednoduchý, teď už složený z písmen, číslic a za chvilku přidám i nějaký další znak. |
|
|
detlef |
Vážení, nevím co to tu melete, ale MD5 nebyla ještě nikdy prolomena, pouze byla zjištěna jistá kolize hashů.
Soubory sam v sobě mají uložený pouze HASH a ten se sice dá přepsat jiným, ale původní heslo z něj nezjistíte.
Pokud je někdo takovej machr, ať mi předvede jak je louská!
MD5 je jednosměrná hashovací funkce!
Jinak pokud vám vadí kolize MD5 - lze použít v php i SHA1 - ta kolize nemá a je mnohem bezpečnější. |
|
|
detlef |
paranpytlak: Je to sice hezké, ale to vidí každá stránka, tvůj prohlížeč OS atd, k čemu si to ale bude, velkej hackere? ;) |
|
|
virgill |
rappa no pise hijacknuty coz muze byt jakkoliv naboret ucet sejmuty heslo zhulenecka chyba v kavarne atd. takze by to chtelo dudaka aby to trochu osvetlil... |
|
|
|
Ok, a jak se bránit tomu, když se někde zcela vyhuleně zapomenu odlogovat, mezitim se místo mě naloguje někdo jinej a změní mi heslo a já budu chtít svůj nick zpět? carlos mi pošle pouze nové heslo podle e-mailové adresy? co když jí bude znát i ten, který se mi dostal do nicku? |
|
|
Dude |
jezus - sem zase neco rozpoutal - sem mel mlcet :D
imho neni problem groweru ale celkove bezpecnosti a opatrnosti na internetu..
jinac nejsem prilis kompetentni - vyjadroval jsem se pouze k 100thermalovi...proc ban...
..nevim nic.. |
|
|
detlef |
Rappa: Aby jsi změnil heslo, potřebuješ znát staré. Pokud ho neznáš, nezměníš ho. |
|
|
Hellboy |
Nejsem zas takovej expert abych si tu dovolil prohlasovat skalopevne nazory radobymaximalne odborne jako mnozi :) i kdyz mnozi toho urcite vedi vice nez ja ... )
Vbulletin mel urcite problemy s ext. odkazy, meli sme s tim take jeden problem, pochybuji ale vazne o tom, ze by to byl problem Groweru... tedy nebal bych se toho tady...urcite ale muzete pouzit funkci quote nebo dat odkaz do uvozovek, jestli se toho nekdo opravdu tak moc bojite :)
Ja bych ale po debatach s dalsimi osobami z rad Groweru videl hlavni problem v prominte mi to "tuposti a podcenovani" uzivatelu ...
Kdyz budete mit nastavene mazani cookis po zavreni okna/ukonceni relace ... nebudete si ukladat hesla (v mozille si muzete vybrat ktera se maji ukladat a ktera ne v moznostech-prace na 30 sekund) A PREDEVSIM TO JE TO NEJDULEZITEJSI BUDETE MIT NEJAKE PORADNE HESLO ...Dle mojich informaci tu lidi pouzivaj trivialni hesla typu traktor, lopata a hovno jak na bezicim pasu popr. hesla podobna prihlasovacimu jmenu (i ja mel tendenci komplikovanost hesla podcenovat)....a s timhle fukt Carlos nic delat nemuze ...bezpecnost je osobni zalezitosti kazdeho z vas ...pravdepodobnost, ze vase heslo ziska nekdo diky bezpecnostni dire na groweru je jedna ku milionu v porovnani s tim, ze vestinou nemate poradne heslo a zabezpeceny comp VY !!!!! tagze dejte na rady napsane znalci nad mim prispevkem ohledne zabezpeceni popr. i firewallu/spywaru atd... a hacker si urcite vybere snazsi obet nez vas :)
To je asi fse .) |
|
|
Lahvan_FlaskiCZ |
citace: |
Původní příspěvek od mirkoff
george washington vám heslo votestuje... |
Overall Score: Very Strong hehé. :) |
|
|
paranpytlak |
detlef, reagoval jsem na tvoje tvrzení, že odchází pouze údaj o tom, odkud přicházíš - samozřejmě blbost, mimo toho ještě nepř. nastavení rozlišení a barevná hloubka na monitoru.
Hellboy,
citace: |
a s timhle fukt Carlos nic delat nemuze |
právě že může, pokud pass bude muset mít min. např. 12 znaků, těžko ho potom někdo louskne.
Jenom chtít ;) |
|
|
|
Paran: no to by snad hlavně měl brát v úvahu ten, kdo se někam loguje, proč si pořád představujeme, že všechno nám bude "zeshora" nadiktované, abychom neměli práci s přemýšlením? :confused: Jo, stačí jenom chtít - zapnout základní mozkový závity a vyplodit heslo jiný, než "hovno" nebo "12345", ne? :eek: |
|
|
CAESAR |
detlef : moj drahy,md5 je malina,kamosovi brat zamkl komp v xp a ako pise locus,tak tie sam subory(hashovane md5) to vyluskalo asi za 5 minut |
|
|
Erixon |
CAESAR:
Skoušels dát to heslo do testu (viz. mirkoffův link)? jestli to bylo za 5min tak muselo bejt dost jednoduchý...
Na zamčený ikspéčka jsou utility (boot disketa/CD s Linuxem) které cca za 3minuty změní heslo vybraného uživatele, ale starý se nedovíš... |
|
|
|
citace: |
Původní příspěvek od Lahvan_FlaskiCZ
Overall Score: Very Strong hehé. :) |
:D:D to je heslo qWerty13245 taky :D:D
pro všechny: toto jest příkladem jak málo stačí k dobrému heslu:wink:
radím používejte náhodný algoritmus pro výběr hesel.. tzn. co mě právě napadne a pro jistotu i piracetam:D
btw.2lahvan... co znamená tohle? "13.10.2006 bude tento účet zmrazen." |
|
|
paranpytlak |
citace: |
Jedubabka
Paran: no to by snad hlavně měl brát v úvahu ten, kdo se někam loguje, proč si pořád představujeme, že všechno nám bude "zeshora" nadiktované, abychom neměli práci s přemýšlením? Jo, stačí jenom chtít - zapnout základní mozkový závity a vyplodit heslo jiný, než "hovno" nebo "12345", ne? |
Jasan bábo, měl..... ale chyba lávky.....
admin by mohl předpokládat, že jsou někteří členi naivní a věří v dokonalý svět ;) |
|
|
|
nic proti... ale v tomhle případě by měl admin brát v potaz, že budou spíš vyhulený:D:D |
|
|
paranpytlak |
citace: |
mirkoff nic proti... ale v tomhle případě by měl admin brát v potaz, že budou spíš vyhulený |
no, nebo naivní a vyhulení :D
....jinak na druhou stranu by admin mohl povolit heslo pouze o jednom znaku.....třeba jenom číslo........v rozsahu 7 a 9...... a nesmí to bejt 7 ani 9........ a user name Kámen - jednotně!!!
Hróóózně vellký problém neakceptovat hesla kratším než 12 znaků, že bábo......spíš o šikovnosti nebo neschopnosti správce ;)
Edit: pokud mě správce omezuje na heslo o max. délce 50 znaků, proč by mě nemomohl setnout na min. délce 12 znaků?
Co ty na to bábo? |
|
|
CAESAR |
Erixon:na xpecko cd s linuxom? :eek: zaujimave,inac ta utilita ti ho zmeni okamzite,presnejsie ho uplne zrusi. to heslo bolo take ako ma drviva vacsina ludi.zlomitelne jak sirka |
|
|
|
Paran: jednoduše řečeno, kdyby tohle po mně jako po majitelce webu někdo chtěl, pošlu ho DO PRDELE. Já jsem chtěla přinést informace, nikoli někomu dělat chůvu.
Když mi dali občanku, pochopila jsem, že bych měla taky myslet sama, nebo si koleduju o průser. A jestliže někdo i v osmnácti, což je minimální věk nutný pro vstup na tenhle server, stále potřebuje chůvu, protože není schopen či ochoten sám přemýšlet, měl by a) být zbaven svéprávnosti, b) mít poručníka.
Nebylo by vhodno, aby obchody se psím žrádlem si nechávaly od všech osob tam nakupujících podepsat čestné prohlášení, že tyto osoby si uvědomují, že výrobky tam prodávané nesplňují normy pro lidskou stravu? Aby si pak někdo nechtěl stěžovat, že mu nebyly podány základní informace o tom, že by měl při koupi svojí večeře malilinko přemýšlet a chodit do řeznictví, ne do prodejny pro psy? :rolleyes: |
|
|
Mr Proč |
citace: |
Původní příspěvek od Jedubabka
Nebylo by vhodno, aby obchody se psím žrádlem si nechávaly od všech osob tam nakupujících podepsat čestné prohlášení, že tyto osoby si uvědomují, že výrobky tam prodávané nesplňují normy pro lidskou stravu? Aby si pak někdo nechtěl stěžovat, že mu nebyly podány základní informace o tom, že by měl při koupi svojí večeře malilinko přemýšlet a chodit do řeznictví, ne do prodejny pro psy? :rolleyes: |
To reknete nekomu v Americe, ten to udela a vysoudi miliony :D
Lidi by se meli odhlasovat. Ja byl jednou na G ze skoly a hodilo me to na ucet nekoho jinyho. Tak jsem mu to hned napsal, aby se priste odhlasoval. Asi jsem tam prisel driv nez to odhlasuje automaticky.
Taky by si lidi meli dat pozor na prohlizece, co Vam furt cpou, aby jste si ulozili heslo. Kdokoliv to pak muze zkusit. |
|
|
virgill |
jedu souhlas
paranpytlak spis hroooozne velka blbost nutit kazdymu 12ti znakovy heslo proc ne rovnou padesat? |
|
|
virgill |
PS s tim podsouvanim bezpecnosti co je pro me bezpecne a co ne. huleni je taky zakazany protoze nam skodi a presto kazdej nadava ze je dopselej a ze se umi rozhodnout sam a na druhou stranu nejradsi asistenta na tak jednoduchou vec jako je nastaveni hesla? |
|
|
Hellboy |
Paranepytlaku beru tvuj nazor jako jedno z mnoha moznejch reseni (kdyby v praxi fachalo), ale me rozhodne neprijde jako nejlepsi reseni ...paklize :
Adminn by mohl předpokládat, že jsou někteří členi naivní a věří v dokonalý svět
Nechces mi teda rict co by v tom pripade uz nemel predpokldat ??? To aby predpokladal, ze kim ir sen na nas posle raketu s jadernou hlavici a mel by server odstiti od elektromagnetickeho pulsu a nebo nechces mu to treba vsechno naprogramovat ty ? kdyz tak hyris vybornymi napady a urcite nemams co delat :) ? Mohl by jsi nam tu treba udelat nejaka fesna pevna pravidla o petistech bodech a za prvni prestupek by byl treba ban ??? ...
Ok :) je to extremni priklad, OK ale kdyz si nedko neumi utrit prdel, tak holt bude sedet ve srackach tak dlouho, dokud mu ta spojitost nedojde :)
nutit lidem ( zhulencum :) vselůijaka pravidla jako sahodlouha komplikovana hesla neni urcite dobrej napad-bude je to srat, budou hudrovat, teatralne se mazat a otravovat se ztracenejma heslam atd ... :) mimo to nechapu, proc by si naivka, verici v dokonali svet nemel dat ciselnou radu od 1ky do 12ky a nejen od jedny do pet... a jeste jedna vec na konec NEMAM RAD, KDYZ NEKDO MOJE RECI VYTRHUJE Z KONTEXTU A DAVA JIM JINY VYZNAM PARANEPYTLIKU, zvlast kdyz sebejiste a pridrzle usazuje adminy aniz by zcela ocividne premejslel o tom co placa natoz aby mel poneti o cem to placa :)
howgh .... sorry za skoroFlejm I could not resist :) |
|
|
|
Šuga: a kde je problém, aby se lidem, co vlastněj auto, dával automaticky antabus? pak by se zamezilo automobilovým nehodám v opilosti |
|
|
virgill |
Šuga a proc proboha cemu by to bylo dobry? heslo je snad kazdyho vec a pokud je nedko blbej tak klidne zverejni i svoje padesatiznakovy heslo takze prednastavenej pocet znaku by lidi akorat nastval a zadny vetsi bezpeci to nezaruci |
|
|
teaman |
Přišla mi karma a to úplně bez komentáře a uživatelského jména... Jak je to možné? |
|
|
Lahvan_FlaskiCZ |
citace: |
Původní příspěvek od teaman
Přišla mi karma a to úplně bez komentáře a uživatelského jména... Jak je to možné? |
omg, holt k ní nikdo nepřipojil komentář. :rolleyes: tak se neukáže ani podpis, víme? :crazy:
edit: jakou to má souvislost s bezpečností? :D:D:D:D:D |
|
|
detlef |
Nějakej borec tu nadhodil http://itsecurity.olemiss.edu/passw...cker/PWTest.asp - test hesel, zadáte heslo a ukáže vám to jeho obtížnost.
Napadlo vás někoho, že ten kdo ten web / script programoval může mít teďka všechny hesla, která jste tam napsali? Proto NIKDY nepište svoje heslo někam jinam než na Grower a vždycky kontrolujte URL.
Za další - k louskání SAM souborů - funguje to tak, že nabotujete z diskety linuxovej os - malickej, jenom pro jeden ucel, proste programek na linux jadre. Ten programek najde na disku soubory SAM ve kterých jsou zašifrovaná hesla. A poté vám je umožní změnit - přepsat na tvrdo! Ne že je rozlouskne! Přepíše. Takže toť důkaz že MD5 není tak lehce průstřelná. |
|
|
D-O-M |
teda je to víceméně mimo, ale někoho, kdo se snaží dostat někde na fóru do něčího profilu, bych hackerem nenazýval :D |
|
|
|
citace: |
Původní příspěvek od detlef
Nějakej borec tu nadhodil http://itsecurity.olemiss.edu/passw...cker/PWTest.asp - test hesel, zadáte heslo a ukáže vám to jeho obtížnost.
Napadlo vás někoho, že ten kdo ten web / script programoval může mít teďka všechny hesla, která jste tam napsali? Proto NIKDY nepište svoje heslo někam jinam než na Grower a vždycky kontrolujte URL. |
hlásí se borec:wink: odkaz vede na server University of Mississippi a rozhodně bych nepředpokládal nějakej fake. je sice vygooglenej, ale stačí pohled na domovskou stránku... btw. domény .edu bych nepovažoval za potenciálně nebezpečné:D
k nalezení sou i samotné skripty, pokud by si to někdo chtěl vyzkoušet na svou pěst..
skripty na testování hesel bývají na některých serverech součátí registrační procedury a to bych viděl jako možné vylepšení. nařizování 15-ti znakového hesla je třeba blbost.
bylo by dobré, kdyby se k věci vyjádřili i postižení.. pokud teda mají chuť.... a napsali, co vidí jako možnou příčinu. |
|
|
kusher |
pry kolize hashů :D |
|
|
|