jó kis bulvár cikk...
a PH! kedvenc ISP-trollja (C) Tyberius | http://itcafe.hu/tema/a_nagy_openwrt_topic/friss.html
Gyorskeresés
Legfrissebb anyagok
További témák
Lapcsalád ajánló
PROHARDVER! témák
Mobilarena témák
Hirdetés
Hozzászólások
te is szeretsz plaintext formaban kuldott naptarbejegyzesrol olvasni egy olyan portalon, ahol nincs lehetoseg https-en keresztul bejelentkezni?
Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
a naptárbejegyzéseket vélhetőleg a szerverről szerzik/szerezhetnék meg, ugyanúgy, ahogy a jelszóhasheket is. Ebben az esetben teljesen mindegy, hogy plaintextben ment fel vagy titkosítva.
ahhoz, hogy leszedjenek egy http kommunikációt a netről, ott kell lenni a szolgáltatási útvonal valamelyik pontján és rá kell kapcsolódni a drótra. ez eléggé kivitelezhetetlen kategória, főleg, ha globális eredményt akarnak.
a PH! kedvenc ISP-trollja (C) Tyberius | http://itcafe.hu/tema/a_nagy_openwrt_topic/friss.html
igenam, csak a hirben nem az volt kiemelve, hogy mikent taroljak, hanem hogy az iOS kliens mikent kuldi az adatot a szerver fele
Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
és akkor az történik, hogy?
az ios el tudja küldeni a szerver felé 3g rádión, aminek a lehallgatása még akkor sem biztos, hogy egyszerű, ha ott vagy mellette. Oké, a toronyig valami látszik. De a mobilszolgáltató rendszere már zárt, azon belül nemigen hallgatnak le semmit illetéktelenek.
vagy el tudja küldeni wifin, amit, gondolom, minimum egy weppel titkosítanak.
mindkét esetben ott kell lenni a telefon mellett, hogy a vezetéknélküli szakaszon elkapd a jelet, valahogy újra összerakd, és elemezd. bennem ez nem okoz félelmet.
ha meg tömegesen akarsz hozzáférni ezekhez a naptárakhoz, akkor a szervert kell hanyatlökni. Ez utóbbi esetben a kliens-szerver forgalom titkosítása irreleváns.
Szerk: tehát azt akartam mondani, hogy a titkosítatlan naptárküldés nem égbekiáltó hiba szerintem.
[ Szerkesztve ]
a PH! kedvenc ISP-trollja (C) Tyberius | http://itcafe.hu/tema/a_nagy_openwrt_topic/friss.html
epp erre akartam celozni #2-ben
Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
nekem a #2 úgy jött le, hogy szerinted nagy hiba http-t használni.
a PH! kedvenc ISP-trollja (C) Tyberius | http://itcafe.hu/tema/a_nagy_openwrt_topic/friss.html
nem, szerintem nagy hiba http-t hasznalni bejelentkezteteshez, es melle masra mutogatni, hogy http-n kuld naptarbejegyzeseket
Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
shev7
(PH! kedvence)
na igen, ez mar engem is zavar egy ideje....
''Gee, Brain, what do you want to do tonight?'' ''The same thing we do every night, Pinky: Try to take over the world!''
Ez elég durva, lehet a lulzsec volt, ők azt ígérték, hogy majd egy "nagy dobással" térnek vissza...
L Balázs
(tag)
Hash-t visszafejteni? Ráadásul SHA-t 
Ilyet max egy rohadt nagy rainbow table-lel lehet, nem? Vagy lehet direktbe is?
http://ldmnyblzs.wordpress.com | http://twitter.com/ldmnyblzs
nem brute-force-szal is lehet, magyarul kőagy módon... csak lóerő és/vagy idő kérdése.
a PH! kedvenc ISP-trollja (C) Tyberius | http://itcafe.hu/tema/a_nagy_openwrt_topic/friss.html
Politikailag korrekt, valamint munkahely- és gyermekbarát aláírás, amiben egyáltalán nincsen p*na.
L Balázs
(tag)
Igen, de ez is azon alapul, hogy összehasonlítjuk olyan hash-ekkel, amiknek tudjuk a kiindulási stringjét (az most lényegtelen, hogy egy már meglévő adatbázisból, vagy éppen akkor generálva a hash-eket).
Azt akartam megtudni, hogy létezik-e a hash algoritmusnak "inverze", ami visszaalakítja a stringet, de nem összehasonlítgatással. Tudtommal épp az az egész lényege, hogy ilyet nem lehet.
http://ldmnyblzs.wordpress.com | http://twitter.com/ldmnyblzs
nXu
(kvázi-tag)
Nem létezik, de sima SHA-1-et salt meg minden egyéb nélkül nem nagy kunszt bruteforce-olni, az emberek 90%-a úgyis gyenge jelszót használ. Rainbowtáblával meg tele a net.
"...ugyanakkor megkezdték az adatbázis erősebb védettségének kialakítását..."
Talán már eleve így kellett volna nekiállni szolgáltatni...
http://takedown.blogolj.net - Takedown The Core | "I can't french"
DUNKENSTEIN
(tag)
lulzsec ?
Eladó asztali "gamer" pc [+monitor] egyben [90.000] vagy bontva! http://href.hu/x/i0of
Nem. Ez nem scriptkiddie tamadasnak tunik.. aztan kitudja 
"az erzelem szamomra fontos dolog.. pl: erzem ha ehes vagyok"
Ciki... ![;]](/dl/s/v1.gif)
Pee for Houston, pee for Austin, pee for the state my heart got lost in... And shake twice for Texas. :-DDD
dqdb
(őstag)
Inverze nem létezik, de a második támadásnál emlegetett évek óta elavult MD5 esetében már eléggé jó hatékonysággal képesek hash collision keresésére, amikor két adathalmaznak ugyanaz lesz a hashe. Vagyis az eredeti jelszóról fogalmad sincsen, de tudsz egy másik jelszót, amivel mégis beenged a rendszer.
Számomra megdöbbentő, hogy éles rendszerben jelszótárolásra-azonosításra még van, aki MD5-öt használ, amikor már 4 évvel ezelőtt képesek voltak CA tanúsítványt hamisítani az algoritmus gyengeségeit kihasználva. Lassan az SHA1 is problémás lesz, az SHA2 családot (SHA256/384/512) illene használni már egy ideje.
1-800-UNBELIEVABLE
Persze, de nincs tutorial ami SHA2 hasznalna, ezert a diplomas webfejlesztok sem hasznaljak. Sajnos itt tartunk. 
"az erzelem szamomra fontos dolog.. pl: erzem ha ehes vagyok"
foodlf
(újonc)
A last.fm körül is van valami gebasz.
Sokat ugyan nem mondanak, de mindenesetre az összes felhasználójukat arra kérték, hogy változtassa meg a jelszavát. Természetesen csak a biztonság kedvéért... 
http://blog.last.fm/2012/06/08/an-update-on-lastfm-password-security
http://www.reddit.com/r/netsec/comments/upyu4/lastfm_password_security
állítólag az övéké MD5 unsalted 
Aki ilyet használ, még az abakusztól is el kéne tiltani...
http://takedown.blogolj.net - Takedown The Core | "I can't french"
Inkább ne, nem lenne munkám.
Pee for Houston, pee for Austin, pee for the state my heart got lost in... And shake twice for Texas. :-DDD
