Stressweb - брутят - Страница 9

***pchayka*** · 09.04.2012, 01:27

Ну так прелесть в том, что предлагаемая мной система не мешает вам это сделать изначально.

Place · 09.04.2012, 01:30

Цитата:

Сообщение от Visor

Есть люди с вычислительными ресурсами, да это не школьники с 1 кнопкой, но они есть.

только им, гавнофришарды с 1к онлайном 100 лет не нужны.

***Visor*** · 09.04.2012, 01:30

Жду плючиков в репку за нескучный вечер и креативность)

Добавлено через 1 минуту

Цитата:

Сообщение от Place

только им, гавнофришарды с 1к онлайном 100 лет не нужны.

Разные фришарды бывают. И даже если 1к онлайна - это не значить что защиты не должно быть - зачем тогда открывать.

Добавлено через 1 минуту

Цитата:

Сообщение от pchayka

Ну так прелесть в том, что предлагаемая мной система не мешает вам это сделать изначально.

У меня и так сделана, только без нее) Дешевым трюком нельзя закрыть все дыры сайта.

Добавлено через 11 минут
Допишу еще один минус технологии счетчика на живых аккаунтах.
Сайт могут взломать по другому - если он слабо защищен - скачать пароли сервера, попыхтеть с рашифровкой - потом зайти на сервер и слить все что нужно и брута никакого не нужно расшифровкой капчи.

Поэтому возвращаемся к моему первому посту - нужна комплексная защиты, а не заткнуть только 1 маленькую дырочку. Сложности обычно гораздо шире.

Arzamas · 09.04.2012, 01:43

Большая трабла, что практически на всех серваках используется одинаковое "шифрование" пароля base64_encode(pack('H*', sha1($pass)))

Такое ощущение, что про понятие "соль" никто и не слышал никогда... ведь ничего сложного нет вынести эту самую соль в конфиг логинсервера и конфиг обвязки, чтобы в итоге "шифрование" выглядело base64_encode(pack('H*', sha1($pass . $salt)))

Это несложное действо, сделает невозможным подбор пароля по хэшам со слитых баз...

***pchayka*** · 09.04.2012, 01:46

Цитата:

Сообщение от Visor

Поэтому возвращаемся к моему первому посту - нужна комплексная защиты, а не заткнуть только 1 маленькую дырочку. Сложности обычно гораздо шире.

Ну если вам нужно закрыть дырку, чтоб базу логина не слили, то вам уже мало что из систем защиты поможет.

А вообще конечно этот диалог какой-то фейспалм...

Добавлено через 53 секунды

Цитата:

Сообщение от Arzamas

Это несложное действо, сделает невозможным подбор пароля по хэшам со слитых баз...

И заодно вход на аккаунт игроку.

***Visor*** · 09.04.2012, 01:49

Цитата:

Сообщение от Arzamas

Большая трабла, что практически на всех серваках используется одинаковое "шифрование" пароля base64_encode(pack('H*', sha1($pass)))

Такое ощущение, что про понятие "соль" никто и не слышал никогда... ведь ничего сложного нет вынести эту самую соль в конфиг логинсервера и конфиг обвязки, чтобы в итоге "шифрование" выглядело base64_encode(pack('H*', sha1($pass . $salt)))

Это несложное действо, сделает невозможным подбор пароля по хэшам со слитых баз...

Проблема в том, что могут слить и базу и страницу регистрации.
А так некоторые команды делают другие алгоритмы шифроввания. Но это единицы.

Arzamas · 09.04.2012, 01:56

Цитата:

Сообщение от pchayka

И заодно вход на аккаунт игроку.

Почему это?

Добавлено через 2 минуты

Цитата:

Сообщение от Visor

Проблема в том, что могут слить и базу и страницу регистрации.
А так некоторые команды делают другие алгоритмы шифроввания. Но это единицы.

Ну если так судить... то если сольют страницу регистарации, значит что сольют и пароль от БД...

Речь в данный момент все-таки про брут идет, а не про дыры в сайте)

***pchayka*** · 09.04.2012, 02:23

Цитата:

Сообщение от Arzamas

Почему это?

Это не единственное что нужно сделать. Да и сам способ усложнения хеша сомнителен. Фишка просекаемая довольно легко, а далее дело лишь за подбором этого ключа.

Arzamas · 09.04.2012, 02:32

Цитата:

Сообщение от pchayka

Это не единственное что нужно сделать. Да и сам способ усложнения хеша сомнителен. Фишка просекаемая довольно легко, а далее дело лишь за подбором этого ключа.

Впарываем соль длиной символов этак 8, да еще и заборчиком а-ля MeG4SaL7, и сколько сотен лет будут подбирать этот ключ?

но это все-таки не защита от брута, а защита от подбора пароля по радужным таблицам в случае слива БД...

***pchayka*** · 09.04.2012, 02:37

Вообще обсуждать способы расшифровки слитых баз в теме о бруте это вроде

09.04.2012, 01:27	#81
*pchayka* Какие бекапы? О_о Регистрация: 02.08.2011 Возраст: 44 Сообщений: 754 Отблагодарили 400 раз(а) Рейтинг мнений: 144	Re: Stressweb - брутят Ну так прелесть в том, что предлагаемая мной система не мешает вам это сделать изначально.

09.04.2012, 01:43	#84
Arzamas Пользователь Регистрация: 10.02.2010 Адрес: Москва Возраст: 39 Сообщений: 120 Отблагодарили 38 раз(а) Рейтинг мнений:	Re: Stressweb - брутят Большая трабла, что практически на всех серваках используется одинаковое "шифрование" пароля *base64_encode(pack('H', sha1($pass))) Такое ощущение, что про понятие "соль" никто и не слышал никогда... ведь ничего сложного нет вынести эту самую соль в конфиг логинсервера и конфиг обвязки, чтобы в итоге "шифрование" выглядело base64_encode(pack('H', sha1($pass . $salt)))* Это несложное действо, сделает невозможным подбор пароля по хэшам со слитых баз...

09.04.2012, 02:37	#90
*pchayka* Какие бекапы? О_о Регистрация: 02.08.2011 Возраст: 44 Сообщений: 754 Отблагодарили 400 раз(а) Рейтинг мнений: 144	Re: Stressweb - брутят Вообще обсуждать способы расшифровки слитых баз в теме о бруте это вроде

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
StressWeb	AlleR	Движки сайтов (CMS)	4	11.09.2011 23:37
Stressweb для l2Open	aks19	Движки сайтов (CMS)	2	25.05.2011 00:49
Stressweb	SkyAngel	Lineage II	8	05.10.2010 20:44
STRESSWEB 9.0.1	bizi	Движки сайтов (CMS)	1	05.04.2010 21:13

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)