Διαρροή κωδικών

Ερωτήσεις για προβλήματα και προτάσεις σχετικές με την σελίδα του freestuff.gr.
Παρακαλώ μη βάζετε εδώ γενικές ερωτήσεις που δεν αφορούν την σελίδα μας.

Συντονιστής: Super-Moderators

Άβαταρ μέλους
Jimaek
Δημοσιεύσεις: 608
Εγγραφή: 18 Ιαν 2010 22:54
Επικοινωνία:

Διαρροή κωδικών

Δημοσίευση από Jimaek » 22 Φεβ 2013 16:01

cordis έγραψε:ευκαιρία να τα αλλάξετε και να μη βάζετε passwords που μπορούν να τα μαντέψουν.

αν θέλετε φυσικά μπορούν να γίνουν όλα τα password reset και να λάβετε νέο προσωρινό.
Συγνώμη αλλά δεν συμφωνώ καθόλου μαζί σου.
Εσύ τώρα λες "Μας χακαραν και πήραν τα hashed pass αλλά εσείς φταίτε αν τους κάνουν bruteforce και πάρουν τον κωδικό σας". Οι χρήστες δεν φταίνε σε τίποτα, τα hashes δεν έπρεπε να γίνουν leak από την αρχή και γιαυτό φταίει μόνο το fresstuff. Δεν νομίζεις πως οφείλεις τουλάχιστον μια συγνώμη και ίσως και κάποια αιτία για το πως έγινε αυτό?

Επίσης μήπως αυτό είναι το σημάδι για να γίνει επιτελούς το update σε phpbb3?
Τελευταία επεξεργασία από το μέλος Jimaek την 22 Φεβ 2013 16:12, έχει επεξεργασθεί 1 φορά συνολικά.

Άβαταρ μέλους
cordis
Administrator, [F|H]ounder, [C|S]EO
Δημοσιεύσεις: 27642
Εγγραφή: 09 Οκτ 1999 03:00
Τοποθεσία: Greece
Επικοινωνία:

Διαρροή κωδικών

Δημοσίευση από cordis » 22 Φεβ 2013 16:09

Μάλλον κάποια τρύπα είχαν βρει τότε, γιατί είχα κλείσει κάποια πράγματα που έβλεπα παράξενα τότε. Admin είμαι μόνο εγώ, οπότε αν με ρωτάς, όχι δεν έδωσα hashes, κι αν νομίζεις κάτι άλλο για εμένα καλύτερα να το πεις ξεκάθαρα κι όχι να αφήνεις υπόνοιες.

Ναι είναι σοβαρό, και θα γίνουν οι απαραίτητες ενέργειες. Δεν είναι όμως τραγικό. Ένα e-mail κι ένα username είναι ο λογαριασμός. Ούτε περισσότερα προσωπικά στοιχεία έχει για πάρει κάποιος, ούτε πιστωτικές, ούτε κάτι άλλο.

Ελέγχους για διπλοεγγραφές και για άτομα που μπαίνουν από τον ίδιο υπολογιστή με διαφορετικό username κάνω πολύ συχνά και δεν έχει παρουσιαστεί κάτι τέτοιο, χωρίς να φάει κάποιο account ban. Κι όποιος κάνει test "για να δει" εκεί θα καταλήξει.

Κανείς δεν μου έχει παραπονεθεί ότι κάποιος γράφει αντί αυτού.

Πιστεύω ότι ήταν κάποιο από το εξωτερικό που έκαναν ότι έκαναν, έδειξαν την μαγκιά τους και ως εκεί, δεν μπορούσαν να τα χρησιμοποιήσουν παραπέρα.
Δεν απαντάω σε προσωπικά μηνύματα με ερωτήσεις που καλύπτονται από τις ενότητες του forum. Για ο,τι άλλο είμαι εδώ για εσάς.
- follow me @twitter

sstergou

Διαρροή κωδικών

Δημοσίευση από sstergou » 22 Φεβ 2013 16:09

Ο md5 εδώ και πολύ καιρό έχει πάψει να θεωρείται ασφαλής αλγόριθμος κρυπτογράφησης. Τα sites που σέβονται τον εαυτό τους αλλά και τους χρήστες τους έχουν πάψει να τον χρησιμοποιούν. SHA-256 + salt είναι το λιγότερο.

Υποτίθεται ότι ένα site φτιαγμένο από web developers για web developers θα έπρεπε να τα προσέχει αυτά.

Άβαταρ μέλους
lefta4klik
Δημοσιεύσεις: 191
Εγγραφή: 08 Ιαν 2013 18:51
Επικοινωνία:

Διαρροή κωδικών

Δημοσίευση από lefta4klik » 22 Φεβ 2013 16:11

Jimaek έγραψε:
cordis έγραψε:ευκαιρία να τα αλλάξετε και να μη βάζετε passwords που μπορούν να τα μαντέψουν.

αν θέλετε φυσικά μπορούν να γίνουν όλα τα password reset και να λάβετε νέο προσωρινό.
Συγνώμη αλλά δεν συμφωνώ καθόλου μαζί σου.
Εσύ τώρα λες "Μας χακαραν και πήραν τα hashed pass αλλά εσείς φταίτε αν τους κάνουν bruteforce και πάρουν των κωδικό σας". Οι χρήστες δεν φταίνε σε τίποτα, τα hashes δεν έπρεπε να γίνουν leak από την αρχή και γιαυτό φταίει μόνο το fresstuff. Δεν νομίζεις πως οφείλεις τουλάχιστον μια συγνώμη και ίσως και κάποια αιτία για το πως έγινε αυτό?

Επίσης μήπως αυτό είναι το σημάδι για να γίνει επιτελούς το update σε phpbb3?
+1
νομίζω καλό θα ήταν να γίνουν reset όλοι οι κωδικοί τουλάχιστο
Τελευταία επεξεργασία από το μέλος lefta4klik την 22 Φεβ 2013 16:13, έχει επεξεργασθεί 1 φορά συνολικά.

Άβαταρ μέλους
fiskilis
Honorary Member
Δημοσιεύσεις: 14098
Εγγραφή: 16 Νοέμ 2003 22:44
Τοποθεσία: Athens
Επικοινωνία:

Διαρροή κωδικών

Δημοσίευση από fiskilis » 22 Φεβ 2013 16:11

cordis έγραψε: Κανείς δεν μου έχει παραπονεθεί ότι κάποιος γράφει αντί αυτού.

Πιστεύω ότι ήταν κάποιο από το εξωτερικό που έκαναν ότι έκαναν, έδειξαν την μαγκιά τους και ως εκεί, δεν μπορούσαν να τα χρησιμοποιήσουν παραπέρα.
ακριβως αυτο
απο οτι καταλαβα ειναι παλια ιστορια
δεν αποθηκευουμε εδω ευαισθητα δεδομενα,
ενας ελεγχος θα γινει αν εχει παραμεινει τιποτα ανοικτο και παμε παρακατω

Άβαταρ μέλους
Cha0s
SysAdmin
Δημοσιεύσεις: 10250
Εγγραφή: 28 Ιούλ 2001 03:00

Διαρροή κωδικών

Δημοσίευση από Cha0s » 22 Φεβ 2013 16:12

Απορία:

Αν διέρρευσαν μέσω Hacking τα hashes του phpBB, γιατί δημοσιεύθηκαν μόνο 4962 από αυτά αντί για 500κ+ που είναι τα μέλη του FS;

Άβαταρ μέλους
cordis
Administrator, [F|H]ounder, [C|S]EO
Δημοσιεύσεις: 27642
Εγγραφή: 09 Οκτ 1999 03:00
Τοποθεσία: Greece
Επικοινωνία:

Διαρροή κωδικών

Δημοσίευση από cordis » 22 Φεβ 2013 16:15

Jimaek έγραψε:
cordis έγραψε:ευκαιρία να τα αλλάξετε και να μη βάζετε passwords που μπορούν να τα μαντέψουν.

αν θέλετε φυσικά μπορούν να γίνουν όλα τα password reset και να λάβετε νέο προσωρινό.
Συγνώμη αλλά δεν συμφωνώ καθόλου μαζί σου.
Εσύ τώρα λες "Μας χακαραν και πήραν τα hashed pass αλλά εσείς φταίτε αν τους κάνουν bruteforce και πάρουν των κωδικό σας". Οι χρήστες δεν φταίνε σε τίποτα, τα hashes δεν έπρεπε να γίνουν leak από την αρχή και γιαυτό φταίει μόνο το fresstuff. Δεν νομίζεις πως οφείλεις τουλάχιστον μια συγνώμη και ίσως και κάποια αιτία για το πως έγινε αυτό?

Επίσης μήπως αυτό είναι το σημάδι για να γίνει επιτελούς το update σε phpbb3?
φυσικά και δεν φταίνε οι χρήστες, οι χρήστες πρέπει να βάζουν μη προβλέψιμα passwords σε όλες τις υπηρεσίες γιατί αυτό συμβαίνει και στις καλύτερες των οικογενειών, έχει γίνει και με apps στο αρχικό twitter, αλλά και στο linkedin πρόσφατα.

αυτό που πρέπει σίγουρα να κάνουν οι χρήστες είναι να μη χρησιμοποιούν τα ίδια password σε κρίσιμες υπηρεσίες με αυτά που χρησιμοποιούν σε καθημερινές.

Το λάθος είναι πως τότε που είδα τα "παράξενα" απλά τα έκλεισα και δεν έκανα και reset τα passwοrds και για αυτό φυσικά και θα ζητήσω συγνώμη.
Δεν απαντάω σε προσωπικά μηνύματα με ερωτήσεις που καλύπτονται από τις ενότητες του forum. Για ο,τι άλλο είμαι εδώ για εσάς.
- follow me @twitter

sstergou

Διαρροή κωδικών

Δημοσίευση από sstergou » 22 Φεβ 2013 16:16

Μπορεί κάποιος να έχει τους ίδιους κωδικούς σε πολλά διαφορετικά σημεία.

Εδώ φταίει ο χρήστης βέβαια αλλά όταν συμβεί το κακό θα πρέπει τουλάχιστον να τον ενημερώσεις για να αλλάξει τον κωδικό όπου αλλού τον χρησιμοποιεί.

Ένα reset δεν αρκεί. Τι σας κάνει να πιστεύετε ότι δεν θα ξαναμπούν στο μέλλον; Ακόμη και αν έκλεισε η τρύπα τώρα ο υπάρχον τρόπος αποθήκευσης και διαχείρισης κωδικών θα πρέπει να αλλαχτεί αλλιώς μιλάμε για πλήρη αδιαφορία για την ασφάλεια των χρηστών.

Άβαταρ μέλους
cordis
Administrator, [F|H]ounder, [C|S]EO
Δημοσιεύσεις: 27642
Εγγραφή: 09 Οκτ 1999 03:00
Τοποθεσία: Greece
Επικοινωνία:

Διαρροή κωδικών

Δημοσίευση από cordis » 22 Φεβ 2013 16:17

sstergou έγραψε:Ο md5 εδώ και πολύ καιρό έχει πάψει να θεωρείται ασφαλής αλγόριθμος κρυπτογράφησης. Τα sites που σέβονται τον εαυτό τους αλλά και τους χρήστες τους έχουν πάψει να τον χρησιμοποιούν. SHA-256 + salt είναι το λιγότερο.

Υποτίθεται ότι ένα site φτιαγμένο από web developers για web developers θα έπρεπε να τα προσέχει αυτά.
πολύ σωστά και έτσι θα πράξουμε, τουλάχιστον salt και reset τα passwords.
Δεν απαντάω σε προσωπικά μηνύματα με ερωτήσεις που καλύπτονται από τις ενότητες του forum. Για ο,τι άλλο είμαι εδώ για εσάς.
- follow me @twitter

Άβαταρ μέλους
cordis
Administrator, [F|H]ounder, [C|S]EO
Δημοσιεύσεις: 27642
Εγγραφή: 09 Οκτ 1999 03:00
Τοποθεσία: Greece
Επικοινωνία:

Διαρροή κωδικών

Δημοσίευση από cordis » 22 Φεβ 2013 16:18

sstergou έγραψε:Μπορεί κάποιος να έχει τους ίδιους κωδικούς σε πολλά διαφορετικά σημεία.

Εδώ φταίει ο χρήστης βέβαια αλλά όταν συμβεί το κακό θα πρέπει τουλάχιστον να τον ενημερώσεις για να αλλάξει τον κωδικό όπου αλλού τον χρησιμοποιεί.

Ένα reset δεν αρκεί. Τι σας κάνει να πιστεύετε ότι δεν θα ξαναμπούν στο μέλλον; Ακόμη και αν έκλεισε η τρύπα τώρα ο υπάρχον τρόπος αποθήκευσης και διαχείρισης κωδικών θα πρέπει να αλλαχτεί αλλιώς μιλάμε για πλήρη αδιαφορία για την ασφάλεια των χρηστών.
είπαμε ότι αυτό θα κάνουμε. θα αλλάξει ο τρόπος διαχείρισης των κωδικών.
Δεν απαντάω σε προσωπικά μηνύματα με ερωτήσεις που καλύπτονται από τις ενότητες του forum. Για ο,τι άλλο είμαι εδώ για εσάς.
- follow me @twitter

Άβαταρ μέλους
panxer
Δημοσιεύσεις: 113
Εγγραφή: 26 Ιουν 2011 20:29
Τοποθεσία: Athens, Greece
Επικοινωνία:

Διαρροή κωδικών

Δημοσίευση από panxer » 22 Φεβ 2013 16:19

Δεν άφησα υπόνοιες, γνωρίζω εκ των προτέρων ότι αν ήθελες τους κωδικούς τους έπαιρνες και σε plaintext πριν γίνει το md5 check match για γίνει login ο user.
Ζήτημα αξιοπιστίας έβαλα για έτερους administrators αν είχες.

Προσωπικά βάζω διαφορετικά passwords απο τον generator του keypassx για όλα τα services, και αν και το hash μου υπάρχει στη λίστα δεν έχει σπαστεί (ακόμα) και αν σπαστεί μικρό το κακό μιας και το χρησιμοποιώ μόνο εδώ.

Γενικά καλό θα είναι να προτρέπουμε τους χρήστες να χρησιμοποιούν μοναδικούς κωδικούς χωρίς κάποιο pattern.

Υ.Γ.0 Χωρίς SSL connection στο FS και στο κάθε FS οι κωδικοί θεωρούνται έτσι κι αλλιως φαγωμένοι για μένα. Δεν θα πιστέψεις πόσοι network administrators για χαβαλέ και όχι μόνο κρατάνε όλα τα POST για να ψαρέψουν κωδικούς κλπ. Καλό θα ήταν και ένα Rewrite σε ό,τι http στο https για να προστατέψεις και όσους επισκέπτονται απο http.
Υ.Γ.1 Η παρότρυνση για salted hashing ειναι σωστή

sstergou

Διαρροή κωδικών

Δημοσίευση από sstergou » 22 Φεβ 2013 16:24

cordis έγραψε: είπαμε ότι αυτό θα κάνουμε. θα αλλάξει ο τρόπος διαχείρισης των κωδικών.
Οκ. Εγώ δεν ψάχνω να κατηγορήσω κάποιον αν και ο δικός μου ο κωδικός βρέθηκε. Θεώρησα όμως σωστό να ενημερώσω τους χρήστες και νομίζω αυτό είναι το πιο βασικό που πρέπει να γίνει.

Άβαταρ μέλους
cordis
Administrator, [F|H]ounder, [C|S]EO
Δημοσιεύσεις: 27642
Εγγραφή: 09 Οκτ 1999 03:00
Τοποθεσία: Greece
Επικοινωνία:

Διαρροή κωδικών

Δημοσίευση από cordis » 22 Φεβ 2013 16:30

και πολύ καλά έκανες. ;)

συγνώμη αν δεν απαντάω για λίγο, αλλά ήδη το φτιάχνω το θέμα και θέλω να είμαι focus μόνο εκεί.

Ευχαριστώ!
Δεν απαντάω σε προσωπικά μηνύματα με ερωτήσεις που καλύπτονται από τις ενότητες του forum. Για ο,τι άλλο είμαι εδώ για εσάς.
- follow me @twitter

Άβαταρ μέλους
cordis
Administrator, [F|H]ounder, [C|S]EO
Δημοσιεύσεις: 27642
Εγγραφή: 09 Οκτ 1999 03:00
Τοποθεσία: Greece
Επικοινωνία:

Διαρροή κωδικών

Δημοσίευση από cordis » 22 Φεβ 2013 16:44

panxer έγραψε:Προσωπικά βάζω διαφορετικά passwords απο τον generator του keypassx για όλα τα services, και αν και το hash μου υπάρχει στη λίστα δεν έχει σπαστεί (ακόμα) και αν σπαστεί μικρό το κακό μιας και το χρησιμοποιώ μόνο εδώ.

Γενικά καλό θα είναι να προτρέπουμε τους χρήστες να χρησιμοποιούν μοναδικούς κωδικούς χωρίς κάποιο pattern.

Υ.Γ.0 Χωρίς SSL connection στο FS και στο κάθε FS οι κωδικοί θεωρούνται έτσι κι αλλιως φαγωμένοι για μένα. Δεν θα πιστέψεις πόσοι network administrators για χαβαλέ και όχι μόνο κρατάνε όλα τα POST για να ψαρέψουν κωδικούς κλπ. Καλό θα ήταν και ένα Rewrite σε ό,τι http στο https για να προστατέψεις και όσους επισκέπτονται απο http.
Υ.Γ.1 Η παρότρυνση για salted hashing ειναι σωστή
πολύ σωστά όλα αυτά!
Δεν απαντάω σε προσωπικά μηνύματα με ερωτήσεις που καλύπτονται από τις ενότητες του forum. Για ο,τι άλλο είμαι εδώ για εσάς.
- follow me @twitter

Άβαταρ μέλους
cordis
Administrator, [F|H]ounder, [C|S]EO
Δημοσιεύσεις: 27642
Εγγραφή: 09 Οκτ 1999 03:00
Τοποθεσία: Greece
Επικοινωνία:

Διαρροή κωδικών

Δημοσίευση από cordis » 22 Φεβ 2013 16:46

πήρα κάποιες ρουτίνες και ιδέες από το wordpress και τις έβαλα στο password encryption.

σε λίγο θα προκαλέσω κι ένα password reset.
Δεν απαντάω σε προσωπικά μηνύματα με ερωτήσεις που καλύπτονται από τις ενότητες του forum. Για ο,τι άλλο είμαι εδώ για εσάς.
- follow me @twitter

Απάντηση

Επιστροφή στο “Υποστήριξη και προτάσεις”

Μέλη σε σύνδεση

Μέλη σε αυτήν τη Δ. Συζήτηση: Δεν υπάρχουν εγγεγραμμένα μέλη και 1 επισκέπτης