Forum.Gomoku.pl

[Shining_Star]

po1 lol , wiem bo wiem , a co ty jej maz ze sie czepiasz ?

po2 nie do mnie z tym , mowilem opinie kumpla

po3 to ze tak mowi nie znaczy ze musi to zrobic, zapewne ma wazniejsze sprawy do zalatwienia

[Ece]

Chodzi o to, ze nie napisales zadnych konkretow (wlacznie z tym o Ixchel).
"Moj kumpel twiedzi, ze Osama ukrywa sie w piwnicy jego babci" - moze troche przesadzam, ale wartosc merytoryczna

Cytat:

sa sposoby , bo kurnik nie ma praktycznie zadnej ochrony, kumpel wysmial te zabezpieczenia ktore mozna bez problemu zlamac

jest podobna. Jak sie powolasz na jakis autorytet w dziedzinie zabezpieczen serwerow linuksowych, to moze bede mniej sceptyczny, bo z kolei "moj kolega mowil, ze kurnik ma najlepsiejsze zabezpieczenia we wszechswiecie i nikomu nie uda sie go shakerowac".

[Barfko]

Raczej bezpieczniejsze jest stwierdzenie, że łatwo złamać zabezpieczenia niż stwierdzenie, że jest to niemożliwe. Zabezpieczenia kurnika są słabe i to niezależnie od tego na jakim OS stoi (bo używa się protokołu html np., który sam nie jest zabezpieczony; zależy to też, jeśli nie bardziej, od OS użytkownika). Jest kilka bardzo prymitywnych furtek, których lepiej nie wspominać i np. zabezpieczenie dostępu do profilu tylko część z tych problemów załatwia. Żeby wymyślić jakiś konkretny trick trzeba usiąść i pokombinować chwilkę. Ten z linijką z cookies jest niezły. Kurnik nie powinien ewoluować w kierunku systemu z bezpieczną autoryzacją, bo to jest bez sensu.

Na kurniku jest dużo ludzi, którzy uważają dziwne rzeczy za zabawne, np. zjechać komuś z rankiem do 1200. A niech mają chwile radości. Ludzie bardziej rozwinięci wymyślają perfidniejsze/subtelniejsze/dotkliwsze rzeczy, więc cieszmy się, że takich (chyba) nie ma.

[Ece]

Cytat:

Raczej bezpieczniejsze jest stwierdzenie, że łatwo złamać zabezpieczenia niż stwierdzenie, że jest to niemożliwe.

Bezpieczniejsze, ale jesli nie jest poparte zadnymi argumentami, to nic nie wnosi.

Cytat:

Zabezpieczenia kurnika są słabe i to niezależnie od tego na jakim OS stoi (bo używa się protokołu html np., który sam nie jest zabezpieczony; zależy to też, jeśli nie bardziej, od OS użytkownika

W takim razie jakie zabezpieczenia nie sa slabe?
Co to jest protokol html (pierwsze slysze)?
Dlaczego niby zalezy od OS'a uzytkownika ?

Pytam, bo po prostu nie wiem Barfko, o co Ci chodzi. Jesli ktos pisze, ze kurnik jest slabo zabezpieczony na przyklad, to milo, gdyby napisal chociaz pobieznie dlaczego, bo w przeciwienstwie do innych, ja specjalista nie jestem i chcialbym zrozumiec o czym mowa.

[Barfko]

Żadne zabezpieczenia nie są mocne. Transfer można zabezpieczać kluczem używając protokołu ssh np., ale to chyba przesada na kurniku. Ale o to chodzi kiedy mówię o słabości kurnika a nie o to, że można się włamać na serwer. Bezpieczeństwo serwera to jedna rzecz a bezpieczeństwo transferu to druga. Oczywiście obie te rzeczy stanowią o bezpieczeństwie serwisu kurnik.

Cytat:

Bezpieczniejsze, ale jesli nie jest poparte zadnymi argumentami, to nic nie wnosi.

Wnosi do Twojej wiedzy ogólnej Ece . Taki jest charakter tej uwagi : ogólny; tzn. rozsądni ludzie zakładają, że nie istnieją zabezpieczenia na 100%, bo zawsze jakiemuś koledze przyjdzie do głowy prościutki trick. Sam znam jeden trick prosty, jak konstrukcja cepa, skuteczny, ale nieco niepraktyczny.
Argumenty są bardzo proste. Transfer danych można podglądać prawie zawsze (jest to przyjmowane za pewnik przy rozważaniach nt. bezpieczeństwa i poufności). Nie istnieje 100% pewny system kryptograficzny t.j. każdy można złamać, co gorsza wcale nie wiadomo, czy powszechnie uważane za skuteczne systemy nie są przypadkiem łatwe do złamania.

A co do OS użytkownika, źródłem kradzieży danych np. do transakcji kartami kredytowymi, znacznie częściej są źle zabezpieczone komputery użytkowników niż serwery. Być może użytkownik działający pod linuxem jest bezpieczniejszy (mam nadzieję), ale pewności nie mam.

Cytat:

Co to jest protokol html (pierwsze slysze)?

http miało być, nie protokół html; pomyłka, ale można było się domyślić chyba np. w ten sposób: "protokół wymiany plików w html-u", mniej fortunne jest protokół http, bo się dubluje .
P.S. Ciekawe jaka funkcja numeruje cookies na kurniku. Wie ktoś?

[adik]

Cytat:

Ciekawe jaka funkcja numeruje cookies na kurniku. Wie ktoś?

Pewnie ta sama, co przydziela ID turniejom.

Ja tam jedyne OS'y jakie znam to na rajdach. Nie interesuje się tym, bo mi to w zyciu nie potrzebne, a takie rozmowy proszę toczyć na priv, bo jak ktoś to przeczyta to jeszcze mu się zachce włamań.

To byłem ja, czyli Adik.

Pozdrawiam.

[Ece]

Cytat:

wcale nie wiadomo, czy powszechnie uważane za skuteczne systemy nie są przypadkiem łatwe do złamania.

Jakby byly latwe do zlamania, to by pewnie duzo osob je latwo lamalo, a tak nie jest. I latwe nie znaczy, ze w 5 minut mozna to zrobic, ale ze latwo to wykryc.

Bez sensu jest pisanie, ze zabezpieczenia kurnika sa slabe, bo transfer nie jest bezpieczny - tym samym 99% serwerow okreslasz, jako "slabo zabezpieczone".

Cytat:

Nie istnieje 100% pewny system kryptograficzny t.j. każdy można złamać

Tak, metoda brute force, czyli "az sie trafi haslo" - na przyklad md5 jeszcze nie slyszalem zeby ktos zaszyfrowane haslo przywrocil do jego pierwotnej wersji inaczej niz przed brute force (m.in. hasla uzytkownikow tego forum sa tym skryptem kodowane, a takze hasla na kurniku).

Naprawde chcialbym przeczytac jakas merytorycznie ciekawa wypowiedz odnosnie bezpieczenstwa kurnika - jak na razie czytam ze zabezpieczenia sa slabe, jednak nikt nie potrafi wyjasnic dlaczego, nikt z nas nie jest specjalista w tym zakresie. Dodatkowo dziwi mnie, ze skoro te zabezpieczenia sa takie slabe, to ludzie masowo nie przejmuja kont innym, nie ustawiaja sobie super rankingu, czy po prostu nie niszcza serwera. Tym bardziej, ze grupy zajmujace sie hackingiem bardzo chetnie takie dziury wylapuja i chwala sie tym na swoich stronach, pierw piszac do wlasciciela serwera, by ten problem poprawil.

[Barfko]

Niewiadomo znaczy niewiadomo. Łatwe do złamania nie znaczy, że każdy może, tylko że istnieje algorytm odwracający proces szyfrowania o małej złożoności czasowej, i tego właśnie nie wiadomo, czy istnieje. To znaczy być może jutro ktoś udowodni, że zachodzi P=NP albo rozłoży wielomianowo liczby złożone na czynniki albo znajdzie logarytm dyskretny w czasie wielomianowym i FBI będzie miało poważny kłopot . Kurnika to w ogóle nie dotyczy, bo i tak nie koduje transferu. Nie wiem, czy serwer kurnika jest bezpieczy, wiem natomiast, że procedura autoryzacji nie jest, ponadto ogólne procedury związane z obsługą kont miały furtki, które np. w bankowości elektronicznej od razu się zamyka (teraz, tzn. w ostatnich dniach trochę się pozmieniało ). I tyle. Spróbujesz zrozumieć Ece, że mówię o transferze, a nie o zabezpieczeniach serwera? Np. problem z cookies był zupełnie niezależny od zapezpieczeń serwera na którym stoi kurnik. Po prostu zbyt dużo informacji wyciekało w trakcie normalnego używania serwisu.

Dla konkretnego przykładu; aktualnie, czyli nawet już po zabezpieczeniu dostępu do profilu hasłem, można bez trudu metodą siłową w ciągu kilku minut poznać datę urodzenia i e-mail każdego użytkownika który te dane dostarczył. Nie widać od razu jak te informacje wykorzystać do przejęcia konta, ale świadczy to o niskim poziomie zabezpieczeń.

Cytat:

Cytat: Nie istnieje 100% pewny system kryptograficzny t.j. każdy można złamać Tak, metoda brute force, czyli "az sie trafi haslo" - na przyklad md5 jeszcze nie slyszalem zeby ktos zaszyfrowane haslo przywrocil do jego pierwotnej wersji inaczej niz przed brute force (m.in. hasla uzytkownikow tego forum sa tym skryptem kodowane, a takze hasla na kurniku).

Chłopcy z agencji rządowych w US też o możliwościach łamania ich systemów dość długo nie słyszeli i używali, jak się potem okazało dość trywialnych do złamania, aż w końcu usłyszeli

Cytat:

Naprawde chcialbym przeczytac jakas merytorycznie ciekawa wypowiedz odnosnie bezpieczenstwa kurnika - jak na razie czytam ze zabezpieczenia sa slabe, jednak nikt nie potrafi wyjasnic dlaczego, nikt z nas nie jest specjalista w tym zakresie. Dodatkowo dziwi mnie, ze skoro te zabezpieczenia sa takie slabe, to ludzie masowo nie przejmuja kont innym, nie ustawiaja sobie super rankingu, czy po prostu nie niszcza serwera. Tym bardziej, ze grupy zajmujace sie hackingiem bardzo chetnie takie dziury wylapuja i chwala sie tym na swoich stronach, pierw piszac do wlasciciela serwera, by ten problem poprawil.

Wypowiedzi są merytoryczne lub ciekawe. Wypowiedzi nt. możliwości łamania zabezpieczeń serwerów są dość nieciekawe, a merytoryczne lepiej, żeby nie były
Po co mieliby przejmować konta, szczególnie masowo? To paranoja przecież! W niektórych krajach nawet drzwi się nie zamyka na klucz. Po co też mieliby niszczyć serwer? To przecież fajny serwer jest. W końcu gdyby ktoś się pochwalił, że złamał zabezpieczenia na kurniku to środowisko dostałoby ataku śmiechu.

Kurnik jest jak miejsce spotkań grupy ludzi np. w parku. Można by park ogrodzić murem z drutem kolczastym, żeby ochronić się przed atakiem bojówkarzy jakiś, ale po co; park fajniej wygląda bez muru, a bojówkarze i tak nie interesują się parkiem.

P.S. Kiedyś wykombinowałem (i zastosowałem hehe, operatorzy sieci zorientowali się dopiero po paru dniach...) jeden taki debilny z pozoru trick, dzięki któremu można przejmować hasła w nawet bardzo dobrze zabezpieczonym systemie. Nadawałoby się do filmów, w których się coś tam robi z hasłami, ale nigdy się nie pojawił i mam podejrzenie, że to dlatego, że w US jest "cenzura kryptograficzna", bo w ogóle są oni uczuleni na łamanie i szyfrowanie (też kiedyś "nie słyszeli", Ece); zdaje się aktualnie w Ameryce używanie "własnych" systemów kryptograficznych jest nielegalne, jako też publikowanie prac na temat możliwości łamania systemów kryptograficznych w ogóle (bez uprzedniego wglądu NSA).

[bazzz44]

Stawiam sobie kropeczki sporadycznie w ramach relaxu (zielony). Sporadycznie zerkam na forum. ogolnie zajmuje sie czyms innym- niekoniecznie bede sie chwalil co zrobilem lub moge lol.
chcialem skomentowac co napisaliscie hehe. Jezeli szanowni panowie pozwolicie.

[Barfko]

Różne są środowiska. Na środowisku z podwórka zrobisz wrażenie włamem po radio. Na jeszcze innym środowisku zrobisz wrażenie skokiem na konwój z pieniędzmi z supermarketu, a dla innych musiałbyś podmienić Vermeera w Prado. Jedna "dziurka" już była wskazana; cookies. W ogóle mnie to nie obchodzi, jak logować się na dowolne konto; uważam to za nieprawdopodobie nudne zajęcie. Pisałem o zabezpieczeniach w ogóle i to o takich, których złamanie mogłoby sparaliżować duży kraj. Po co pisałem? Tak sobie.

Jak się doczytać dobrze, to właściwie opisałem prawie w całości metodę przejęcia dowolnego konta przy założeniu kontroli nad niekodowanym transferem. Jest bardzo prymitywna. Wystarczy wyłapać niezabezpieczoną pocztę od znanego nadawcy do znanego odbiorcy. Chyba, że uznamy, że w dostępie do wysyłanej niezaszyfrowanej poczty jest jakaś fundamentalna trudność, ale wówczas jej dalsze zabezpieczanie, częsta praktyka, nie miałoby większego sensu...

[bazzz44]

ty pisales o tym "wlam po radio" (jakies cookie) a ja o wlamie ktorym efektem ubocznym jest przejecie konta... po wlamie mozna zrobic wszystko od zniszczenia kurnika po wsadzenie jakiegos pornona pod adres kurnik.pl i masz racje chlopak z radiem nie dogada sie z chlopakiem co podmienia cos w prado. cya.

[Barfko]

Nie zrozumiałeś o czym pisałem bazz, bo ja też napisałem o włamie którego efektem ubocznym jest paraliż NSA i jakiś "nuke" wystrzelony. A w tym temacie jest o przejmowaniu kont a nie o wsadzeniu pornola na kurnik.pl, czego chyba nie da się w żadnym stopniu porównywać z Vermeerem chyba, że masz na myśli wsadzenie psiej kupy pod wycieraczkę sprzątaczki z galerii. W ogóle naefektowniejsze włamy to takie, które używają głupiutkich metod opartych na prostym tricku, a nie takie, które wymagają przejęcia kontroli na satelitą telekomunikacyjnym, przynajmniej dla mnie, bo ja lubię prostotę
A chłopakiem prostym jestem; mógłbym być spokojnie chłopem pańszczyźnianym w feudalnej Rosji. Radiem, czy włamem na kurnik skusić mnie nie można, ale to może z mojej tępoty i lenistwa , bo w końcu przecież niszczenie serwera typu kurnik to wielce nobilitujące osiągnięcie, o którym długo będzie mowa na przyjęciu u ambasadora

[Ece]

Cytat:

Jak się doczytać dobrze, to właściwie opisałem prawie w całości metodę przejęcia dowolnego konta przy założeniu kontroli nad niekodowanym transferem. Jest bardzo prymitywna. Wystarczy wyłapać niezabezpieczoną pocztę od znanego nadawcy do znanego odbiorcy.

Przy zalozeniu, ze haslo do roota kurnika jest imieniem jego mamy i ze mozna bezposrednio sie jako root na serwerze przez ssh zalogowac, moge miec dostep do wszystkich informacji na nim zawartych.

Rozumiem Barfko, ze ta poczte potrafisz wylapac, poniewaz jest to prymitywne? Ja nie wiem jak to zrobic, dlatego uwazam inaczej.

A bazzz44, moze przedstaw sie choc pokrotce - jestem ciekawy czym sie zajmujesz, lub interesujesz, skoro twierdzisz ze wiesz cos konkretnego na ten temat.

Wie ktos na jakim dokladnie OSie stoi kurnik ?

P.S. Barfko, powinienes byc politykiem.

No i prawie zapomnialbym - temat niebezpiecznie wkracza na dobra droge do zamkniecia go z podobnego powodu co pare innych w tym dziale, wiec prosze... Sam juz mialem nie pisac (glupio jakbym zamknal temat z powodu swoich postow), lecz zainteresowaly mnie wypowiedzi bazzz44.

[Barfko]

Cytat:

Rozumiem Barfko, ze ta poczte potrafisz wylapac, poniewaz jest to prymitywne? Ja nie wiem jak to zrobic, dlatego uwazam inaczej.

Rozum ma możliwości, o których pojęcia my ludzie prości nie mamy. Nie umiem poczty wyłapać, nigdy nie sugerowałem, że umiem (użyłem słów przy założeniu "nie bez przyczyny"), po co mi to ???. Technicznie nie jest to niemożliwe, dlatego właśnie powszechnie używa się ssh np. do wymiany informacji i dlatego też pewnie od czasu do czasu otrzymuję ostrzerzenia że ktoś tam moich portów słucha. Standardowo zakłada się, że "eavesdropping" niekodowanego transferu jest wykonalny i dlatego nie uważa się takiego transferu za jakkolwiek zabezpieczony.

Hasłem do roota bym sobie głowy nie zawracał przed złamaniem np. RSA uprzednio

Jak zamkniesz temat to oszczędzisz nam swoich dalszych wypowiedzi, a skoro kierujesz je do mnie też za pomocą boldface w dodatku, to wypada mi na te pierdoły pierdołami odpowiadać, co jest dość nudne. Więc jestem za zamknięciem.

Jeśli zaś chodzi o OS kurnika, to oczywiście pojęcia nie mam, ale pod linuxem, jak używam mozzilli albo netscape to jakoś wszystko toporniej wygląda, człowiek ciągle znika przy "najdrobniejszym" ruchu myszą i jakoś nie chodzą mi polskie litery. Pewnie to wszystko da się zalepić ale mi się nie chce, i włączam smutny produkt pewnej dużej firmy . Więc mam podejrzenie, że kurnik jest trochę pod produkty wspomnianej firmy.

P.S.

Cytat:

Bez sensu jest pisanie, ze zabezpieczenia kurnika sa slabe, bo transfer nie jest bezpieczny - tym samym 99% serwerow okreslasz, jako "slabo zabezpieczone".

Większość serwerów, które można się zalogować w US jest zabezbieczona ssh. Zabezpieczeń używa się też na większości serwerów amerykańskich, na których jest jakaś autoryzacja. Nic mi nie wiadomo o tym, żeby reszta świata jakoś gwałtownie rozwinęła się w dziedzinie "liczby serwerów", więc dość bezpiecznie można przyjąć, że większość komercyjnych, akademickich i rządowych serwerów na świecie zabezpiecza transfer, szczególnie na okoliczność autoryzacji.

[bazzz44]

mam sie przedstawic... nie ma po co lol. po prostu lubie net i jak trzeba sie gdzies dostac to i przez plot bede skakal lub podkopy robil hehe.
kurnik stal w przeszlosci na owl-u co mysle bylo dosc dobrym pomyslem a aktualnie jest na red hat.



barfko za bardzo sie skupiasz na dostaniu hasla: ten motyw z lapaniem poczty (co jest dosc trudne generalnie). wyobraz sobie ze jest ogrodzony plotem domek a przy bramie jest straznik (robot) i musisz mu podac haslo to cie wpusci. jezeli nie masz hasla wysyla opancerzone auto z poczta (haslo) do ciebie do domu. jezeli znasz haslo zostajesz zamkniety w bance z mydla (nie do pekniecie) i sobie mozesz w niej podrozowac po domku. jezeli ukradniesz komus haslo to zostaniesz zamkniety i innej bance (lepszej lub gorszej). mozesz napasc na te autko z poczta i zabrac jedno haslo do banki- to jest ta twoja prostota o ktorej wspominasz. dla mnie prostota to podstawienie sobie drabinki na plotek i spokojne wejscie po nie zeskoczenie z plotka i poruszanie sie po domoku bez baniek w nieograniczony sposob...
i barfko nikt w tych czasach nie szuka hasla bo i po co? patrz przyklad wyzej.
i nie mam zamiaru z toba polemizowac... nie bede ci juz wytykal gdzie piszesz bzdury na temat zabezpieczen. bo szkoda twojego czasu (nic sie nie nauczysz) a co duzo bardziej gorsze szkoda mojego czasu. ja niczego nie bede udowadnial- nie musze... swoje wiem lol.
jako ze mnie takie tematy ciagna chcialem wam co nieco naswietlic ta sprawe ale widze ze nie mam czego tu szukac bo wszyscy wszystko wiedza... a barfko juz nawet prosty trick na przelecia konta podal (wystarczy lapac poczte- powodzonka) big fucking lol.