Перейти к содержанию

Куки и mail.ru

Nikolay Lazarenko

От Nikolay Lazarenko
в Технологии и техника

 Share

Рекомендуемые сообщения

Nikolay Lazarenko Ветеран

Nikolay Lazarenko

Опубликовано
  • Автор
Опубликовано (изменено)
защита главное?

тогда вопрос: вы что только на одном форуме сидите? наверное наверное на нескольких. еще и используете сложный пароль (не менее 8-ми символов, состоящий из букв, цифр и спец символов), к тому же для пущей безопасности раз или два в месяц меняете пароли и никогда их не записываете. верно? 99% что это не так, значит безопасность для вас не главное, еще хочется и удобства :lol:. а насчет перехвата ваших куки, задумайтесь:

1. кому они могут быть нужны? - да никому :)

2. так ли просто расшифровать хеш? пробовали? наверно нет, а я пробовал и скажу, что без особых умений и софта практически нереально.

отсюда ваше заявление что безопасность тут для вас главное = not true

 

бешенная :lol:? это сколько? 150 мб?

смешно...

 

Ну удобство важная вещь,безусловно.Я на некоторых форумах бываю.Пароль меняю регулярно,лучшее хранилище моих паролей - мой головной мозг :acute: .

 

Насчёт нагрузки ОЗУ - у меня доходит до 200Мб(из-за этого тормозит иногда) ,а у меня ОЗУ 1 Гб,скоро добавить надо ещё не менее 1Гб.

Я вполне доволен,что мой КАВ2009 гарантированно даёт защиту не менее 80%,остальное сам руками и головой делаю.

Наверное,чаще всего пароли крадут кейлоггеры и трояны-шпионы,чем хакеры-расшифровщики

Такой вопрос...вам сложно было расшифровать хеш(да простят меня модераторы!)?

Изменено пользователем Nikolay Lasarenko
Ссылка на комментарий
Поделиться на другие сайты
  • Ответов 69
  • Created
  • Последний ответ

Top Posters In This Topic

  • apq

    17

  • C. Tantin

    15

  • Nikolay Lazarenko

    12

  • Самогонщик

    5

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

Самогонщик
Самогонщик

Nikolay Lasarenko Кто и каким образом, что там увидит?

C. Tantin
C. Tantin

это не совсем прпорциональность, скорее отношение. Но идея верная.

apq
apq

защита главное? тогда вопрос: вы что только на одном форуме сидите? наверное наверное на нескольких. еще и используете сложный пароль (не менее 8-ми символов, состоящий из букв, цифр и спец символов

Posted Images

Nikolay Lazarenko Ветеран

Nikolay Lazarenko

Опубликовано
  • Автор
Опубликовано
Nikolay Lasarenko

Тогда вопрос кому необходим ваш пароль к примеру от этого форума?

 

Злоумышленник может от моего имени "нагадить" в форуме :acute:

Ссылка на комментарий
Поделиться на другие сайты
Самогонщик Гигант мысли

Самогонщик

Опубликовано
Опубликовано

Nikolay Lasarenko

И какая ему от этого польза будет, как я понял для этого нужно иметь достаточные знания и не обходимо на это время.

Ссылка на комментарий
Поделиться на другие сайты
Nikolay Lazarenko Ветеран

Nikolay Lazarenko

Опубликовано
  • Автор
Опубликовано
Nikolay Lasarenko

И какая ему от этого польза будет, как я понял для этого нужно иметь достаточные знания и не обходимо на это время.

 

Есть люди,страдающие комплексом неполноценности и именно таким не терпится что-то у кого-то взломать,кому-то "нагадить" или написать зловред,не получая от этого никакой финансовой и/или материальной,информационной выгоды

Ссылка на комментарий
Поделиться на другие сайты
C. Tantin Корифей

C. Tantin

Опубликовано
Опубликовано
бешенная ? это сколько? 150 мб?

смешно...

Нет, не 150, а под гигабайт. Действительно бешеная. Хотя, если не использовать вкладки... :lol: :acute:

 

Такой вопрос...вам сложно было расшифровать хеш(да простят меня модераторы!)?
:lol:

 

Вообще - несложно.

 

Nikolay Lasarenko

Тогда вопрос кому необходим ваш пароль к примеру от этого форума?

А самый банальный пример - рассылка спама.
Ссылка на комментарий
Поделиться на другие сайты
apq Корифей

apq

Опубликовано
Опубликовано
Нет, не 150, а под гигабайт. Действительно бешеная. Хотя, если не использовать вкладки...

да ну? вот для примера открыты в Опере и в Лисе по 30-ть вкладок, расход памяти на скриншоте, где там под гиг?

post-12586-1266342540_thumb.png

Вообще - несложно.
расшифровать хеш мд5? вообще то хеш - это необратимая функция, т.е напрямую пароль из хеша получить нельзя. можно подобрать, программа для расшифровки, перебирая последовательности знаков, кодирует их в мд-5 и сравнивает с исходным хешом.

если хэши совпали, значит эта знаковая последовательность и есть пароль. но если вы используете достаточно сложный пароль, то подобрать его не зная маску крайне сложно. для примера: пытался для интереса сбрутить я свой пароль от аськи из хеша, пароль буквы в верхнем и нижнем и цифры, прога подбирала его около 12-ти часов (железо на ПК Core2Duo 2X3.16 Ггц +4гб RAM) в итоге после 12-ти часов я плюнул. а если еще у вас в пароле есть спец сиволы, то задача по расшифровке вообще практически нереально по занимаемому времени перебора

Ссылка на комментарий
Поделиться на другие сайты
hinote Ветеран

hinote

Опубликовано
Опубликовано (изменено)
да ну? вот для примера расшифровать хеш мд5? вообще то хеш - это необратимая функция, т.е напрямую пароль из хеша получить нельзя. можно подобрать, программа для расшифровки, перебирая последовательности знаков, кодирует их в мд-5 и сравнивает с исходным хешом.

если хэши совпали, значит эта знаковая последовательность и есть пароль. но если вы используете достаточно сложный пароль, то подобрать его не зная маску крайне сложно. для примера: пытался для интереса сбрутить я свой пароль от аськи из хеша, пароль буквы в верхнем и нижнем и цифры, прога подбирала его около 12-ти часов (железо на ПК Core2Duo 2X3.16 Ггц +4гб RAM) в итоге после 12-ти часов я плюнул. а если еще у вас в пароле есть спец сиволы, то задача по расшифровке вообще практически нереально по занимаемому времени перебора

 

какой md5, почему md5?

если браузер хранит куки, и даже если он их как то шифрует при хранении, то он же должен их и расшифровывать - чтобы потом отдавать в запросах веб-серверу обратно в исходном виде. посему, если браузер сам умеет их восстанавливать в исходный вид, то и сторонняя программа может их так же восстановить.

 

какую то вы ерунду говорите и ересь... о чем вообще спор то?

всем срочно читать википедию, статья "Куки"...

Изменено пользователем hinote
Ссылка на комментарий
Поделиться на другие сайты
apq Корифей

apq

Опубликовано
Опубликовано

hinote,

вопрос был такой

Такой вопрос...вам сложно было расшифровать хеш(да простят меня модераторы!)?

ответ последовал

Вообще - несложно.

поэтому я возразил :acute:

а вообще вы правы тема уходит в сторону...

Ссылка на комментарий
Поделиться на другие сайты
C. Tantin Корифей

C. Tantin

Опубликовано
Опубликовано
да ну? вот для примера открыты в Опере и в Лисе по 30-ть вкладок, расход памяти на скриншоте, где там под гиг?
Ну - это 30. Когда надо срочно проработать какой-то вопрос - я и 2 сотни могу открыть в нескольких окнах :-Р Вот там гига не хватит :acute:

 

расшифровать хеш мд5? вообще то хеш - это необратимая функция, т.е напрямую пароль из хеша получить нельзя. можно подобрать, программа для расшифровки, перебирая последовательности знаков, кодирует их в мд-5 и сравнивает с исходным хешом.
Цепляемся к словам? Я в курсе значения терминологии, ИБ не первый год в универе читаю, но я смотрю на то, надо ли вдаваться в детали и писать малопонятные объяснения, или дать односложный ответ. Если я начну цепляться к словам... :lol: Причём необязательно к терминам, могу начать с правил русского языка ;_ :-Р

Да, и почему именно в мд5?

 

если хэши совпали, значит эта знаковая последовательность и есть пароль.
Не-а. Фиг там. Есть понятие коллизии.

 

для примера: пытался для интереса сбрутить я свой пароль от аськи из хеша, пароль буквы в верхнем и нижнем и цифры, прога подбирала его около 12-ти часов (железо на ПК Core2Duo 2X3.16 Ггц +4гб RAM) в итоге после 12-ти часов я плюнул. а если еще у вас в пароле есть спец сиволы, то задача по расшифровке вообще практически нереально по занимаемому времени перебора
Брутфорс - не показатель.

 

какой md5, почему md5?

если браузер хранит куки, и даже если он их как то шифрует при хранении, то он же должен их и расшифровывать - чтобы потом отдавать в запросах веб-серверу обратно в исходном виде. посему, если браузер сам умеет их восстанавливать в исходный вид, то и сторонняя программа может их так же восстановить.

Угу. Сомневающиеся могут посмотреть куки на своих компах :lol:

 

какую то вы ерунду говорите и ересь... о чем вообще спор то?
О чём спор - не знаю, но то, что куки как технология очень уязвима - факт. Правда, и отказаться от неё почти нельзя.

 

поэтому я возразил
угу, непонятно зачем :)
Ссылка на комментарий
Поделиться на другие сайты
apq Корифей

apq

Опубликовано
Опубликовано (изменено)
Ну - это 30. Когда надо срочно проработать какой-то вопрос - я и 2 сотни могу открыть в нескольких окнах :-Р Вот там гига не хватит :lol:
вы считаете много людей откывают по две сотни вкладок? большинству 10-20 за глаза хватает.

 

Цепляемся к словам?
ни в коем случае, я лишь возражаю против утверждения что хеш легко расшифровать (при условии что установлен нормальный по сложности пароль)

 

Брутфорс - не показатель.

если нет хеша в словарях (нормальный пароль) и неизвестна маска (если ваш хеш увели, то маска неизвестна) то краме брутфорса практически ничего не остается :acute:. причем на расшифровку, в зависимости от мощности компа может уйти несколько месяцев

Изменено пользователем apq
Ссылка на комментарий
Поделиться на другие сайты
C. Tantin Корифей

C. Tantin

Опубликовано
Опубликовано
вы считаете много людей откывают по две сотни вкладок? большинству 10-20 за глаза хватает.
был вопрос "где гиг?" - я ответил, где. Причём здесь количество людей? Огромная толпа вообще пользуется окошком IE6 без вкладок :)

 

ни в коем случае, я лишь возражаю против утверждения что хеш легко расшифровать (при условии что установлен нормальный по сложности пароль)
Мдя. Ну почитайте, что написал hinote. сам пароль по хешу подбирать необязательно, часто хватит одного хеша, который расшифровать несложно.

 

если нет хеша в словарях (нормальный пароль) и неизвестна маска (если ваш хеш увели, то маска неизвестна) то краме брутфорса практически ничего не остается . причем на расшифровку, в зависимости от мощности компа может уйти несколько месяцев
См. выше. И вообще - зачем брутить пароль к аське, зная его хеш? Авторизоваться и хешем можно :)
Ссылка на комментарий
Поделиться на другие сайты
BoltX Постоялец

BoltX

Опубликовано
Опубликовано (изменено)

Думаю, проблема куков не столько в том, что хранящуюся в них конфиденциальную зашифрованную инфу можно извлечь (хотя не отрицаю важности этого аспекта), сколько в том, что при невнимательности и беспечности(неграмотности):

1) пользователей, оставляющих свои куки на чужих компах и не завершающих свои сессии при завершении своей работы за компом, злоумышленник может просто скопировать информацию в этих куках или сами файлы кук и применить их с другого компа;

2) пользователей, составляющих простые короткие пароли, злоумышленнику легче подобрать пароль;

3) разработчиков, не принимающих во внимание пользователей из пункта 1 и 2 и заносящих в куки хэши первичной инфо [например, md5(пароль), даже без "соли"], злоумышленник может простым перебором расшифровать короткий прямой хэш. А вот если в хэшировать длинную строку, полученную, например, конкатенацией хэшей различной инфо (IP, версия ситемы, логин, id, пароль и ещё есть, что можно придумать, + "соли" между ними напрмер ещё), то пароль уже из такой строки будет получить намного сложнее, в том числе методами кроме перебора. И если даже злоумышленник получит стоку из последнего хэша, не факт, что она не окажется коллизионной. А из коллизионного хэша первичную инфо, думаю, ещё сложнее добыть. :) (Возможно за 3 пункт вы меня и раскритикуете :) )

Собственно, бояться пользователям надо 3 группы, потому как с одного взгляда не всегда можно сказать, насколько тот или иной ресурс обеспечивает защиту той инфо, которую предоставил пользователь, например, для своей аутентификации. Ну, и дабы не стать жертвами 3 группы, надо для начала не являться пользователем 1 и 2 группы.

По поводу расшифровки хэшей и скорости этого процесса, попробуйте что-нибудь захешировать и воспользоваться ресурсом http://passcracking.ru/ru/index.php. Думаю, многие про такие ресурсы уже слышали.

Изменено пользователем BoltX
Ссылка на комментарий
Поделиться на другие сайты
Nikolay Lazarenko Ветеран

Nikolay Lazarenko

Опубликовано
  • Автор
Опубликовано

Однозначно,с куками надо быть бдительней.

Скачиваем книгу Николая Головко.Узнаём полезное,если кто не читал.Расписано в книге достаточно в плане пользовательской защиты.

Прекращайте излишнюю болтовню,пожалуйста :) !

Ссылка на комментарий
Поделиться на другие сайты
C. Tantin Корифей

C. Tantin

Опубликовано
Опубликовано

BoltX+1

 

Скачиваем книгу Николая Головко.Узнаём полезное,если кто не читал.Расписано в книге достаточно в плане пользовательской защиты.
Видели. Читали.

 

Прекращайте излишнюю болтовню,пожалуйста !
Что конкретно не так? :)
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем
×
×
  • Создать...