информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеСетевые кракеры и правда о деле ЛевинаЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Последний второй Python 
 Microsoft предупредила о двух незакрытых... 
 Перевод Firefox на DNS over HTTPS 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / theory
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Нет, ты не понял :) 11.12.01 17:08  Число просмотров: 1592
Автор: PS <PS> Статус: Elderman
<"чистая" ссылка>
На сервере ничего не выйдет проверить. Подбор будет происходить между клиентом и сервером. И подыскиватся правильный (совпадающий) хеш. Но это все относится к коротким паролям (как уже было сказано).


> забыл добавить:
> по моему мнению, 8-7ми символов вполне достаточно, т.к.
> даже при полном переборе пароля,
> будет очень много совпадений, а все их нужно проверять,
> что, в свою очередь, хорошо заметно на сервере (лоджин один
> и тот же, но пароли совершенно разные)
<theory>
Удаленная авторизация 08.12.01 15:08  
Автор: GorynYch Статус: Member
<"чистая" ссылка>
как замутить авторизацию на сервер, без ssl, так чтоб если пароль кто-то перехватил, то не смог бы им воспользоватся???
Удаленная авторизация 11.12.01 09:56  
Автор: iddqd <Юрий> Статус: Member
<"чистая" ссылка>
А сделай по принципу CHAP: сервер посылает клиенту большое случайное число, клиент его шифрует своим паролем, и отдает серверу, тот тоже шифрует и сравнивает. Для шифрования можно использовать тот же crypt или md5, ну, или сам какой-нибудь простой алгоритм напиши, тока не используй только перестановку, только xor или только сложение, они очень легко ломаются статистически. А вообще, про это дело очень много написано, на том же opennet.ru.

Всего доброго.
Эт надо для веб сервиса. 11.12.01 14:10  
Автор: GorynYch Статус: Member
<"чистая" ссылка>
> А сделай по принципу CHAP: сервер посылает клиенту большое
> случайное число, клиент его шифрует своим паролем, и отдает
> серверу, тот тоже шифрует и сравнивает. Для шифрования
> можно использовать тот же crypt или md5, ну, или сам
> какой-нибудь простой алгоритм напиши, тока не используй
> только перестановку, только xor или только сложение, они
> очень легко ломаются статистически. А вообще, про это дело
> очень много написано, на том же opennet.ru.
>
> Всего доброго.
Привет!
Помоему это нельзя(оч сложно) реализовать для веб сервиса...
Были мысли как нить зашифровать пароль и логин юзера JavaScript'ом.
Эт надо для веб сервиса. 11.12.01 14:29  
Автор: iddqd <Юрий> Статус: Member
<"чистая" ссылка>
Ну да, я понял, что это для веба. У меня была такая же идея сделать авторизацию (правда, руки не дошли), так чтоб пароль не гонять по сети. Кроме Java и JavaScript ничего толкового не придумал. На самом деле, не понимаю, чем тебе не нравится этот способ. Написал на Javascript'е простенькую хэш-функцию, и всего делов-то, IMHO. Главное, чтоб перемешивала как положено.
Эт надо для веб сервиса. 11.12.01 15:07  
Автор: paganoid Статус: Member
<"чистая" ссылка>
> Ну да, я понял, что это для веба. У меня была такая же идея
> сделать авторизацию (правда, руки не дошли), так чтоб
> пароль не гонять по сети. Кроме Java и JavaScript ничего
> толкового не придумал. На самом деле, не понимаю, чем тебе
> не нравится этот способ. Написал на Javascript'е
> простенькую хэш-функцию, и всего делов-то, IMHO. Главное,
> чтоб перемешивала как положено.

ничего сложного и правда нет. разжевать если только...
Такая авторизация, к примеру, на dostavka.ru . Вставляется жабаскрипт md5.js ,
вставляется hidden поле challenge в форму логина, в которую сервер пишет случайное число и запоминает его в таблице . Когда идет отсылка формы, ловишь onSubmit , в другое скрытое поле формы responce пишешь (жабаскриптом ессна) responce.value = md5(challenge + md5(password.value)) . Password стираешь. Форма отправляется. Когда приходит ответ серверу, он ищет challenge в табличке выданных challenge'й , получаешь пароль в базе, выполняешь те же преобразования, сравниваешь, что получилось в рез-те вычислений, с тем, что послала форма.

простенькую хеш ф-ю советую не использовать, этот md5.js везде валяется..
Другими словами 11.12.01 15:45  
Автор: PS <PS> Статус: Elderman
<"чистая" ссылка>
спокойно вклиниваешся между ними и посылаешь запросы от имени клиента.
ИМХО, делать какую либо защиту на вебе - пустая трата времени. Только если начальству отрапортовать надо.

> ничего сложного и правда нет. разжевать если только...
> Такая авторизация, к примеру, на dostavka.ru . Вставляется
> жабаскрипт md5.js ,
> вставляется hidden поле challenge в форму логина, в
> которую сервер пишет случайное число и запоминает его в
> таблице . Когда идет отсылка формы, ловишь onSubmit , в
> другое скрытое поле формы responce пишешь (жабаскриптом
> ессна) responce.value = md5(challenge +
> md5(password.value)) . Password стираешь. Форма
> отправляется. Когда приходит ответ серверу, он ищет
> challenge в табличке выданных challenge'й , получаешь
> пароль в базе, выполняешь те же преобразования,
> сравниваешь, что получилось в рез-те вычислений, с тем, что
> послала форма.
>
> простенькую хеш ф-ю советую не использовать, этот md5.js
> везде валяется..
>
Другими словами 11.12.01 15:59  
Автор: iddqd <Юрий> Статус: Member
<"чистая" ссылка>
> спокойно вклиниваешся между ними и посылаешь запросы от
> имени клиента.
> ИМХО, делать какую либо защиту на вебе - пустая трата
> времени. Только если начальству отрапортовать надо.

таким макаром можно и в SSL вклиниться ;) и никто не заметит, там же временный пароль открытым ключем шифруется, если я не ошибаюсь.
а тут речь идет о защите от снифера, наскока я понял.
Ну что ? пофлеймим ? :) 11.12.01 16:25  
Автор: PS <PS> Статус: Elderman
<"чистая" ссылка>
> а тут речь идет о защите от снифера, наскока я понял.

У тебя обычно пароль сколько символов ?
md5(challenge + md5(password.value))
challenge - голое гуляет по сети, осталось только подобрать от 3х до 7и символов, причем это символы a-z, A-Z, 0-9, [пробел].
ИМХО, веб защита - это защита от ленивых.
Ну что ? пофлеймим ? :) 11.12.01 16:44  
Автор: iddqd <Юрий> Статус: Member
<"чистая" ссылка>
> Ну что ? пофлеймим ? :)
ну давай, пока рабочий день не закончился ;))))

> > а тут речь идет о защите от снифера, наскока я понял.
>
> У тебя обычно пароль сколько символов ?
у меня обычно 8-10, беру из отрывка "head -n44 < /dev/urandom | uuencode -m x", потом запоминаю ;)
думаю, этого достаточно, чтоб отбить желание подбирать пароль с мд5
> md5(challenge + md5(password.value))
> challenge - голое гуляет по сети, осталось только подобрать
тут согласен, на том же перле будет генериться гораздо быстрее при простом переборе
> от 3х до 7и символов, причем это символы a-z, A-Z, 0-9,
> [пробел].
за то их много ;)
> ИМХО, веб защита - это защита от ленивых.
не согласен, смотря как сделать
я бы сказал, это бесполезно для короткого пароля
Ну что ? пофлеймим ? :) 11.12.01 16:51  
Автор: iddqd <Юрий> Статус: Member
<"чистая" ссылка>
забыл добавить:
по моему мнению, 8-7ми символов вполне достаточно, т.к. даже при полном переборе пароля,
будет очень много совпадений, а все их нужно проверять, что, в свою очередь, хорошо заметно на сервере (лоджин один и тот же, но пароли совершенно разные)
Нет, ты не понял :) 11.12.01 17:08  
Автор: PS <PS> Статус: Elderman
<"чистая" ссылка>
На сервере ничего не выйдет проверить. Подбор будет происходить между клиентом и сервером. И подыскиватся правильный (совпадающий) хеш. Но это все относится к коротким паролям (как уже было сказано).


> забыл добавить:
> по моему мнению, 8-7ми символов вполне достаточно, т.к.
> даже при полном переборе пароля,
> будет очень много совпадений, а все их нужно проверять,
> что, в свою очередь, хорошо заметно на сервере (лоджин один
> и тот же, но пароли совершенно разные)
Нет, ты не понял :) 11.12.01 17:22  
Автор: iddqd <Юрий> Статус: Member
<"чистая" ссылка>
> На сервере ничего не выйдет проверить. Подбор будет
> происходить между клиентом и сервером. И подыскиватся
> правильный (совпадающий) хеш. Но это все относится к
ну да, тут полностью согласен, если вклиниться между клиентом и сервером, то тут уже ничего не поможет, даже SSL (тоже было сказано выше) ;)
> коротким паролям (как уже было сказано).

походу, тема исчерпана, не получилось пофлеймить :((
Эт надо для веб сервиса. 11.12.01 15:16  
Автор: iddqd <Юрий> Статус: Member
<"чистая" ссылка>
гы, точно ;)
классная штука, тока тяжелая (9.5k) ;)
1






Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2020 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach