View Full Version : "Однокласники" - не SSL??
смешно
06-04-2008, 12:04 PM
Я чего-то не пойму. У них чего не SSL? Разве такое может быть? :confused:
<form action="http://w20.odnoklassniki.ru/cdk/st.cmd/login/tkn/4264" method="post"><div><input value="set" type="hidden" name="st.posted">
In2HiDef
06-04-2008, 12:08 PM
Ну, это огромная дыра в безопасности.
Incognito
06-04-2008, 10:18 PM
Ну, это огромная дыра в безопасности.
Обьясните, пожалуйста. :)
In2HiDef
06-05-2008, 08:06 AM
Если кто–то балуется одноклассниками в Старбаксе, плохие парни могут украсть его пароль, [snooping on the traffic]
Incognito
06-05-2008, 01:40 PM
Если кто–то балуется одноклассниками в Старбаксе, плохие парни могут украсть его пароль, [snooping on the traffic]
Спасибо! То есть, защита слабая?
In2HiDef
06-05-2008, 01:56 PM
Спасибо! То есть, защита слабая?
Это существенная ошибка разработчиков. Она позволяет пассивно готовить (подслушиванием) атаку на сервис, н.п., распространять трояны с аккаунтов ничего не подозревающих пользователей.
Incognito
06-05-2008, 01:59 PM
Это существенная ошибка разработчиков. Она позволяет пассивно готовить (подслушиванием) атаку на сервис, н.п., распространять трояны с аккаунтов ничего не подозревающих пользователей.
А исправить это нельзя? Или уже поздно?
смешно
06-05-2008, 02:02 PM
А они ещё хвастаются "нас 18 миллионов и это не предел". Мнда...
смешно
06-05-2008, 02:04 PM
Если кто–то балуется одноклассниками в Старбаксе, плохие парни могут украсть его пароль, [snooping on the traffic]
И не только в Старбаксе, везде могут "прослушать" и "пронюхать".
russianamerica небось тоже не SSL.
In2HiDef
06-05-2008, 02:54 PM
russianamerica небось тоже не SSL.
Не ССЛ, но пароль в открытую не шлет. Шлет МД5 от ника+пароль, что безопасно.
Ну, это огромная дыра в безопасности.
И что будет?
Если человек регистрируется на сайтах типа "Одноклассников", то он заранее должен быть уверен, что все его данные типа е-майл однозначно пойдут спамерам в базы. :D
смешно
06-05-2008, 03:41 PM
Не ССЛ, но пароль в открытую не шлет. Шлет МД5 от ника+пароль, что безопасно.
Аааа, вот как. МД5 генерируется прямо на странице? Так всё равно и это можно кракнуть, кому надо.
смешно
06-05-2008, 03:44 PM
И что будет?
Если человек регистрируется на сайтах типа "Одноклассников", то он заранее должен быть уверен, что все его данные типа е-майл однозначно пойдут спамерам в базы. :D
Здесь не только е-майл, например если ты пользуешься этим же паролем в разных местах (что вполне вероятно), то и, другое место тоже могут вскрыть, а это может быть и банк.
In2HiDef
06-05-2008, 04:47 PM
А исправить это нельзя? Или уже поздно?
Можно и тривиально.
In2HiDef
06-05-2008, 04:49 PM
И что будет?
Если человек регистрируется на сайтах типа "Одноклассников", то он заранее должен быть уверен, что все его данные типа е-майл однозначно пойдут спамерам в базы. :D
Если сайт уважает прайваси, то есть хорошо известные и простые способы этого не допустить.
In2HiDef
06-05-2008, 04:55 PM
Аааа, вот как. МД5 генерируется прямо на странице? Так всё равно и это можно кракнуть, кому надо.
МД5 обсуждается на Википедии, с его проблемами... Не МД5, так есть МД6 или ША1. В общем, [reversing a one-way hash] является криптографически сложной задачей, т.е., пока у вас нет квантового компьютера, вы будете ломать хеш дольше, чем вселенная проживет... В таком духе.
In2HiDef
06-05-2008, 07:57 PM
Аааа, вот как. МД5 генерируется прямо на странице? Так всё равно и это можно кракнуть, кому надо.
Решил забрать назад свои слова о безопасности. Да, это кракается (так как сделано), путем [replay attack]. Чтобы усилить защиту, я бы встроил в форму случайное число, участвующее в вычислении хеша, и годное пусть 5 минут, и тогда [replay] должен произойти в течении 5 минут, что проблема для хакера.
wlass
06-05-2008, 08:14 PM
Здесь не только е-майл, например если ты пользуешься этим же паролем в разных местах (что вполне вероятно), то и, другое место тоже могут вскрыть, а это может быть и банк.
Здрасссссссте! А разве так делается?????:eek:
смешно
06-06-2008, 10:01 AM
Здрасссссссте! А разве так делается?????:eek:
По любому вероятность есть и не маленькая.
смешно
06-06-2008, 10:03 AM
Решил забрать назад свои слова о безопасности. Да, это кракается (так как сделано), путем [replay attack]. Чтобы усилить защиту, я бы встроил в форму случайное число, участвующее в вычислении хеша, и годное пусть 5 минут, и тогда [replay] должен произойти в течении 5 минут, что проблема для хакера.
Это уже почти SSL будет, в принципе. А ключ: случайное число.