Zpět na seznam článků     Zpět na článek

Komentáře ke článku

 
 
 BBCode
Emkei | E-mail | Website | PGP15.4.2010 18:02
grey: takze jsi to nazval blbosti jen proto, ze v tvem pripade by se heslo crackovalo miliardu let a v tom mem pouze milion? vidis v tom tu absurditu? jinak se mi tve reseni libi...
Emkei | E-mail | Website | PGP15.4.2010 17:53
nesmysl to neni, pouze jsi to nepochopil. ta nerozpoznana pripona tam stale je, pouze je ignorovana a se souborem se zachazi podle te predchazejici.

pojmenuj si libovolny PHP script napr. index.php.s3d a uvidis, co se stane (interpretuje se, prestoze ma priponu .s3d a prosel tak pres blacklist).
Lukyer | 81.91.216.*15.4.2010 17:01
pekny clanek, ale par veci me zarazilo ... zacneme treba tim, ze apache pri pouziti nezname pripony pouzije tu predchozi v nazvu souboru? Co to je za nesmysl? Nikdy jsem to nevidel a at zkousim jak zkousim, tak i na naprosto obycejne instalaci apache to takhle nefunguje a apache posle 404
grey | 80.250.16.*15.4.2010 16:06
emkei: ne, není to to samé v bledě modrém... jde o to, že ty ty hashovací funkce používáš do sebe přímo, takže hashovaný string má vždy fixní délku, v tom je ten problém...
Frixion | E-mail | ICQ 46658707415.4.2010 15:36
Tak nezobrazovat průběžné pořadí nebo údaje, které se máš prostě z ankety dozvědět dříve, než zkončí.

DJVyn: ten nápad se mi hodně líbí ;)
Emkei: Moc pěkný článek... mám takový pocit jako bych ho už někde viděl :D:D
Emkei | E-mail | Website | PGP15.4.2010 15:19
mne by se to tak libilo, ale bezni uzivatele by asi nepochopili, proc jsou konecne vysledky jine nez ty prubezne. leda by na to byli predem upozorneni, v tom pripade by to ale vedel i utocnik...
DJVyn15.4.2010 15:07
K těm anketám: lepší by IMHO bylo neblokovat více hlasování z jedné IP hned, ale jednou za čas CRONem (případně po ukončení soutěže) vymazat opakovaná hlasování a zalogovat o nich informace.
Takže se útočník vykašle na složitější útoky když mu přece "stačí" opakovaně hlasovat z jedné IP. :-)
Emkei | E-mail | Website | PGP15.4.2010 11:44
rovnez mas vnorene md5() v sha1(), tudiz nechapu, proc kritizujes neco, co pak napises sam v blede modrem...

pokud aplikace ulozi heslo v cistem md5() nebo sha1(), pak ti je prolomi kdokoliv behem kratke doby, nebot potrebne rainbow-tabulky sezene po chvili hledani na Internetu, predgenerovane vnorene nebo dokonce zkracne hashe ale nikde nenajdes, byt je pravdepodobnost kolize vyssi. ja pisu o realite a praktickych zkusenostech, ne o teoretickych uvahach...

ps: crackery a rainbow-tabulky umi pouzivat kazdy idiot, hledat kolize malokdo.
grey | 80.250.16.*15.4.2010 10:21
emkei, to co děláš s heslem je blbost... více sha1/md5/jakykoli-hash čistě v sobě zvyšuje brutálně možnost kolize... lepší je to dělat třeba jako: sha1($password.md5($password.$salt).$salt.md5($password))...

Stránky: 1 2 3 4
© 2003–2024 SOOM.cz | ISSN 1804-7270 | info@soom.cz | IRC #soom | changelog | N2E4YTcz