Zpět na seznam článků     Zpět na článek

Komentáře ke článku

 
 
 BBCode
independent_ | 89.24.92.*7.2.2011 19:40
Yap, to je pravda, ale captchu nejspis nebude tak tezke cracknout. Nevim, jestli je vubec mozne udelat bezpecnou captchu, kterou neni mozne jednodusse cracknout automatizovane, a i kdyby to mozne bylo, porad tu zustava moznost, ze utocnik tu captchu triskne na jiny web a necha ji opisovat nic netusici uzivatele, cimz ji rozlusti bez pouziti ruznych crackeru apod.

Na druhou stranu asi bude cracknuti captchi timto zpusobem trvat pomerne dlouho a treba u 3D captchi nejspis odpada moznost cracknout ji automatizovane, takze to, co jsem navrhoval, je asi opravdu k nicemu.
.cCuMiNn. | E-mail | Website | PGP7.2.2011 19:29
independent: Toto je v podstatě stejné řešení jako použití captchy. Captcha je ale lepší, protože si jí uživatel nemusí pamatovat.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
independent_ | 89.24.92.*7.2.2011 19:22
Co treba uzivateli pri registraci vygenerovat "zachrany kod" (v podstate jen velmi silne heslo), kterym by bylo mozne odemknout zamceny ucet? Ucet by byl automaticky zamcen po nekolika spatne zadanych heslech.

Aby bylo mozne se k uctu znovu dostat, nestacilo by pouze zadat spravne heslo (do "prvniho levelu"), ktere byva vyplnovano obvykle, ale taktez "zachrany kod", ktery by jiz byl dostatecne komplikovany na to, aby jej nebylo mozne v realnem case uhodnout pomoci brute force utoku.

Mozna je to nesmysl, prave me to napadlo a jeste jsem nad tim moc nepremyslel..
.cCuMiNn. | E-mail | Website | PGP7.2.2011 19:16
Emkei: Teď mi teprve ten fór došel :)
Mimochodem, to persistentní XSS na navštěvovaných webech není zas tak nereálný. Ono není persistentní XSS jako persistentní XSS. Znám spusty webů, kde se ukazují nejvyhledávanější fráze a právě tyto jsou zranitelné na XSS. Stačí pak pouze odeslat několik desítek shodných závadných dotazů přes vyhledávání a získáš krásné persistentní XSS.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
Emkei | E-mail | Website | PGP7.2.2011 18:59
ono tech persistentnich XSS na navstevovanych serverech neni zrovna jako hub po desti, osobne si na zadnou uz dost dlouho nevzpominam.
ja to za idelani reseni povazuji, nebot neobtezujes uzivatele (silne heslo, captcha), a presto odvracis naprosto drtivou vetsinu utoku beznych utocniku, pricemz ti zkusenejsi, kterych bude minorita, na tebe nepujdou pres brute force.
ta veta o bruteforce na SOOMu byla sranda, chtel jsem tim naznacit, ze distribuovanym utokem bys shodil cely server (na to ti dneska staci tisicovka uzlu, coz dokazaly nedavne utoky po blokaci wikileaks).
.cCuMiNn. | E-mail | Website | PGP7.2.2011 17:53
Emkei: Jesně, teď to beru spíše obecně a Seznam pomíjím. Pokud je povoleno přihlašování pomocí CSRF, tak ti k distribuovanému útoku stačí i persistentní XSS na nějakém hodně navštěvovaném serveru. Není pak ani potřeba ovládat svůj botnet.
Snažím se najít nejlepší řešení a v těchto komentářích tak doplnit (případně uvést na pravou míru) informace uvedené v článku.
Když se tedy vrátím k té prodlevě v odpovědi serveru na požadavek o přihlášení, tak mi to jako ideální řešení pro všechny nepřijde.
Jak jsi psal "v pripade SOOMu by se ti z BruteForce stal DDoS" tak to znamená, že ochrana proti DoS/DDoS nehlídá pouze požadavky z jedné IP adresy, ale i požadavky z více IP adres o jeden zdroj? Pokud ano, pak by to opět vedlo k odepření služeb při pokusu o přihlášení skutečného uživatele.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
Emkei | E-mail | Website | PGP7.2.2011 17:40
v pripade SOOMu by se ti z BruteForce stal DDoS =) v pripade Seznamu by asi pomohla ta captcha po 15 requestech, jak je tomu dneska treba u GMailu.

na druhou stranu, botnet dnes stale nema kde kdo a pro ziskani hesla na seznamu je mnohem snazsi projit pres bezpecnostni otazku nebo vyuzit socialniho inzenyrstvi.
.cCuMiNn. | E-mail | Website | PGP7.2.2011 17:35
Emkei: OK, co ten distribuovaný útok?

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
Emkei | E-mail | Website | PGP7.2.2011 17:31
vlakna by ti nepomohla, naopak by te o to driv zastavila protidosova ochrana, zde na SOOMu po 500 pozadavich za sebou, jinde napr. skrz Apache modul mod_evasive, APF atp. neco z toho uz ma dnes kazdy vetsi system.
.cCuMiNn. | E-mail | Website | PGP7.2.2011 17:10
To zpožďování máte na mysli v odpovědi serveru od obdrženého požadavku? Pokud ano, tak to určitě značně zbrzdí útok při jednovláknovém crackeru. Co ale, když vyšlu 100 požadavků za vteřinu v různých vláknech? Dostanu po několikavteřinovém zpoždění zpět zase 100 odpovědí? Pokud ano, tak může takový cracker fungovat stejně rychle jako jednovláknový bez použití tohoto omezení.
BTW: Ta captcha mě v době psaní článku nenapadla a uznávám, že jde o účinné řešení. Zde na SOOMu zase považuji za dostatečnou ochranu systém lístků který zabraňuje CSRF požadavkům.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.

Stránky: 1 2 3
© 2003–2024 SOOM.cz | ISSN 1804-7270 | info@soom.cz | IRC #soom | changelog | YzVhY2Uw