Hakeri

[lilo]

Citat:

$user = md5 ( md5 ("123".$a."456" ));
$pass = md5 ( md5 ("!#&".$b."%098" ));

oprosti ali cemu ovo md5("123".$a."456");

mislim cemo to 123 456 - ja je samo skreljim u md5 i amen. Eventualno il koristim sha1 sum, al u biti isti vrag...

[silence]

reko sam da je teroriziranje i iživljavanje
čemu služi?
http://area51.phpbb.com/phpBB/viewto...15483&start=80

da dodatno zapetlja stvari, recimo nek ti neko uspije probit skriptu na nekom drugom dijelu i nek mu se izlista tabela korisnika i taj neko dobije md5 hashave passworda...

recimo da taj neko ima tabelu sa 10000 ili 50000 tisuća riječi koje se često koriste kao passwordi i u toj tabeli ima md5() hash za svaku riječ... uzmi slučaj da tvoj korisnik stavi kao password "lozinka", što uopće nije rijetkost (zato su i dictionary attacks česti) ili neku drugu riječ koju lako pamti...
e sad, ako je neko došao do pohranjenih lozinki njemu je dovoljno provjeriti jel u svojoj bazi od 10 ili 50 tisuća različitih riječi ima isti md5 string... to je gotovo JAKO brzo...

međutim ako ti na ono što korisnik unese dodaš ovakve gluposti, taj tip napada otpada jer bez znanja što je dodano na password, cijela ta tabela sa 10 ili 50 tisuća riječi je beskorisna.

dakle, kad recimo moj korisnik mjenja svoju lozinku u nešto što će lako pamtiti, kao npr. "lozinka", on ne radi md5 ( "lozinka" );, nego md5 ( "123lozinka$%&" );...




ono što je puno bitnije je da je md5 probijen i da nije više siguran kao enkripcija lozinke.

ako hoćeš biti stavrno bezobrazan onda napraviš recimo ovo :
md5 ( sha1 ( $lozinka ));

čovjek sav sretan kaj ti kreten još uvijek koristiš md5 i zna da će to probit, kad ono...oops... jedini problem je kaj je i sha1 skoro pa probijena, ali ipak nudi puno više sigurnosti.

sve ovo ne znači da si siguran, ali dodaje jedan mali sloj više..
nikad ne znaš di si možda ostavio mjesta za SQL injection kojim se može doći do podataka, pa prema tome nije na odmet dodatno zakomplicirat stvari tam di znaš da možeš. zato je recimo bolje postavit u tabeli u bazi jedno dodatno polje za recimo jedinstveni id svake kategorije i raditi provjeru GET varijeble sa is_numeric(), nego imati kategorije po nazivima.
pogle razliku između:

Kod:

www.stranica.com/proizvodi.php?kat=3&pr=123

i

Kod:

www.stranica.com/proizvodi.php?kat=cpu&pr=123

BTW :: da ne mislite kak se ja nekaj super kužim, to mi je sve frend objasnio i reko kaj i zakaj... naravno, nakon toga sam si i ja dao truda i proguglao o tome (tak da kad se idem pravit pametan, mogu barem suvislo reći zakaj sam to reko)

[lilo]

aha to ima smisla :top: . I ja se kao hobi bavim phpom i pravio sam neki cms u sklopu ucenja i rijesio sam navigaciju na taj nacin kao sto si rekao da je brojcana i provjeravam se s is_numeric. Ovakvi trikovi su super, a masa ljudi koji piskara stvari u phpu ih ne zna. A sigurnost je jako bitna

[Gogy]

Dupli post

[Gogy]

Citat:

Pravi autor: silence

BTW :: da ne mislite kak se ja nekaj super kužim, to mi je sve frend objasnio i reko kaj i zakaj... naravno, nakon toga sam si i ja dao truda i proguglao o tome (tak da kad se idem pravit pametan, mogu barem suvislo reći zakaj sam to reko)

Ma super ti to sad znaš, dobro ti je frend objasnio to. I ja ću se morat bacit malo na čitanje o tome.

[pikso123]

Kako oni uspiju se ubaciti u tuda racunala npr. Pentagon postoji li neki program ili tako daj recite...

pa kod nas je još uvijek poprilićno nemoguće iz vlastitog doma hackat neku instituciju jer one nemaju zajedničku bazu podataka dostupnu internetom. Hackanje je zapravo poprilično jednostavno za opisati, ali sve teže i teže izvedivo.

U principu trebaš dešifrirat šifru ta pi uspio pristupiti bazi podataka kada to uspiješ onda tamo ubacit neki program koji će nešto raditi recimo snimiti bazu i zatim je izbrisati, a to ti je pogramiranje.

Međutim izrada takvih programa postaje sve teža, a oni postaju sve dulje zbog zaštita.

[Gogy]

Daj mani se Pentagona i toga... Šta vi mislite da su hackeri onak ko u filmovima

[pikso123]

pa i jesu, samo nikad ne vidiš što isprogramiraju, zašto nikad ne prikažu program za razbijanje šifre ili nešto sl? baš bi bilo od pomoći

Ja sam napravio jedan, ali je malo nepraktičan kada izračunam vrijeme za koje bi mi on izvršio program to je oko 10 godina, nije to za mene . Zapravo nism ni siguran 100% da li radi ili se vrti u beskonačnoj petlji, ai čini mi se da sve štima

[Gogy]

hakeri ne provaljuju šifre na principu idemo isprobavat sve šifre, nego traže propuste koji bi im omogućili da im se šifra pokaže... Ima više vrsta hackera, ma neda mi se sad pričat o tome, idem spavat... nemojte se zamarat hackerima, to nije sve tako lako kao što se u filmovima čini (onaj film Hackeri s angelinom jolie najveć komedija ikad) Hackeri sjede satima i satima i programiraju... a u filmovima oni uđu u neke fajlove i stave mu da je mrtav za 5 minuta...

ma uglavnom... idem spavat

[BoBo]

Citat:

Pravi autor: silence

kakve veze "važnost" sajta ima sa sigurnosti???????
može biti neki sajt najvažniji na svijetu i ako ima idiota od admina može se upasti bez problema....

stvarno volim kad ljudi pišu stvari tek tolko da nekaj napišu, daj barem pročitaj kakvu si glupost reko. kak ti to mjeriš "važnost" nekog sajta, imaš neki "važno-metar"?

ja stvarno volim ljude koji seru tek da nesto seru... znam da si dobro shvatio sto sam htio reci ali za svaki slucaj objsnit cu. Moj neki blesavi site je manje vazan od croportal.net koji je opet manje vazan nego eurosport.com koji je manje vazan od neke stranice tipa pentagon ili sta ja znam.

Sto je stranica "vaznija", to je u pravilu bolje zasticena i teze se moze "upast"... Naravno da ko i svugdje postoje iznimke...

mislim da si ti napiso vise gluposti nego ja.