Piszę sobie program. Jedną z funckji będzie łączenie się z serwerem(wymaga autoryzacji - tym zajmuje się program) i ściąganie pewnych informacji z plików. I tu moje pytanie. Czy jakiś hacker może(dzięki temu, ze program zajmuje się autoryzacją) włamać mi się na konto na serwerze? Jeśli tak, jakie jest mniej - więcej prawdopodobieństwo. I co zrobić, żeby tego uniknąć.
mam podobny problem i wlasnie mysle o ort!...tak <ort>iec </ort>w <ort>pamieciu </ort>programu jest haslo i da sie je <ort>rokodowac </ort>-....
Piszę sobie program. Jedną z funckji będzie łączenie się z serwerem(wymaga autoryzacji - tym zajmuje się program) i ściąganie pewnych informacji z plików. I tu moje pytanie.
mam podobny problem i wlasnie mysle o zabazpieczeniu...tak iec w pamieciu programu jest haslo i da sie je rokodowac -....
Łącz sie protokołem HTTP ze skryptami na serwerze (np. PHP). Odpowiednio napisane nie będą stanowiły zagrożenia.
mam podobny problem i wlasnie mysle o zabazpieczeniu...tak iec w pamieciu programu jest haslo i da sie je rokodowac -....
Nikt Ci nie kaze trzymac hasla w pamieci - przeciez mozesz trzymac crc32 (lub dowolny hash) hasla w programie - zycze powodzenia przy zgadywaniu :)
Kiedys na forum ktos dal program ktory jakies dane trzymal na serwerze i na ftp sie laczyl :> Wystaczyl sniffer i juz mialem haslo
A hash nie pomoze jesli jest to serwer ftp bo i tak trzeba sie logowac jawnym haslem i mozna odczytac je tak jak napisalem wyzej :)
jesli na FTP jest drugie konto readonly .... nastepna rzecz to w programie haslo jest rowniez zakodowane..... azeby z innego pliku shaszowanego wyciagnac haslo to przeciez tez pojdzie do pamieci :) ...
Kiedys na forum ktos dal program ktory jakies dane trzymal na serwerze i na ftp sie laczyl :> Wystaczyl sniffer i juz mialem haslo
A hash nie pomoze jesli jest to serwer ftp bo i tak trzeba sie logowac jawnym haslem i mozna odczytac je tak jak napisalem wyzej :)
Sniffera potrafi uzyc kazdy.
Prosta odpowiedz: ftp + ssl
Tylko mi nie mow, ze kiedys ktos, a Ty miales keyloggera :D
Poza tym zdaje sie ze byla mowa o niestandardowych programach, a nie o zwyklym ftp :D
Jesli zadajesz takie pytania to: NIE BIERZ SIE ZA TO. A przynajmniej nie na serwerze, na ktorym trzymasz cenne dane i nie chcesz zeby Ci sie ktos wlamal.
- Trzymanie hasha slabo chroni. Lamanie zahashowanego hasla wprawdzie trwa, ale
w tydzien mozna je spokojnie zlamac metoda "brut-force". - SSL chroni tylko transmisje. Niebezpieczenstwa: DNS spoofing ("man in the middle attack").
- Twoj program moze miec bledy. Male przepelnienie bufora i lezy.
- Nie uruchamiaj tego jako root/admin. Nie nadawaj atrybutu sgid, suid.
- Nie pisz w PHP ani C (potencjalnie 2 najniebezpieczniejsze jak sie nie wie co sie robi).
- Sprawa jest trudna i nawet w artach na 4p.net bywaly bledy. Na sieci tez ludzie czesto glupoty wypisuja.
ZASADNICZO sie zgadzam z przedmowca, ale...
-
co do brute force - prosze bardzo, zlam dowolne haslo potraktowane md5 w tydzien - stawiam skrzynke whisky. Ale jesli stac Cie na dostep do komputerow wojskowych, bo zapewne tylko one by sobie z tym poradzily - to te skrzynke whisky mozesz sobie sam postawic :P
-
jesli ktos jest w stanie odkryc slabe miejsca w Twoim programie i wywalic Ci go chociazby za pomoca przepelnienia stosu (nie majac w koncu kodu zrodlowego) - to jego umiejetnosci sa wystarczajace zeby nie babrac sie w nieznanym tylko wywalic Ci system, nieprawdaz?
-
nie ma zabezpieczen idealnych (banal) - zabezpieczamy sie przed ciekawskim panem Jasiem i scriptkiddies. Nawet nie tyle zabezpieczamy sie, co chcemy maksymalnie utrudnic. Jesli dane beda na wage zlota - zabezpieczaniem ich zajma sie lepsi fachowcy niz ja, Ty czy postujacy :-)
Pozdrawiam
Powiem tak. Nawet żadne komputery z NASA czy z wojska nie złamią w tydzień 21-znakowego hasła z małymi i dużymi literami i cyframi (zapomnijmy o bardziej skomplikowanych typu wszystkie możliwe znaki z klawiatury, czyli ze średnikami, wykrzyknikami itp.), a takiego na przykład używam na swoim serwerze. Ktoś zaraz walnie, że poco takie długie, przecież koażdy może sobie podpatrzeć jak coś takiego wpisuję i do tego trza to pamiętać i że jestem głupi i w ogóle. Na to odpowiem tylko, że zapamiętanie tego hasła to nie jest problem, nie wpadłem na nic lepszego, a do tego żaden słownikowy łamacz haseł tego nie znajdzie. I teraz się męcz, jeśli ktoś jeszcze dodatkowo da bardziej skomplikowane hasło zdając sobie sprawę, że jego zahashowaną wersję udostępnia do publicznego wglądu. NIC Ci tego w normalnym czasie nie złamie. Kiedyś liczyłem coś takiego, 7-mio znakowe hasło z samych liter zajmuje zwykłemu kompowi parę miliardów lat. Nawet jak dysponujesz siecią wszystkich kompów na świecie, to i tak w jakieś pół roku może Ci się to uda złamać, to teraz zabierz się za 21 liter małych i dużych i cyfr... Powodzenia.
Ktoś zaraz walnie, że poco takie długie, przecież koażdy może sobie podpatrzeć jak coś takiego wpisuję i do tego trza to pamiętać i że jestem głupi i w ogóle
To ja jeszcze uzupelnie z lekka off-topic, niby proste, a moze nie wszyscy znaja:
Haslo:
lOmTjJzIcTcTtSdKcS4098
Koszmarne, nie?
A do zapamietania - proste jak wierszyk..
_l_itwo, _O_jczyzno _m_oja, _T_y _j_estes _J_ak _z_drowie... i tak dalej. Liczba na koncu - coz, programisci z reguly znaja potegi 2.. :D
I nawet wziawszy pod uwage tych co przy pisaniu wala takie byki ortograficzne jakby w zyciu zadnej ksiazki nie przeczytali - JAKIS wierszyk chyba KAZDY zna :D
Pozdrawiam
lOmTjJzIcTcTtSdKcS4098
4096, ofcozz :)