Czy mo?żna shakować przez program?

0

Piszę sobie program. Jedną z funckji będzie łączenie się z serwerem(wymaga autoryzacji - tym zajmuje się program) i ściąganie pewnych informacji z plików. I tu moje pytanie. Czy jakiś hacker może(dzięki temu, ze program zajmuje się autoryzacją) włamać mi się na konto na serwerze? Jeśli tak, jakie jest mniej - więcej prawdopodobieństwo. I co zrobić, żeby tego uniknąć.

0

mam podobny problem i wlasnie mysle o ort!...tak <ort>iec </ort>w <ort>pamieciu </ort>programu jest haslo i da sie je <ort>rokodowac </ort>-....

0

Piszę sobie program. Jedną z funckji będzie łączenie się z serwerem(wymaga autoryzacji - tym zajmuje się program) i ściąganie pewnych informacji z plików. I tu moje pytanie.

mam podobny problem i wlasnie mysle o zabazpieczeniu...tak iec w pamieciu programu jest haslo i da sie je rokodowac -....

Łącz sie protokołem HTTP ze skryptami na serwerze (np. PHP). Odpowiednio napisane nie będą stanowiły zagrożenia.

0

mam podobny problem i wlasnie mysle o zabazpieczeniu...tak iec w pamieciu programu jest haslo i da sie je rokodowac -....

Nikt Ci nie kaze trzymac hasla w pamieci - przeciez mozesz trzymac crc32 (lub dowolny hash) hasla w programie - zycze powodzenia przy zgadywaniu :)

0

Kiedys na forum ktos dal program ktory jakies dane trzymal na serwerze i na ftp sie laczyl :> Wystaczyl sniffer i juz mialem haslo
A hash nie pomoze jesli jest to serwer ftp bo i tak trzeba sie logowac jawnym haslem i mozna odczytac je tak jak napisalem wyzej :)

0

jesli na FTP jest drugie konto readonly .... nastepna rzecz to w programie haslo jest rowniez zakodowane..... azeby z innego pliku shaszowanego wyciagnac haslo to przeciez tez pojdzie do pamieci :) ...

0

Kiedys na forum ktos dal program ktory jakies dane trzymal na serwerze i na ftp sie laczyl :> Wystaczyl sniffer i juz mialem haslo
A hash nie pomoze jesli jest to serwer ftp bo i tak trzeba sie logowac jawnym haslem i mozna odczytac je tak jak napisalem wyzej :)

Sniffera potrafi uzyc kazdy.
Prosta odpowiedz: ftp + ssl
Tylko mi nie mow, ze kiedys ktos, a Ty miales keyloggera :D

Poza tym zdaje sie ze byla mowa o niestandardowych programach, a nie o zwyklym ftp :D

0

Jesli zadajesz takie pytania to: NIE BIERZ SIE ZA TO. A przynajmniej nie na serwerze, na ktorym trzymasz cenne dane i nie chcesz zeby Ci sie ktos wlamal.

  1. Trzymanie hasha slabo chroni. Lamanie zahashowanego hasla wprawdzie trwa, ale
    w tydzien mozna je spokojnie zlamac metoda "brut-force".
  2. SSL chroni tylko transmisje. Niebezpieczenstwa: DNS spoofing ("man in the middle attack").
  3. Twoj program moze miec bledy. Male przepelnienie bufora i lezy.
  4. Nie uruchamiaj tego jako root/admin. Nie nadawaj atrybutu sgid, suid.
  5. Nie pisz w PHP ani C (potencjalnie 2 najniebezpieczniejsze jak sie nie wie co sie robi).
  6. Sprawa jest trudna i nawet w artach na 4p.net bywaly bledy. Na sieci tez ludzie czesto glupoty wypisuja.
0

ZASADNICZO sie zgadzam z przedmowca, ale...

  • co do brute force - prosze bardzo, zlam dowolne haslo potraktowane md5 w tydzien - stawiam skrzynke whisky. Ale jesli stac Cie na dostep do komputerow wojskowych, bo zapewne tylko one by sobie z tym poradzily - to te skrzynke whisky mozesz sobie sam postawic :P

  • jesli ktos jest w stanie odkryc slabe miejsca w Twoim programie i wywalic Ci go chociazby za pomoca przepelnienia stosu (nie majac w koncu kodu zrodlowego) - to jego umiejetnosci sa wystarczajace zeby nie babrac sie w nieznanym tylko wywalic Ci system, nieprawdaz?

  • nie ma zabezpieczen idealnych (banal) - zabezpieczamy sie przed ciekawskim panem Jasiem i scriptkiddies. Nawet nie tyle zabezpieczamy sie, co chcemy maksymalnie utrudnic. Jesli dane beda na wage zlota - zabezpieczaniem ich zajma sie lepsi fachowcy niz ja, Ty czy postujacy :-)

Pozdrawiam

0

Powiem tak. Nawet żadne komputery z NASA czy z wojska nie złamią w tydzień 21-znakowego hasła z małymi i dużymi literami i cyframi (zapomnijmy o bardziej skomplikowanych typu wszystkie możliwe znaki z klawiatury, czyli ze średnikami, wykrzyknikami itp.), a takiego na przykład używam na swoim serwerze. Ktoś zaraz walnie, że poco takie długie, przecież koażdy może sobie podpatrzeć jak coś takiego wpisuję i do tego trza to pamiętać i że jestem głupi i w ogóle. Na to odpowiem tylko, że zapamiętanie tego hasła to nie jest problem, nie wpadłem na nic lepszego, a do tego żaden słownikowy łamacz haseł tego nie znajdzie. I teraz się męcz, jeśli ktoś jeszcze dodatkowo da bardziej skomplikowane hasło zdając sobie sprawę, że jego zahashowaną wersję udostępnia do publicznego wglądu. NIC Ci tego w normalnym czasie nie złamie. Kiedyś liczyłem coś takiego, 7-mio znakowe hasło z samych liter zajmuje zwykłemu kompowi parę miliardów lat. Nawet jak dysponujesz siecią wszystkich kompów na świecie, to i tak w jakieś pół roku może Ci się to uda złamać, to teraz zabierz się za 21 liter małych i dużych i cyfr... Powodzenia.

0

Ktoś zaraz walnie, że poco takie długie, przecież koażdy może sobie podpatrzeć jak coś takiego wpisuję i do tego trza to pamiętać i że jestem głupi i w ogóle

To ja jeszcze uzupelnie z lekka off-topic, niby proste, a moze nie wszyscy znaja:
Haslo:
lOmTjJzIcTcTtSdKcS4098

Koszmarne, nie?
A do zapamietania - proste jak wierszyk..

_l_itwo, _O_jczyzno _m_oja, _T_y _j_estes _J_ak _z_drowie... i tak dalej. Liczba na koncu - coz, programisci z reguly znaja potegi 2.. :D

I nawet wziawszy pod uwage tych co przy pisaniu wala takie byki ortograficzne jakby w zyciu zadnej ksiazki nie przeczytali - JAKIS wierszyk chyba KAZDY zna :D

Pozdrawiam

0

lOmTjJzIcTcTtSdKcS4098

4096, ofcozz :)

1 użytkowników online, w tym zalogowanych: 0, gości: 1