4images Forum & Community
General / Allgemeines => Chit Chat => Topic started by: x23piracy on March 21, 2011, 08:30:48 PM
-
Hi,
ich habe mich hier vor Wochen schonmal über die verwendung von MD5 als Hash beschwert. (Siehe auch meine Signatur)
Auf meinem Server habe ich sämtliche User Cookies geloggt die mich besuchen.
(Sofern Cookies aktiv sind hat jeder Server den ihr besucht vollen Cookie zugriff). Alle Cookies!
Ich habe dann alle Hashes auf den bekannte MD5 Seiten gecheckt und bei einem ein
Passwort erhalten. Ich hatte vollen Admin Zugriff auf die fremde 4I Installtion und hätte
die Seite lahmlegen können oder andere böse Dinge anstellen.
Den Seiteninhaber habe ich informiert und das Passwort wurde geändert.
Wann wacht ihr mal auf und stellt auf SHA-1 um, es gibt immer noch "dumme" User die
Wörterbuch Passwörter wählen.
Und hier zieht die Aussage das der User dann selbst schuld ist mal so garnicht, solche Leute
muss man schützen indem man die aktuell sichere Technologie anbietet.
Bei meinem Versuch stand die machbarkeit im Fordergrund, es gab nicht einen Gedanken
tatsächlich Schaden anzurichten!...
Passiert hier mal was? Aufwachen...!
Gruß X23
-
Da gebe ich dir auch Recht.
Es reicht auch wenn das Passwort wie beim WBB "Salted" wird.
Oder der MD5 Hack mit einem Sha-1 Salted wird.
Da muss man halt mal WBB kontaktieren. Sogar Wordpress ist mit salted geschützt.
-
Hi,
mir ist das mitlerweile Latte es meldet sich ja nichtmal einer der Gurus.
Traurig....
Gruß X23
-
Warum sollte sich jemand bei dir melden ?
Möglich das es schon in einer neuen Version übernommen wurde (wird), nur was hat das mit euch zu tun *grübel*, glaube das schaffen die auch alleine.
-
Hi,
es geht um ne Grundäußerung zu dem Problem alter knötterpitter!
Gruß X23
-
Es geht lediglich darum, dass dieses Thema schon angesprochen wurde. Und darum die User zu schützen :!:
-
Hi,
das ist hier eher nebensache hauptsache irgendjemand kauft Lizenzen....
Vielleicht sollte mal einer maulen der eine besitzt vielleicht bekommt der gehör...
(http://www.allmystery.de/dateien/rs35712,1279634340,jesus-facepalm-facepal8et1.jpg)
Gruß X23
-
Offenbar wurde da etwas gemacht.
In der register.php kann man folgenden Eintrag nun finden:
$user_password_hashed = salted_hash($user_password);
Und das war vorher nicht
Warum denn so heimlich? Ist doch gut!!
:thumbup: :thumbup: :thumbup: :thumbup:
-
Offenbar wurde da etwas gemacht.
....
Warum denn so heimlich? Ist doch gut!!
...
etwas is gut, deswegen und wegen einiger anderer sicherheitsupdates wurde so einiges in der galerie geändert.
warte auf das update dann wirst du sehn was ich meine.
und heimlich es doch auch nicht:
http://www.4homepages.de/forum/index.php?topic=29541.msg157184#msg157184
steh hier drinnen.
mfg Andi
-
Hi,
Ist ja nicht unpeinlich ;)
Außerdem gibt's ja die Release notes....
Gruß X23
-
Ok, dass habe ich wohl überlesen!!
Endlich wird das was mit der Gallerie.
-
Hi,
ich gieß nochmal Öl ins Feuer...
Wenn ich da an ältere Lücken denke gab es zwischenzeitlich immer patches,
wieso gab es hier sowas nicht? Oder ist der salted Hash quasi 5 Minuten vor Abgabe
mit in das Update gewandert?
Gruß X23
-
Also zwar bietet die neue Version jetzt zwar die sichere Methode aber in meiner alten Datanbank stehen ja noch alte hashwerte von den Benutzern die sich zuvor (alte Version) registriert haben. Gibt es eine Möglichkeit diese Passwörter zu aktualisieren oder müsste sich dafür jeder User einloggen und sein Passwort über das Kontrollcenter ändern?
mfg.
Crazymodder