ForumCała strona

Nawigacja

Aktualnie online

Gości online: 15

Użytkowników online: 0

Łącznie użytkowników: 25,400
Najnowszy użytkownik: AlojzyBartek

Logowanie

Nazwa użytkownika

Hasło



Zarejestruj się

Odzyskaj hasło

Shoutbox

Musisz zalogować się, aby móc dodać wiadomość.

Zbigniew@
17.11.2024 11:33:24
Nie ten grzeszy kto pije, ale ten, kto się nie upije.

JazOOn
16.11.2024 20:46:18
tja

Zbigniew@
15.11.2024 18:58:17
Kto pije, ten nie bije.

JazOOn
31.10.2024 20:49:47
Kto pije?

piterus
30.10.2024 19:45:48
I będziemy śpiewać: "Kiedy 20 blisko, przebadaj wszystko, przebadaj wszystko..." Pfft

Pobierz nową wersję
Pobierz podręcznik
Zobacz inne oficjalne Supporty
Statystyki supportu
PHP-Fuson PL na Facebooku

RSS

Polecamy hosting SferaHost.pl

Zobacz temat

 Drukuj temat
Fusion - 6.01.4 Bezpieczniejszy? czy nie?
K@iTO
Witam moje pytanie jest oczywiste i zawarte w temacie:

Fusion - 6.01.4 Bezpieczniejszy? czy nie?

images1.fotosik.pl/149/ffe6ff58ce747053m.jpg

Czy to możliwe? to zdjęcie walnołem 2 min przed napisaniem posta.

Cieżko mi odnieś się do tego co zobaczyłem inaczej niż stwierdzeniem, że ten upgrade
nie jest bezpieczny.


Oczywiście mogę się mylić. Mogło to być przejęcie strony przez nie uwage (niechlujność) administratorów, bądź z zemsty wyrzuconego admina. Tak czy inaczej, Ustosunkujcie się do tego. Dzięki!
Portal o grze 9dragons w PHP-Fusion
 
www.9dragons.svajs.eu
Wścibski Gość
Dodany dnia 23.11.2024 11:15:03
Pan Kontekstualny

Postów: n^x
Data rejestracji: Zawsze

Polecamy hosting SferaHost.pl
IP: localhost  
Pieka
Zaczynam miec juz dosyc tego typu pytan!
Ile razy mamy tlumaczyc, ze PHP-Fusion w wersji 6.01.4 jest bezpieczny!!

Wlamania, ktore ostatnio mialy miejsce (Open Beta, Fusion-Mods, Deutsche Support) spowodowane byly slabymi haslami adminow oraz tym, ze czesc z nich uzywala jednego i tego samego hasla do wszystkich kont. I mam tu na mysli konta na innych stronach opartych lub nie na Fusionie.

Na potwierdzenie swoich slow przytocze dwie wypowiedzi z supportu brytyjskiego:

1. My advice to everyone is to change your password, and never use the same password for more than one site. As far as I know there is no security hole involved in this attack so try not to panic. Thanks.

2. Homy on Aug 26 2006 at 11:47:45
We know who the hacker is.
We know which admins password were used.

The hack did not compromize PHP-Fusion Security.

We have received extensive information on how this was done, it can not be repeated without a combination of an Administrators username + password and certain specific admin rights.
With that info, anything can be done, as You may understand.

PHP-Fusion 6.01.4, and probably all in the 6-series, ARE SAFE.

I dodam rade/informacje Matonor'a:
Matonor on Aug 26 2006 at 09:17:37
Note: You all should know that, but it's wise to use a password with at least 8 chars and both lower and uppercase and numbers. This password must not make any sense in any language. A password like that takes 21 days average to bruteforce with the latest computers.
Just for fun:
6 chars: 11 minutes
9 chars: 1067 days
10 chars: 55493 days
15 chars: 21098519251900 days (earth has probably vanished by then already smiley )


Mam nadzieje, ze na tym zakonczymy.
Jestem jaki jestem Smile
 
www.php-fusion.pl
JazOOn
Chciałbym zwrócić uwagę na to:

Pieka napisał/a:
2. Homy on Aug 26 2006 at 11:47:45
We know who the hacker is.
We know which admins password were used.


Wiemy kto jest hackerem.
Wiemy, których adminów hasła zostały użyte.

Pokazuje to definitywnie że problem leżał po stronie "ludzkiej" a nie kodu fusiona.
Jak przytoczył to mój przedmówca problem leży wyłącznie po stronie słabych/identycznych haseł.
 
SebaZ
Wlamania, ktore ostatnio mialy miejsce (Open Beta, Fusion-Mods, Deutsche Support)
czyzbym cos ominął?

Pozdro
SebaZ

P.S. o Fusion-Mods nei pytam z oczywistych względów Smile
Edytowane przez SebaZ dnia 27.08.2006 13:15:14
Zadawanie pytań na forum to nie jest prawo, to jest przywilej, którego każdy może być pozbawiony jeżeli nie będzie umiał z niego korzystać. Nie wymagaj więc natychmiastowej odpowiedzi.
 
K@iTO
Pieka napisał/a:
Zaczynam miec juz dosyc tego typu pytan!
Ile razy mamy tlumaczyc, ze PHP-Fusion w wersji 6.01.4 jest bezpieczny!!

Wlamania, ktore ostatnio mialy miejsce (Open Beta, Fusion-Mods, Deutsche Support) spowodowane byly slabymi haslami adminow oraz tym, ze czesc z nich uzywala jednego i tego samego hasla do wszystkich kont. I mam tu na mysli konta na innych stronach opartych lub nie na Fusionie.

Na potwierdzenie swoich slow przytocze dwie wypowiedzi z supportu brytyjskiego:

---------------------------------------------

Mam nadzieje, ze na tym zakonczymy.


Oczywiście Pieka, że zakańcza. Ale nie widziałem nigdzie informacji oficjalnej ani na forum ani w new's a używam php-fusion nie tylko prywatnie. Dlatego też zmartwilo mnie to jak chciałem dostać się na support niemiecki, żeby cos poczytać a tu zonk. :D

Tak wiec mam nadzieje, że was "supportu polskiego" nie uraziło to bardzo ale wkońcu sprawa jest rozwiązana.

Ps.
Chcesz spać spokojnie? Używaj Hasła 12 literowego wyglądającego mniejwiecej tak:

Dx5j2Ko1PK23


a wmiare możliowści tak:

Dx5#2K!1P*23


Ustawienie 3 stałych haseł nie sprawi problemu pamęciowego a bezpieczeństwo będzie 300% wieksze, że nikt nie zgadnie hasła (brutal force - haha)

Pozdro!
Portal o grze 9dragons w PHP-Fusion
 
www.9dragons.svajs.eu
szer
K@iTO napisał/a:

a wmiare możliowści tak:

Dx5#2K!1P*23



HAHAHA! Teraz to się uśmiałem. Takie coś jest dobre i to prawda ale nie w fusionie bo tutaj można tylko litery i cyfry używać Pfft. Więc jeśli temat jest o fusionie to lepiej pisać coś co będzie pod nim działać
 
K@iTO
szer napisał/a:
K@iTO napisał/a:

a wmiare możliowści tak:

Dx5#2K!1P*23



HAHAHA! Teraz to się uśmiałem. Takie coś jest dobre i to prawda ale nie w fusionie bo tutaj można tylko litery i cyfry używać Pfft. Więc jeśli temat jest o fusionie to lepiej pisać coś co będzie pod nim działać


skoro napisałem "wmiare możliowści" To chyba jest logiczne, że tam gdzie się da.
Pozatym jest możlowść dodania tych znaków do fusiona tylko połowa z nich musi byc z "/" przed znakiem np: /$, /%, /^

juz to u kogos widzialem tak zdefiniowane i chyba u siebie tez zrobie
Portal o grze 9dragons w PHP-Fusion
 
www.9dragons.svajs.eu
Pieka
Nie badz taki wysmiewny!
Kolega podal dwie wersje, z czym przy drugiej masz odpowiednia notke:
a wmiare możliowści tak:

Jestem jaki jestem Smile
 
www.php-fusion.pl
Spoczywaj w pokoju... wlodekp
Właśnie przed chwilą sprawdziłem oba hasła kolegi-przy metodzie zmiany hasła z phpmyadmin bez problemu można to zrobić na dowolnym koncie-i zalogować się, są jeszcze do dyspozycji małe i duże litery-w zasadzie wszystkie dostępne znaki.
 
wlodekp.europa.pl
pawkow
hmmm, ja mam chasło podobne do tego: gh56ya5532 - co o tym sądzicie ? Moim zdaniem jest bezpieczne, wszędzie mam podobne chasła - kto by sie tego wykuł Pfft
Zapraszam na motoklimat.pl - Baza wiedzy o samochodach, modele, spalanie, specyfikacje.
 
https://motoklimat.pl
K@iTO
wlodekp napisał/a:
Właśnie przed chwilą sprawdziłem oba hasła kolegi-przy metodzie zmiany hasła z phpmyadmin bez problemu można to zrobić na dowolnym koncie-i zalogować się, są jeszcze do dyspozycji małe i duże litery-w zasadzie wszystkie dostępne znaki.


Powiem tak.

Zanim powstanie w następnej wersji 6.01.5 możliwość dodawani haseł ze wszystkimi znakami (hmm małe i duze) to na pędce każdy może dodać sobie hasło swoje (super admina) z phpmyadmin przy kodowaniu md5 jakie mu sie podoba i to jest dobre rozwiązanie!

pawkow napisał/a:
hmmm, ja mam chasło podobne do tego: gh56ya5532 - co o tym sądzicie ? Moim zdaniem jest bezpieczne, wszędzie mam podobne chasła - kto by sie tego wykuł smiley


Jasne, że jest ale teraz popatrzmy :D zeby nie bylo np takie

gh56ya5532 - gh - inicjaly 56- rok urodzenia -ya- inicjaly zony 5532- koncowka telefonu :D

bo znajdzie się taki "Kevin Mitnick" który takie informacje wyciagnie od ciebie i je poskleja ;d i się zdziwisz :D

hehhehe
Portal o grze 9dragons w PHP-Fusion
 
www.9dragons.svajs.eu
Spoczywaj w pokoju... wlodekp
Wykuć to bezsens ja przy zmianie wklejałem, nie mam rejestracji więc u mnie nie widać-nazwy admina-bo to też trrzeba znać, metoda brute force polega na skanowaniu-wszyskich kombinacji-widzę te ataki na swoim serwerze po ssh-na konto główne roota-którego i tak nie używam(blokada sshd) bo loguje się na inne i przechodzę z niego na uprawnienia root-zabezpieczenie nazwy konta, stosuję także blokadę połączenia po 3 błędnych próbach z danego IP -czas złamania wydłuża w nierealny. Może blokada błędnych logowań do fusion sam nie wiem?
 
wlodekp.europa.pl
pawkow
limit logowań do 3 w czasie jednej minuty, max 50 nieudanych nad dobe? Tylko na jakiej zasadzie - IP, COOKIES - wszystko do obejścia. Dla loginu Pfft najlepiej. Poza tym wszystkie znaki. Toś to kody do naskrobania na 1-2h
Zapraszam na motoklimat.pl - Baza wiedzy o samochodach, modele, spalanie, specyfikacje.
 
https://motoklimat.pl
Pieka
wlodekp napisał/a:
.. Może blokada błędnych logowań do fusion sam nie wiem?



Dokladnie.
Wtyczke znajdziecie w Laboratorium pod nazwa:
MOD-Bad Login Manager v1.0.2 - 28.11Kb

Wyświetla wszystkie błędne logowania, czyli ewentualne próby włamania na konta Twojego portalu.

Licencja: GNU/GPL | Autor: Ian Unruh | Wersja: v.1.0.2
Data dodania: 11.01.06 | Pobrano: 1127


Uzywam od dawna i mam jak na dloni wszystkie proby wlaman na konta.
Dodatkowo po 10 probach delikwent zostaje zbanowany.
Tych dziesiec nie jest na okreslony czas, tylko na calosc.
Edytowane przez Pieka dnia 27.08.2006 23:36:54
Jestem jaki jestem Smile
 
www.php-fusion.pl
niebieski
Ci z www.ausimods.com tez chyba zapomnieli zmienic hasla.
Ausimods Is Hack3d
Sad
www.choszczno.biz - Przerwa na kawę
 
Przejdź do forum:
Created by Arox Copyright (C) 2004
Copyright (C) 2004 - 2018 Ekipa PHP-Fusion.pl