Zobacz temat
Fusion - 6.01.4 Bezpieczniejszy? czy nie?
|
|
K@iTO |
Dodany dnia 27.08.2006 02:28:43
|
Początkujący Postów: 102 Data rejestracji: 08.08.2005 21:19 |
Witam moje pytanie jest oczywiste i zawarte w temacie: Fusion - 6.01.4 Bezpieczniejszy? czy nie? Czy to możliwe? to zdjęcie walnołem 2 min przed napisaniem posta. Cieżko mi odnieś się do tego co zobaczyłem inaczej niż stwierdzeniem, że ten upgrade nie jest bezpieczny. Oczywiście mogę się mylić. Mogło to być przejęcie strony przez nie uwage (niechlujność) administratorów, bądź z zemsty wyrzuconego admina. Tak czy inaczej, Ustosunkujcie się do tego. Dzięki! Portal o grze 9dragons w PHP-Fusion |
|
|
Wścibski Gość |
Dodany dnia 23.11.2024 19:36:22
|
Pan Kontekstualny Postów: n^x Data rejestracji: Zawsze |
|
IP: localhost | |
Pieka |
Dodany dnia 27.08.2006 04:25:22
|
Postów: 19882 Pomógł: 767 v7.02.03 Data rejestracji: 23.02.2005 18:12 |
Zaczynam miec juz dosyc tego typu pytan! Ile razy mamy tlumaczyc, ze PHP-Fusion w wersji 6.01.4 jest bezpieczny!! Wlamania, ktore ostatnio mialy miejsce (Open Beta, Fusion-Mods, Deutsche Support) spowodowane byly slabymi haslami adminow oraz tym, ze czesc z nich uzywala jednego i tego samego hasla do wszystkich kont. I mam tu na mysli konta na innych stronach opartych lub nie na Fusionie. Na potwierdzenie swoich slow przytocze dwie wypowiedzi z supportu brytyjskiego: 1. My advice to everyone is to change your password, and never use the same password for more than one site. As far as I know there is no security hole involved in this attack so try not to panic. Thanks. 2. Homy on Aug 26 2006 at 11:47:45 We know who the hacker is. We know which admins password were used. The hack did not compromize PHP-Fusion Security. We have received extensive information on how this was done, it can not be repeated without a combination of an Administrators username + password and certain specific admin rights. With that info, anything can be done, as You may understand. PHP-Fusion 6.01.4, and probably all in the 6-series, ARE SAFE. I dodam rade/informacje Matonor'a: Matonor on Aug 26 2006 at 09:17:37 Note: You all should know that, but it's wise to use a password with at least 8 chars and both lower and uppercase and numbers. This password must not make any sense in any language. A password like that takes 21 days average to bruteforce with the latest computers. Just for fun: 6 chars: 11 minutes 9 chars: 1067 days 10 chars: 55493 days 15 chars: 21098519251900 days (earth has probably vanished by then already smiley ) Mam nadzieje, ze na tym zakonczymy. Jestem jaki jestem
|
|
|
JazOOn |
Dodany dnia 27.08.2006 13:10:59
|
Ekspert Postów: 2155 Pomógł: 2 v7.02.07 Data rejestracji: 21.02.2005 13:47 |
Chciałbym zwrócić uwagę na to: Pieka napisał/a: 2. Homy on Aug 26 2006 at 11:47:45 We know who the hacker is. We know which admins password were used. Wiemy kto jest hackerem. Wiemy, których adminów hasła zostały użyte. Pokazuje to definitywnie że problem leżał po stronie "ludzkiej" a nie kodu fusiona. Jak przytoczył to mój przedmówca problem leży wyłącznie po stronie słabych/identycznych haseł. |
|
|
SebaZ |
Dodany dnia 27.08.2006 13:14:44
|
Zaawansowany Postów: 1598 Pomógł: 2 Data rejestracji: 10.11.2004 22:39 |
Wlamania, ktore ostatnio mialy miejsce (Open Beta, Fusion-Mods, Deutsche Support) czyzbym cos ominął?Pozdro SebaZ P.S. o Fusion-Mods nei pytam z oczywistych względów Edytowane przez SebaZ dnia 27.08.2006 13:15:14 Zadawanie pytań na forum to nie jest prawo, to jest przywilej, którego każdy może być pozbawiony jeżeli nie będzie umiał z niego korzystać. Nie wymagaj więc natychmiastowej odpowiedzi.
|
|
|
K@iTO |
Dodany dnia 27.08.2006 13:55:46
|
Początkujący Postów: 102 Data rejestracji: 08.08.2005 21:19 |
Pieka napisał/a: Zaczynam miec juz dosyc tego typu pytan! Ile razy mamy tlumaczyc, ze PHP-Fusion w wersji 6.01.4 jest bezpieczny!! Wlamania, ktore ostatnio mialy miejsce (Open Beta, Fusion-Mods, Deutsche Support) spowodowane byly slabymi haslami adminow oraz tym, ze czesc z nich uzywala jednego i tego samego hasla do wszystkich kont. I mam tu na mysli konta na innych stronach opartych lub nie na Fusionie. Na potwierdzenie swoich slow przytocze dwie wypowiedzi z supportu brytyjskiego: --------------------------------------------- Mam nadzieje, ze na tym zakonczymy. Oczywiście Pieka, że zakańcza. Ale nie widziałem nigdzie informacji oficjalnej ani na forum ani w new's a używam php-fusion nie tylko prywatnie. Dlatego też zmartwilo mnie to jak chciałem dostać się na support niemiecki, żeby cos poczytać a tu zonk. :D Tak wiec mam nadzieje, że was "supportu polskiego" nie uraziło to bardzo ale wkońcu sprawa jest rozwiązana. Ps. Chcesz spać spokojnie? Używaj Hasła 12 literowego wyglądającego mniejwiecej tak: Dx5j2Ko1PK23 a wmiare możliowści tak: Dx5#2K!1P*23 Ustawienie 3 stałych haseł nie sprawi problemu pamęciowego a bezpieczeństwo będzie 300% wieksze, że nikt nie zgadnie hasła (brutal force - haha) Pozdro! Portal o grze 9dragons w PHP-Fusion |
|
|
szer |
Dodany dnia 27.08.2006 20:27:20
|
Zaawansowany Postów: 1139 Pomógł: 4 Data rejestracji: 13.11.2004 23:06 |
K@iTO napisał/a: a wmiare możliowści tak: Dx5#2K!1P*23 HAHAHA! Teraz to się uśmiałem. Takie coś jest dobre i to prawda ale nie w fusionie bo tutaj można tylko litery i cyfry używać . Więc jeśli temat jest o fusionie to lepiej pisać coś co będzie pod nim działać |
|
|
K@iTO |
Dodany dnia 27.08.2006 20:39:09
|
Początkujący Postów: 102 Data rejestracji: 08.08.2005 21:19 |
szer napisał/a: K@iTO napisał/a: a wmiare możliowści tak: Dx5#2K!1P*23 HAHAHA! Teraz to się uśmiałem. Takie coś jest dobre i to prawda ale nie w fusionie bo tutaj można tylko litery i cyfry używać . Więc jeśli temat jest o fusionie to lepiej pisać coś co będzie pod nim działać skoro napisałem "wmiare możliowści" To chyba jest logiczne, że tam gdzie się da. Pozatym jest możlowść dodania tych znaków do fusiona tylko połowa z nich musi byc z "/" przed znakiem np: /$, /%, /^ juz to u kogos widzialem tak zdefiniowane i chyba u siebie tez zrobie Portal o grze 9dragons w PHP-Fusion |
|
|
Pieka |
Dodany dnia 27.08.2006 20:43:58
|
Postów: 19882 Pomógł: 767 v7.02.03 Data rejestracji: 23.02.2005 18:12 |
Nie badz taki wysmiewny! Kolega podal dwie wersje, z czym przy drugiej masz odpowiednia notke: a wmiare możliowści tak:
Jestem jaki jestem
|
|
|
wlodekp |
Dodany dnia 27.08.2006 21:16:06
|
Weteran Postów: 3101 Pomógł: 29 Data rejestracji: 21.05.2005 22:27 |
Właśnie przed chwilą sprawdziłem oba hasła kolegi-przy metodzie zmiany hasła z phpmyadmin bez problemu można to zrobić na dowolnym koncie-i zalogować się, są jeszcze do dyspozycji małe i duże litery-w zasadzie wszystkie dostępne znaki.
|
|
|
pawkow |
Dodany dnia 27.08.2006 21:31:19
|
Bywalec Postów: 538 Data rejestracji: 05.06.2005 08:27 |
hmmm, ja mam chasło podobne do tego: gh56ya5532 - co o tym sądzicie ? Moim zdaniem jest bezpieczne, wszędzie mam podobne chasła - kto by sie tego wykuł
Zapraszam na motoklimat.pl - Baza wiedzy o samochodach, modele, spalanie, specyfikacje.
|
|
|
K@iTO |
Dodany dnia 27.08.2006 21:47:27
|
Początkujący Postów: 102 Data rejestracji: 08.08.2005 21:19 |
wlodekp napisał/a: Właśnie przed chwilą sprawdziłem oba hasła kolegi-przy metodzie zmiany hasła z phpmyadmin bez problemu można to zrobić na dowolnym koncie-i zalogować się, są jeszcze do dyspozycji małe i duże litery-w zasadzie wszystkie dostępne znaki. Powiem tak. Zanim powstanie w następnej wersji 6.01.5 możliwość dodawani haseł ze wszystkimi znakami (hmm małe i duze) to na pędce każdy może dodać sobie hasło swoje (super admina) z phpmyadmin przy kodowaniu md5 jakie mu sie podoba i to jest dobre rozwiązanie! pawkow napisał/a: hmmm, ja mam chasło podobne do tego: gh56ya5532 - co o tym sądzicie ? Moim zdaniem jest bezpieczne, wszędzie mam podobne chasła - kto by sie tego wykuł smiley Jasne, że jest ale teraz popatrzmy :D zeby nie bylo np takie gh56ya5532 - gh - inicjaly 56- rok urodzenia -ya- inicjaly zony 5532- koncowka telefonu :D bo znajdzie się taki "Kevin Mitnick" który takie informacje wyciagnie od ciebie i je poskleja ;d i się zdziwisz :D hehhehe Portal o grze 9dragons w PHP-Fusion |
|
|
wlodekp |
Dodany dnia 27.08.2006 21:50:24
|
Weteran Postów: 3101 Pomógł: 29 Data rejestracji: 21.05.2005 22:27 |
Wykuć to bezsens ja przy zmianie wklejałem, nie mam rejestracji więc u mnie nie widać-nazwy admina-bo to też trrzeba znać, metoda brute force polega na skanowaniu-wszyskich kombinacji-widzę te ataki na swoim serwerze po ssh-na konto główne roota-którego i tak nie używam(blokada sshd) bo loguje się na inne i przechodzę z niego na uprawnienia root-zabezpieczenie nazwy konta, stosuję także blokadę połączenia po 3 błędnych próbach z danego IP -czas złamania wydłuża w nierealny. Może blokada błędnych logowań do fusion sam nie wiem?
|
|
|
pawkow |
Dodany dnia 27.08.2006 22:12:00
|
Bywalec Postów: 538 Data rejestracji: 05.06.2005 08:27 |
limit logowań do 3 w czasie jednej minuty, max 50 nieudanych nad dobe? Tylko na jakiej zasadzie - IP, COOKIES - wszystko do obejścia. Dla loginu najlepiej. Poza tym wszystkie znaki. Toś to kody do naskrobania na 1-2h
Zapraszam na motoklimat.pl - Baza wiedzy o samochodach, modele, spalanie, specyfikacje.
|
|
|
Pieka |
Dodany dnia 27.08.2006 23:33:34
|
Postów: 19882 Pomógł: 767 v7.02.03 Data rejestracji: 23.02.2005 18:12 |
wlodekp napisał/a: .. Może blokada błędnych logowań do fusion sam nie wiem? Dokladnie. Wtyczke znajdziecie w Laboratorium pod nazwa: MOD-Bad Login Manager v1.0.2 - 28.11Kb Wyświetla wszystkie błędne logowania, czyli ewentualne próby włamania na konta Twojego portalu. Licencja: GNU/GPL | Autor: Ian Unruh | Wersja: v.1.0.2 Data dodania: 11.01.06 | Pobrano: 1127 Uzywam od dawna i mam jak na dloni wszystkie proby wlaman na konta. Dodatkowo po 10 probach delikwent zostaje zbanowany. Tych dziesiec nie jest na okreslony czas, tylko na calosc. Edytowane przez Pieka dnia 27.08.2006 23:36:54 Jestem jaki jestem
|
|
|
niebieski |
Dodany dnia 28.08.2006 08:54:57
|
Przedszkolak Postów: 21 Data rejestracji: 17.08.2005 15:18 Złamana licencja |
Ci z www.ausimods.com tez chyba zapomnieli zmienic hasla. Ausimods Is Hack3d www.choszczno.biz - Przerwa na kawę
|
|
Przejdź do forum: |