Starší komentáře ke článku: Neprůstřelné heslování v JavaScriptu
Zpět na článek | Úvodní stránka Interval.cz
Datum vložení: 5.2.2003 6:33:26
tenhle kod urcite neni na 5 minut . vzdyt se staci podivat do zdrojaku a hned jde videt, ze kod musi mit soucet 16 a 1. a 3. cislo musi mit soucet 11.
5 1 6 4 ( treba ...)
Datum vložení: 5.2.2003 9:27:51
Dalsia mozna kombinacia (z hladiska kontroly skriptom) je napr. 3,1,8,4. Ale ak som spravne pochopil, princip je trosku iny. Tych spravnych kombinacii, ktore vyhovuju skriptu je niekolko, ale len jedna vedie na tu spravnu stranku. Takze tym, ze odhalis algoritmus (sucet 16 a 1.+3. cislo = 11), dostanes mnozinu spravnych kodov a z nich len jeden je spravny. Najbezpecnejsie by bolo, keby v skripte nebola ziadna kontrola a z namackanych cislic by sa rovno poskladala adresa. No a 404 chyba by mohla byt osetrena napr. pomocou .htaccess a presmerovana na nejaku hlasku o nespravnom kode, alebo podobne. Akurat nevyhoda je, ze ta hlaska by sa zobrazovala aj napr. pri preklepe a pri pokuse o pristup na nezaheslovanu stranku...
Datum vložení: 5.2.2003 9:39:07
aha, to jsem si ani nevsimnul, ze se ta adresa takhle sklada (i kdyz je kombinaci vice ..) ...
ten napad s primym vytvorenim adresy se mi libi.
Datum vložení: 8.6.2005 7:55:18
Nejlepší by bylo vytvořit stránky pro všechny kombinace ňejakým skriptem (php, c, c++, ...)
Datum vložení: 5.2.2003 20:44:17
mel jsem to rozlustene za necelou minutku. ale co me prekvapilo, ze jsem si vygeneroval taky cisla 5 1 6 4 :)
Datum vložení: 6.2.2003 9:00:49
Taky bych rekl, ze podivat se na zdrojovy kod nezabere ani minutu ;-)))
Datum vložení: 8.2.2003 21:14:47
Jo, jenze ty ses tam nepodival a proto nevis ze nemas pravdu ;)
Datum vložení: 5.2.2003 6:34:42
ale jinak je to pekne :)) mozna by to chtelo schovat do nejakeho jineho includnuteho souboru, at to nejde hned videt ....
Datum vložení: 5.2.2003 9:15:03
Ježíšmarjá to je blbost, a já věnoval přečtení skoro deset minut. Lidi to mi nedělejte....
Datum vložení: 5.2.2003 11:06:54
No jeje, musel jsem si pustit dalsi jiny prohlizec, takze mi to mozna i 5 minut trvalo :-)
Kdyz uz nekdo musi delal zabezpeceni jen pomoci JS, nebylo by lepsi (pisi to z hlavy, takze mozna nebylo :-)) vyuziti MD5? Heslo by nebylo videt pri zobrazeni zdroje, byl by videt jen hash. A z nezakodovaneho hesla sestrojit odkaz na "skryty" soubor...
Cloveku by pak prolomeni trvalo dele nez:
Pustit MSIE
Kouknout do zdroje
napsat 5 1 6 a pak pocitat 4. cislo... :-)
Datum vložení: 5.2.2003 13:09:06
Když už bych měl používat js jako součást ověření hesla, tak přes md5 hash. I když je to opět zvýšení bezpečtnostního rizika. Proč se asi v unixu zapisují hashe hesel do souboru shadows, kam má přístup jen root?
Najdu na internetu free implementaci md5 hashe v js, spočítám md5 hash zadaného hesla a porovnám ji s referenční hodnotou, v případě úspěchu přesměruji na stránku md5('nejaky_pomocny_retezec'+password). Mnohem bezpečnější a jednodušší.
Datum vložení: 5.2.2003 13:57:28
Spíš takhle: server pošle náhodně vygenerovaný řetězec (pokaždé jiný). K tomu se přidá heslo od uživatele a spočítá se MD5. To se předá jako parametr následné stránce, která to překontroluje. Tj. klasický challenge-handshake. Nic neprůstřelného, ale aspoň neposílám po síti něco, co stačí okopírovat a útočník se může okamžitě přihlásit.
Datum vložení: 5.2.2003 14:09:24
Jasně. Ale tohle již vyžaduje skriptování na straně serveru, čemuž jsem se chtěl vyhnout. Pokud se nemýlím, tak takhle funguje ze známých protokolů třeba APOP.
Datum vložení: 9.2.2003 11:34:03
Zda se ze ve skole te naucili pocitat, ale ze bys zkusil tu svoji kombinaci... Tech kombinaci je nekolik desitek. Rozhodne nejde o to jen pustit MSIE.
Datum vložení: 5.2.2003 11:45:24
tak to muzu rovnou dat na web "tajnou" stranku s url ktery nikomu nereknu a je to zabezpeceny uplne stejne
Datum vložení: 5.2.2003 18:50:57
Jen by mne zajimalo, teda kdyz uz tady nekteri podali navrhy na delani md5 hashe v JS, kde je takova, teda obecne by mne zajimalo, jestli vubec existuje v JS nejaka hashovaci funkce ???
Datum vložení: 5.2.2003 19:28:35
Primo hotova funkce v JavaScriptu neni, ale pro md5 je mozne nadefinovat fuknci vlastni pred casem jsem to na webu nekde videl, zkuste google a javascript md5 nebo tak neco... Leo
Datum vložení: 5.2.2003 22:39:17
Mezi "link" a "rel" vám chybí mezera.
Datum vložení: 5.2.2003 22:41:39
Sorry, to patřilo vedle, spletl jsem si okna... :-(
Datum vložení: 5.2.2003 22:45:02
V RFC 2617 (<a href='http://www.ietf.org/rfc/rfc2617.txt)' target='_blank'>http://www.ietf.org/rfc/rfc2617.txt)</a> je algoritmus MD5 podrobně popsaný včetně referenční implementace v C. Neměl by být problém to přepsat do JavaScriptu. A určitě to někdo už udělal, takže by to mělo být možné najít hotové.
Datum vložení: 6.2.2003 12:38:03
Existují minimálně 2 nebo 3 opensource implementace MD5 v JS. Bohužel adresou neposloužím, mám to jen doma stažené.
Datum vložení: 6.2.2003 10:19:22
Jako ja normalne v js ani nepisu ( jenom obcas ale to uz musi bejt neco aby to k nemu dokopalo ...) a ten rozlustit me treval cca 3 minuty ( ostuda ja vim ale na to ze jsem pri tom jeste chatoval s par lidma na irc me snad omlouva ..) jinak btw me prosla kombinace 5 3 6 2 kterou to myslim jeste nikdo nepsal ale to je detail ......... Mohli byste zavest rubriku: Testiky a Vtipy pro nas ... me by se to treba libilo ....
Datum vložení: 6.2.2003 10:27:40
Pokud si pamatuji, tak MD5 v JS je soucasti PHPLib. Staci si stahnout tento balicek.
Datum vložení: 6.2.2003 10:42:00
Přímý link na free javascriptové implementace hashí md4 (nepoužívat!), md5 a sha-1 (nejlepší).
<a href='http://pajhome.org.uk/crypt/md5/index.html' target='_blank'>http://pajhome.org.uk/crypt/md5/index.html</a>
Datum vložení: 12.10.2006 11:57:41
no, md5 sa da rozlustit. trva to iba par horiniek: vygenerujes si tabulku pismen a ich md5 tvary a mas to. vecsinou postacujú znaky: a-z 0-9.,-_ a ich konbinacie do 8znakov. Co ty na to??
Datum vložení: 7.1.2007 16:34:33
Ty si silenec??? vis kolik by ti to zabralo casu? pochopitelne zo to pujde , ale za hodne penez malo muziky :)
Datum vložení: 6.2.2003 15:19:53
Touto cestou bych rad poprosil vsechny programatory JS s praxi, kterym nedelaji problemy programovani a ladeni podobnych skriptu, aby se v pripade zajmu o praci na velkem projektu ozvali na asperg@seznam.cz. Jednalo by se o spolupraci na reseni zabezpeceni pro jeden renomovany financni Ustav. Blizsi podminky muzu na pozadani dospecifikovat.
Datum vložení: 7.2.2003 14:56:33
Hrozne rad bych v tom financnim ustavu provedl bezpecnostni audit, to musi byt sila, jestli se k tomu pristupuje takhle ;->
Datum vložení: 8.2.2003 21:17:18
Jasne, zabezpecte si to javascriptem (ach boze)
Datum vložení: 6.2.2003 23:11:17
2095,2194,2293,2392,2491,2590,3085,3184,3283,3382,3481,3580,4075,4174,4273,4372,4471,4570,5065,5164,5263,5362,5461,5560,6055,6154,6253,6352,6451,6550,7045,7144,7243,7342,7441,7540,8035,8134,8233,8332,8431,8530,9025,9124,9223,9322,9421,9520
Datum vložení: 7.2.2003 16:37:13
;o)
ale vsetky na skrytu stranku nevedu...
Datum vložení: 13.6.2003 11:59:39
nie je to pravda, lebo len jeden ti v URL natiahne stranku. Ostatne ti nenatiahnu nic, lebo tam taky script nie je.
Datum vložení: 8.2.2003 13:32:39
Vetsina lidi se tu dostala jen za jednu podminku a domnivaji se, ze maji vyhrano, jenze nepocitali s dalsimi 20-ti kombinacemi na vytvoreni samotneho URL. Prvotni podminka byl jakysi filtr pro vytvoreni adresy okazu.
Jak jsem postupoval, je zrejme z prvni podminky, ze:
<B>a+b+c+d=16</B>
<B> a+c=11</B>
Nejdulezitejsi je si vse co nejvice zjednodusit, takze udelame inverzi druheho radku k prvnimu a mame <B>b+d=5</B>, to znamena jen kombince <B>{b,d}=(1,4);(2,3);(3,2);(4,1)</B> a vytvorime kombinace pro {a,c}:
1) 6 kombinaci: {b,d}=(1,4)_{a,c}=(2,9);(3,8);(5,6);(6,5);(8,3);(2,9)
2) 4 kombinace: {b,d}=(2,3)_{a,c}=(4,7);(5,6);(6,5);(7,4)
3) 6 kombinace: {b,d}=(3,2)_{a,c}=(4,7);(5,6);(6,5);(7,4)
4) 6 kombinaci: {b,d}=(4,1)_{a,c}=(2,9);(3,8);(5,6);(6,5);(8,3);(2,9)
1.kombinace z posledniho radku je ta spravna <B>{a,b,c,d}=(2,4,9,1)</B> a nami hledana.
<a href='http://www.pslib.cz/~novacek' target='_blank'>http://www.pslib.cz/~novacek</a>
Datum vložení: 13.2.2003 13:08:51
Vyu ale uvazujete ze se cisla v kodu neopakuji. V takovem pripade by jste na spravny kod vubec nemusel prijit. V druhem radku by klidne mohla byt kombinace 2,2,9,3
Datum vložení: 13.2.2003 13:09:40
Vyu ale uvazujete ze se cisla v kodu neopakuji. V takovem pripade by jste na spravny kod vubec nemusel prijit. V druhem radku by klidne mohla byt kombinace 2,2,9,3
Datum vložení: 13.2.2003 19:32:32
to samozrejme ze ano, jen jsem chtel ukazat smer.
VNov
Datum vložení: 20.5.2003 17:54:52
A co treba uvazovat i varianty s nulou? ;-)
Datum vložení: 14.1.2004 18:12:50
Sak nulu pouzit muzes, ale jen na 2. ci 4. pozici, jinak nedosahnes potrebneho souctu. Mozna varianty hesla s nulou napr: 9025, 6352, ...
Opravdu nejde o zabezpeceni, jen prekazku. Nejvice casu zabralo otestovani moznych kombinaci
Datum vložení: 6.8.2003 11:49:18
Půl minuty s tím že se člověk podívá do kódu a vidí součet prvího čísla a třetího se rovná 11 a celkový součet 16 což je jednoduchá rovnice :-)) 5,2,6,3 4us myslím si, že je to nepoužitelné ....
Datum vložení: 26.9.2003 14:22:20
ja len k tomu md5 je to na stranke pajhome.org.uk/crypt/md5/
(spolu s md4 a SHA-1)
Datum vložení: 2.3.2004 18:14:53
No, ja si tedy myslim, ze vytvaret heslo v JS je blbost. Je jedno, jestli heslo napiste do kodu, nebo jestli to udelate takhle. Poku totiz nekdo "vylusti" heslo ve zdrojaku (tudiz vi, jak ho zobrazit :-)), vylusti ho i tady. Pokud si nekdo neumi zobrazit zdrojak, "nevylusti" ani jedno.
Udelal jsem heslo v JS, ktere funguje na "kvantite" a myslim, ze by Vam to trvalo i vic nez pet minut.
Pro zajemce na muj mail .
Datum vložení: 2.3.2004 21:53:16
muj mail je<B> savaler@seznam.cz</B>
Datum vložení: 13.6.2005 12:34:45
V syntaxy je,že dohromady má mít heslo 16,první a třetí 11 a druhý se čtvrtým 5 ,takže zbejvá jen 32 možností a to není zastak moc...ne?
Datum vložení: 5.1.2007 22:49:41
Ale to je to ... vsech 32 moznosti je spravnych :-D to je ne za 2 minuty ale za 30 vterin i s prectenim kodu :-D (kazdy sikovnejsi clovek tohle zvladne bez delsiho zamysleni :) )
Datum vložení: 1.9.2007 15:55:37
ako mam zmenit ten kod ked chcem mat iny dakujem za skoru odpoved
Datum vložení: 21.12.2007 21:30:28
jak mam upravit ten kod a jmeno stranky ?