-
1. Data: 2014-11-09 15:51:09
Temat: Kryptografia w całej okazałości.
Od: bartekltg <b...@g...com>
Ciekawy kwiatek
https://github.com/haiwen/ccnet/issues/35
https://github.com/haiwen/ccnet/blob/master/net/serv
er/user-mgr.c#L612
/* -------- EmailUser Management -------- */
/* truly random sequece read from /dev/urandom. */
static unsigned char salt[8] = { 0xdb, 0x91, 0x45, 0xc3, 0x06, 0xc7,
0xcc, 0x26 };
I ta tabelka użyta jest przynajmniej w funkcji hash_password_salted.
pzdr
bartekltg
-
2. Data: 2014-11-09 16:07:20
Temat: Re: Kryptografia w całej okazałości.
Od: "R.e.m.e.K" <p...@w...pl>
Dnia Sun, 09 Nov 2014 15:51:09 +0100, bartekltg napisał(a):
> Ciekawy kwiatek
To nie jest kryptografia. To sie nazywa backdoor i jest potrzebne odpowiednim sluzbom
;-)
--
pozdro
R.e.m.e.K
-
3. Data: 2014-11-09 19:36:50
Temat: Re: Kryptografia w całej okazałości.
Od: Wojciech Muła <w...@g...com>
On Sunday, November 9, 2014 3:51:10 PM UTC+1, bartekltg wrote:
> Ciekawy kwiatek
>
> https://github.com/haiwen/ccnet/issues/35
> https://github.com/haiwen/ccnet/blob/master/net/serv
er/user-mgr.c#L612
>
> /* -------- EmailUser Management -------- */
> /* truly random sequece read from /dev/urandom. */
> static unsigned char salt[8] = { 0xdb, 0x91, 0x45, 0xc3, 0x06, 0xc7,
> 0xcc, 0x26 };
>
> I ta tabelka użyta jest przynajmniej w funkcji hash_password_salted.
Strzelam, że to wynikło z nieświadomości programisty.
Swoją drogą dobrze, że nie widziałeś sposobu "zakodowania" domyślnego
hasła w oprogramowaniu bankowym pewnej znanej firmy. :)
w.
-
4. Data: 2014-11-09 21:24:30
Temat: Re: Kryptografia w całej okazałości.
Od: "R.e.m.e.K" <p...@w...pl>
Dnia Sun, 9 Nov 2014 10:36:50 -0800 (PST), Wojciech Muła napisał(a):
> Swoją drogą dobrze, że nie widziałeś sposobu "zakodowania" domyślnego
> hasła w oprogramowaniu bankowym pewnej znanej firmy. :)
W okolicach konca lat '90 odkrylem zabezpieczenia baz MS Accessa. Byl to prostacki
XOR na
bajtach hasla. Zlamanie tego "zabezpieczenia" wraz z napisaniem programu
odblokowujacego
zajelo moze z 30 minut. Ciekawe jak jest dzisiaj.
--
pozdro
R.e.m.e.K
-
5. Data: 2014-11-10 01:14:08
Temat: Re: Kryptografia w całej okazałości.
Od: bartekltg <b...@g...com>
On 09.11.2014 19:36, Wojciech Muła wrote:
> On Sunday, November 9, 2014 3:51:10 PM UTC+1, bartekltg wrote:
>> Ciekawy kwiatek
>>
>> https://github.com/haiwen/ccnet/issues/35
>> https://github.com/haiwen/ccnet/blob/master/net/serv
er/user-mgr.c#L612
>>
>> /* -------- EmailUser Management -------- */
>> /* truly random sequece read from /dev/urandom. */
>> static unsigned char salt[8] = { 0xdb, 0x91, 0x45, 0xc3, 0x06, 0xc7,
>> 0xcc, 0x26 };
>>
>> I ta tabelka użyta jest przynajmniej w funkcji hash_password_salted.
>
> Strzelam, że to wynikło z nieświadomości programisty.
Też obstawiam niezrozumienie, nie dywersję.
Nie jest to jednak pewna podstawa? Usłyszał o 'soleniu'
od kolegi, ale nieuważnie przeczytał artykuł w wiki? ;-)
Tylko jak się przed takim czymś zabezpieczyć, aby
ktoś nie do końca kompetentny w danej dziedzinie
nie napisał kawałka kodu z nią związanego.
Myślę o dużych projektach, gdzie siłą rzecxzy nie każdy
będzie specem od wszystkiego (znajdą się subtelniejsze błędy
niż linkowany).
> Swoją drogą dobrze, że nie widziałeś sposobu "zakodowania" domyślnego
> hasła w oprogramowaniu bankowym pewnej znanej firmy. :)
Ale z chęcią zobaczę ;-)
pzdr
bartekltg
-
6. Data: 2014-11-10 01:15:41
Temat: Re: Kryptografia w całej okazałości.
Od: bartekltg <b...@g...com>
On 09.11.2014 16:07, R.e.m.e.K wrote:
> Dnia Sun, 09 Nov 2014 15:51:09 +0100, bartekltg napisał(a):
>
>> Ciekawy kwiatek
>
> To nie jest kryptografia. To sie nazywa backdoor i jest potrzebne odpowiednim
sluzbom ;-)
Backdoory smutnych panów w opensource? Drewno do lasu ;-)
pzdr
bartekltg
-
7. Data: 2014-11-10 09:14:35
Temat: Re: Kryptografia w całej okazałości.
Od: Wojciech Muła <w...@g...com>
On Monday, November 10, 2014 1:14:09 AM UTC+1, bartekltg wrote:
> Tylko jak się przed takim czymś zabezpieczyć, aby
> ktoś nie do końca kompetentny w danej dziedzinie
> nie napisał kawałka kodu z nią związanego.
> Myślę o dużych projektach, gdzie siłą rzecxzy nie każdy
> będzie specem od wszystkiego (znajdą się subtelniejsze błędy
> niż linkowany).
Code review to podstawa, i to przez co najmniej 2 osoby.
Albo zamawianie audytów.
> > Swoją drogą dobrze, że nie widziałeś sposobu "zakodowania" domyślnego
> > hasła w oprogramowaniu bankowym pewnej znanej firmy. :)
>
> Ale z chęcią zobaczę ;-)
To było coś takiego:
password[0] = 'd';
password[1] = 'e';
password[2] = 'f';
password[3] = 'a';
password[4] = 'u';
password[5] = 'l';
password[6] = 't';
password[7] = 0;
:-)
w.
-
8. Data: 2014-11-10 10:19:25
Temat: Re: Kryptografia w całej okazałości.
Od: firr <p...@g...com>
W dniu poniedziałek, 10 listopada 2014 01:14:09 UTC+1 użytkownik bartekltg napisał:
> On 09.11.2014 19:36, Wojciech Muła wrote:
> > On Sunday, November 9, 2014 3:51:10 PM UTC+1, bartekltg wrote:
> >> Ciekawy kwiatek
> >>
> >> https://github.com/haiwen/ccnet/issues/35
> >> https://github.com/haiwen/ccnet/blob/master/net/serv
er/user-mgr.c#L612
> >>
> >> /* -------- EmailUser Management -------- */
> >> /* truly random sequece read from /dev/urandom. */
> >> static unsigned char salt[8] = { 0xdb, 0x91, 0x45, 0xc3, 0x06, 0xc7,
> >> 0xcc, 0x26 };
> >>
> >> I ta tabelka użyta jest przynajmniej w funkcji hash_password_salted.
> >
> > Strzelam, że to wynikło z nieświadomości programisty.
>
> Też obstawiam niezrozumienie, nie dywersję.
> Nie jest to jednak pewna podstawa? Usłyszał o 'soleniu'
> od kolegi, ale nieuważnie przeczytał artykuł w wiki? ;-)
>
> Tylko jak się przed takim czymś zabezpieczyć, aby
> ktoś nie do końca kompetentny w danej dziedzinie
> nie napisał kawałka kodu z nią związanego.
> Myślę o dużych projektach, gdzie siłą rzecxzy nie każdy
> będzie specem od wszystkiego (znajdą się subtelniejsze błędy
> niż linkowany).
>
> > Swoją drogą dobrze, że nie widziałeś sposobu "zakodowania" domyślnego
> > hasła w oprogramowaniu bankowym pewnej znanej firmy. :)
>
> Ale z chęcią zobaczę ;-)
>
>
w takich wypadkach czesto sie jedzie po programistach a prawda jest taka ze i
programista byl tu kiepski i jego szef też tu był kiepski (norma i w programowaniu i
w zyciu, np w medycynie gdzie tluki obcinaja ludziom
nogi po czym sie okazuje ze to nie bylo wcale potrzebne itd (mi ostatnio dentystyczny
glut
praktycznie zniszczyl dwa praktycznie zdrowe zęby (w sumie juz od podstawowki
pseudo-dentysci byli swietni w rozpieprzaniu mi zębów;o))
-
9. Data: 2014-11-10 10:37:00
Temat: Re: Kryptografia w całej okazałości.
Od: g...@g...com
W dniu poniedziałek, 10 listopada 2014 09:14:36 UTC+1 użytkownik Wojciech Muła
napisał:
> > Ale z chęcią zobaczę ;-)
>
> To było coś takiego:
>
> password[0] = 'd';
> password[1] = 'e';
> password[2] = 'f';
> password[3] = 'a';
> password[4] = 'u';
> password[5] = 'l';
> password[6] = 't';
> password[7] = 0;
>
> :-)
Hmm. Przywodzi na mysl kod zrodlowy popularnego ostatnio serwera NGINX.
Mozna znalezc tam takie kwiatki, jak
if ((c[0] == 'S'|| c[0] == 's')
&& (c[1] == 'T'|| c[1] == 't')
&& (c[2] == 'A'|| c[2] == 'a')
&& (c[3] == 'R'|| c[3] == 'r')
&& (c[4] == 'T'|| c[4] == 't')
&& (c[5] == 'T'|| c[5] == 't')
&& (c[6] == 'L'|| c[6] == 'l')
&& (c[7] == 'S'|| c[7] == 's'))
autentyk.
https://github.com/nginx/nginx/blob/master/src/mail/
ngx_mail_parse.c
-
10. Data: 2014-11-10 10:39:29
Temat: Re: Kryptografia w całej okazałości.
Od: firr <p...@g...com>
(o ile to byl blad itp bo sam takimi tematami sie nie interesuje (tylko grafika 2d/3d
i prototypy itp)
do góry
Lofty Nowa Stawowa we Wrocławiu już w sprzedaży
