Объявление

Работа форума приостановлена, регистрация участников запрещена.
Ведутся работы над новой площадкой для общения. Форум переведён в режим архива.

#26 07.11.2010 03:05

anarchist IVANOV
Преподобный
Откуда Ярославль
Зарегистрирован: 30.04.2009
Сообщений: 2,141
Сайт

Re: Глюки, баги и другие некрасивые вещи.

Известный баг. Если кто-нибудь найдёт, как с ним бороться - буду благодарен.


d1884d4998f0.png
062d47943720.gif
aca6d123aee8.png

Не в сети

#27 07.01.2011 14:27

Кот Ученый
Пушистый модератор
Зарегистрирован: 03.05.2009
Сообщений: 456

Re: Глюки, баги и другие некрасивые вещи.

У Кота Ученого раздвоение личности. Вчера и сегодня, когда меня не было на форуме, Егор говорил, что какой-то Кот Ученый там отображался как присутствующий. Я зашла как гость и вот что увидела на главной странице:

Сейчас на форуме ( 9 гостей, 1 зарегистрированный пользователь ) Кот Ученый

Что это такое?


...движимые силою начальстволюбия, [глуповцы] немедленно впали в анархию.
(с) М.Е. Салтыков-Щедрин, "История одного города"

Не в сети

#28 07.01.2011 18:48

Demetrious
Серый кардинал
Откуда Ярославль
Зарегистрирован: 01.05.2009
Сообщений: 551
Сайт

Re: Глюки, баги и другие некрасивые вещи.

Это не глюк, это у вас браузер печеньки сохраняет по дефолту)))
Нажимайте "выход" вверху форума перед закрытием браузера или отключите куки для forum.anarhist.org в настройках wink


anarchy.jpg
sid2.jpg
fall1.png

Не в сети

#29 14.01.2011 23:54

anarchist IVANOV
Преподобный
Откуда Ярославль
Зарегистрирован: 30.04.2009
Сообщений: 2,141
Сайт

Re: Глюки, баги и другие некрасивые вещи.

Внезапно, стартовые посты и заголовки тем, где есть опросы, не редактируются.


d1884d4998f0.png
062d47943720.gif
aca6d123aee8.png

Не в сети

#30 20.01.2011 15:25

anarchist IVANOV
Преподобный
Откуда Ярославль
Зарегистрирован: 30.04.2009
Сообщений: 2,141
Сайт

Re: Глюки, баги и другие некрасивые вещи.

А ещё у нас, по-моему, какие-то непонятные проблемы с отправкой писем тем, кто подписался на темы. При оставлении комментария в таких темах движок ругается. По-моему, он внезапно ищет sendmail. У нас почтовик запущен ли?


d1884d4998f0.png
062d47943720.gif
aca6d123aee8.png

Не в сети

#31 07.02.2012 14:28

anarchist IVANOV
Преподобный
Откуда Ярославль
Зарегистрирован: 30.04.2009
Сообщений: 2,141
Сайт

Re: Глюки, баги и другие некрасивые вещи.

Судя по всему, имеется проблема с новой антибот-капчей:

Кот Ученый пишет:

Пытаюсь оставить ответ на форуме. Вылезает вот такая ерунда: 
bot_question.png
И все! Попытки что-то писать в графе "Your  answer" ни к какому результату не привели. Что это такое и откуда оно взялось?

Те, у кого похожая проблема — не расстраивайтесь, сообщайте о проблеме на DEFUNCT EMAIL ADDRESS, и я думаю, скоро всё будет в порядке.


d1884d4998f0.png
062d47943720.gif
aca6d123aee8.png

Не в сети

#32 08.02.2012 14:36

ghost4Eefol
Администратор
Зарегистрирован: 26.09.2010
Сообщений: 904

Re: Глюки, баги и другие некрасивые вещи.

На этот вопрос очевидно нужно отвечать "да", "да!" или "конечно" wink Когда я проверял, никаких проблем вроде не было.

В принципе, если ответ на такой вопрос кому-то кажется неочевидным, то можно и на более простой заменить (типа "вы – спамбот?")

Не в сети

#33 08.02.2012 20:17

Кот Ученый
Пушистый модератор
Зарегистрирован: 03.05.2009
Сообщений: 456

Re: Глюки, баги и другие некрасивые вещи.

ghost4Eefol пишет:

На этот вопрос очевидно нужно отвечать "да", "да!" или "конечно"

Все это было перепробовано, и даже по-английски (на тот случай, если антибот не знает русского). Интересно, отправится ли это сообщение.
P.S. Отправилось.

Изменено Кот Ученый (08.02.2012 20:17)


...движимые силою начальстволюбия, [глуповцы] немедленно впали в анархию.
(с) М.Е. Салтыков-Щедрин, "История одного города"

Не в сети

#34 09.02.2012 18:10

ghost4Eefol
Администратор
Зарегистрирован: 26.09.2010
Сообщений: 904

Re: Глюки, баги и другие некрасивые вещи.

Как я уже писал в рассылку, по всей видимости, глюк программный в чистом виде. Немного печально, но фиг с ним, переживём.

Не в сети

#35 09.02.2012 20:06

hil-hil
Гость
Зарегистрирован: 05.12.2011
Сообщений: 14

Re: Глюки, баги и другие некрасивые вещи.

сработало на "Да".

помниться была такая фигня с капчей.
решение вроде было в коддировке самого скрипта, см. в сторону UTF-8 без BOM.
[merge_posts_bbcode]Добавлено: 09.02.2012 21:06[/merge_posts_bbcode]

да, а что это за фавикон такой интересный нынче на форуме?

Не в сети

#36 10.02.2012 06:20

ghost4Eefol
Администратор
Зарегистрирован: 26.09.2010
Сообщений: 904

Re: Глюки, баги и другие некрасивые вещи.

hil-hil пишет:

сработало на "Да".

Сейчас модуль выключен же %)

помниться была такая фигня с капчей.
решение вроде было в коддировке самого скрипта, см. в сторону UTF-8 без BOM.

Маловероятно, что дело в чём-то таком. Если бы кто-то просунул в экстеншн кривой файл, то он бы или всегда работал, или всегда не работал. Но разбираться в любом случае нет ни сил, ни времени, ни особого смысла.

да, а что это за фавикон такой интересный нынче на форуме?

Какой? У меня всё как обычно 0_o

Не в сети

#37 10.02.2012 10:05

hil-hil
Гость
Зарегистрирован: 05.12.2011
Сообщений: 14

Re: Глюки, баги и другие некрасивые вещи.

27f70f96d0c4.png
был вроде другой

Не в сети

#38 10.02.2012 11:53

Кот Ученый
Пушистый модератор
Зарегистрирован: 03.05.2009
Сообщений: 456

Re: Глюки, баги и другие некрасивые вещи.

hil-hil, у меня то же самое, кстати.


...движимые силою начальстволюбия, [глуповцы] немедленно впали в анархию.
(с) М.Е. Салтыков-Щедрин, "История одного города"

Не в сети

#39 11.02.2012 09:37

ghost4Eefol
Администратор
Зарегистрирован: 26.09.2010
Сообщений: 904

Re: Глюки, баги и другие некрасивые вещи.

Это не страшно, это после неаккуратного обновления движка, видимо. Положил какую положено.

Не в сети

#40 19.03.2012 01:51

DeathOfPower
Гость
Зарегистрирован: 18.03.2012
Сообщений: 13

Re: Глюки, баги и другие некрасивые вещи.

Странно так печься о email при том что домен самого форума зарегистрирован в России доменным регистратором Regtime Ltd., он же http://www.webnames.ru

Если власти захотят они легко без суда и следствия отберут домен. И могут "взять за жопу" регистрировавшего - его имя, фамилия и домашний адрес доступен любому интересующемуся.
И то что домен припаркован в Сан Хосе США а сервер расположен в городе Scranton, штат Пенсильвания, США тут ничем помочь не смогут.

Далее движок форума не устанавливает флаги Secure и HTTPOnly. Это потенциальная возможность XSS атаки, если движок форума не фильтрует скрипты в сообщениях оставляемых пользователями. Внедрив JavaScript легко получить cookie сессии любого пользователя вплоть до администратора. Конечно нынче большинство движков форума для входа в панель администратора требуют ввод пароля. Но тем не менее злоумышленник может получить возможность оставлять сообщения от имени любого пользователя вплоть до администратора сайта.
Не запрещено и чтение файла .htaccess что служит дополнительным источником информации для атакующего.
Доступен для чтения и /admin/error_log содержащий лог ошибок, что также может послужить наводкой на возможные уязвимости.
Кроме того я бы убрал информацию об установленных официальных расширениях PunBB, лишний источник облегчающий сбор о конфигурации движка форума:
<p style="clear: both; ">Currently installed <span id="extensions-used" title="pun_admin_add_user, pun_antispam, last_topic_title_on_forum_index, fancy_merge_posts, pun_posts_feed, pun_invitation_only, pun_poll, pun_quote, pun_bbcode, pun_repository, pun_admin_manage_extensions_improved, pun_pm.">12 official extensions</span>. Copyright &copy; 2003&ndash;2009 <a href="http://punbb.informer.com/">PunBB</a>.</p>

В ответах сервера хорошо бы убрать информацию о версии веб-сервера (nginx/1.0.10) и версии PHP и ОС (X-Powered-By: PHP/5.3.10-pl0-gentoo).

Любая атака начинается со сбора информации и его нужно максимально затруднить.

Не в сети

#41 19.03.2012 01:51

ghost4Eefol
Администратор
Зарегистрирован: 26.09.2010
Сообщений: 904

Re: Глюки, баги и другие некрасивые вещи.

Хотел написать подробный ответ почему то или иное работает именно так, как оно работает, но решил, что это будет излишним. Спасибо за проявленную паранойю, но ничего кроме парочки мелочей (спасибо за них) изменено не будет. По разным причинам: от «так исторически сложилось» до «здесь нет повода для паранойи» и «это бесполезно при любом раскладе».

С почтой же разговор совершенно особый. Безопасность частной переписки, вернее сама возможность об этой безопасности не беспокоиться хотя бы вплоть до MTA со своей стороны (а иногда хорошо бы вплоть до глаз получателя), куда важнее, чем мифические возможности взломов через кривой скрипт (даже в случае успеха которых последствия в любом случае будут локализованы совсем небольшой песочницей). Почта принципиально важнее и в этом нет совсем ничего странного.

Не в сети

#42 19.03.2012 20:18

DeathOfPower
Гость
Зарегистрирован: 18.03.2012
Сообщений: 13

Re: Глюки, баги и другие некрасивые вещи.

ghost4Eefol пишет:

С почтой же разговор совершенно особый. Безопасность частной переписки, вернее сама возможность об этой безопасности не беспокоиться хотя бы вплоть до MTA со своей стороны (а иногда хорошо бы вплоть до глаз получателя), куда важнее, чем мифические возможности взломов через кривой скрипт (даже в случае успеха которых последствия в любом случае будут локализованы совсем небольшой песочницей). Почта принципиально важнее и в этом нет совсем ничего странного.

ну если спецслужбам понадобишься они через СОРМ-2 почту твою почитают. тут выход только шифровать сами сообщения 3DES или AES не надеясь на SSL который вполне себе уязвим. но тогда почту можно хранить где угодно - сообщения то всё равно шифрованные будут.

Не в сети

#43 20.03.2012 08:04

ghost4Eefol
Администратор
Зарегистрирован: 26.09.2010
Сообщений: 904

Re: Глюки, баги и другие некрасивые вещи.

Паранойя крепчала, я посмотрю... Мне интересно любое мнение, даже когда оно основано на слухах, домыслах и непонимании фундаментальных принципов. Спасибо, что высказались.

Вопрос на засыпку: SSL (и TLS) – это протокол транспортного уровня. Как Вы думаете, какие алгоритмы симметричного шифрования он использует?

Не в сети

#44 20.03.2012 11:24

DeathOfPower
Гость
Зарегистрирован: 18.03.2012
Сообщений: 13

Re: Глюки, баги и другие некрасивые вещи.

ghost4Eefol пишет:

Вопрос на засыпку: SSL (и TLS) – это протокол транспортного уровня. Как Вы думаете, какие алгоритмы симметричного шифрования он использует?

Дело не только в самом протоколе но и в реализации. При пересылке ключей и аутентификации сервера/клиента используется RSA. А шифрование сессии может быть выполнено разными алгоритмами. В том то и дело что без сниффера ты не узнаешь какой шифрование используется с каждым конкретным сервером. Это раз. Потом есть ещё такая атака как "злоумышленник посередине" - её как раз при помощи СОРМ-2 легко реализовать. Третий момент разные ключи имеют разную криптографическую стойкость. Если софт которым ты пользуешься не отсеивает "плохие" ключи то это упрощает задачу взлома. Плюс к тому в распоряжении спецслужб могут быть и суперкомпьютеры и кластеры компов с мощными видеокартами - в инете есть софт взлома ключей использующих GPU видеокарты. Плюс есть различные табличные методы - заранее составляются специальные таблицы на 10-ки гигабайт размером, которые во много раз ускоряют взлом.
К тому же ОС типа Windows и всяком софте крупных производителей специально по требованию спецслужб сделаны послабления и дыры в шифровании позволяющие знающим их довольно быстро взломать шифр.

Возьми тот же GSM/GPRS - там есть все возможности чтобы очень хорошо шифровать пакеты. Но, сотовые операторы толи по требованию спецслужб, толи из соображений экономии используют наименее стойкие алгоритмы шифрования а то и вовсе не шифруют траффик, как например в Италии.

Чтобы перехватить разговор или сообщение, достаточно ноутбука, дешевого телефона и немного свободного времени, утверждают хакеры. Специалисты по безопасности продемонстрировали на конгрессе в Берлине, организованном немецким хакерским сообществом Chaos Computer Club, новый способ перехвата и расшифровки сигнала GSM, на который потребуется совсем мало времени и средств.

По словам Сильвена Муно и Карстена Нола, данные, "пойманные" при помощи четырех наидешевейших мобильников Motorola стоимостью 15 долларов с измененной прошивкой, нужно ввести в специальную программу, которая распространяется бесплатно. Софту потребуется 2-ух терабайтная "радужная" таблица и чуть более 20 секунд для того, чтобы распознать код шифрования, после чего взломщик может смело прослушивать разговоры и читать чужие SMS-сообщения.

"Протокол GSM небезопасен. И чем больше узнаешь о нем, тем более небезопасным он выглядит", - говорит Нол. "Это почти как компьютеры в Сети в 90-ых, когда люди ничего не понимали в компьютерной безопасности. GSM это 20-летняя инфраструктура с массой приватных данных и отнюдь не массой безопасности".

а вот подробности (перевод статьи правда хромает big_smile но смысл понятен):

Голосовые и текстовые сообщения обычно кодируются, однако шифр упрощается системами, автоматически придающими последним 10 битам из 64-битного ключа нулевые значения. К тому же сеансовые ключи можно использовать вплоть до 16 вызовов, что еще больше упрощает схему. Новая система использует этот недостаток для взлома шифра.
«Мы постарались сделать систему максимально доступной для любого пользователя»,- рассказывает Халтон.

Системе необходимо услышать лишь 3 или 4 блока открытого текста, который передается от мобильного телефона на базовую станцию, чтобы установить звонок.

«Если мы знаем открытый текст, то можем извлечь принцип шифра А5»- говорит Халтон. С помощью этого мы можем «избежать» кодирования и раскрыть нешифрованный текст.

Система, которую разрабатывают ученые, для просмотра значений 64-битных ключей использует радужные таблицы, основанные на раскрытых кодовых рядах. Радужная таблица для 64-битного ключа была бы непомерно огромной, если бы Стив и Халтон не сумели снизить количество необходимых информационных значений. Но даже сокращенная таблица по размеру в 120 000 раз превышает самые крупные таблицы, использующиеся для подбора значений хэш-фукций. На генерацию таблиц ушло бы 33 000 лет, а одна таблица заняла бы 2 терабайта. Однако благодаря высокоскоростным компьютерам эта работа занимает примерно 3 месяца. Разработчики собираются завершить таблицы к марту. Они надеются выпустить систему во втором квартале этого года.

Скорость работы системы будет зависеть от скорости используемого оборудования.

«Если у вас есть деньги, то вы можете совершить взлом очень быстро», говорит Стив. За $1 000 вы можете взломать ключ и расшифровать звонок примерно за 30 минут. За значительно большую сумму, вы можете сократить время до 30 секунд.

Так что если параноишь, то надо использовать не GSM/GPRS а как минимум 3G связь. Там используется алгоритм A5/3 вместо устаревшего A5/1. Но думаю и там операторы связи преднамеренно снижают стойкость шифрования по указке спецслужб.
[merge_posts_bbcode]Добавлено: 20.03.2012 12:24[/merge_posts_bbcode]

а вот тебе на засыпку взлом TLS 1.0 (а 1.1 и 1.2 практически нигде не используются - даже последние версии браузеров и библиотеки OpenSSL используют версию 1.0)

В настоящий момент BEAST-у требуется около двух секунд для декодирования каждого байта зашифрованного cookie. Это значит, что для декодирования аутентификационных cookie длиной от 1000 до 2000 символов понадобится как минимум полчаса, таким образом это будет время, необходимое для осуществления атаки на PayPal. Несмотря ни на что, данная техника представляет огромную угрозу для миллионов веб-сайтов, которые пользуются более ранними версиями TLS, особенно в свете того, что Дуонг и Риццо заявляют, что время, необходимое для осуществления атаки, может быть существенно сокращено.

В электронном письме, которое Риццо отправил вскоре после того, как была опубликована эта информация, говорилось о том, что за последние несколько дней им удалось сократить время атаки до 10 минут.

"BEAST похож на криптографический троян, хакер внедряет часть JavaScript-a в твой браузер, а JavaScript взаимодействует со сниффером с целью подрыва твоего HTTPS соединения"

http://www.xakep.ru/post/56880/default.asp

спасти может только отключение JavaScript

Изменено DeathOfPower (20.03.2012 11:07)

Не в сети

#45 13.03.2013 14:24

ghost4Eefol
Администратор
Зарегистрирован: 26.09.2010
Сообщений: 904

Re: Глюки, баги и другие некрасивые вещи.

Как только я раньше внимания на этот фееричный в своей параноидальности пост не обратил. Столько смешных вещей в одном месте.

Дело не только в самом протоколе но и в реализации. При пересылке ключей и аутентификации сервера/клиента используется RSA

Разумеется дело и в реализации, но это -- лишённая смысла фраза. И не только RSA, в openssl, например, если четыре асиметричных варианта обмена ключами.

А шифрование сессии может быть выполнено разными алгоритмами.

Именно. Но вопрос был риторическим. Просто хотел обратить внимание на то, что AES присутствует в этом списке.

В том то и дело что без сниффера ты не узнаешь какой шифрование используется с каждым конкретным сервером.

Не только узнаю, но и могу глобально настроить какие алгоритмы я предпочитаю использовать. man openssl.cnf (или man 5 config, скорее).

Потом есть ещё такая атака как "злоумышленник посередине" - её как раз при помощи СОРМ-2 легко реализовать.

Да, MITM регко реализовать, если обмениваться сессионными ключами открытым текстом, не использовать X.509 (или не применять другие методы авторизации/аутентификации в зависимости от контекста). Именно поэтому весьма разумно использовать продуманные комплексные системы защиты передаваеммых данных, а не "шифровать всё AES" (бумажной почтой будете ключами обмениваться или использовать для всех писем один ключ?).

Если софт которым ты пользуешься не отсеивает "плохие" ключи то это упрощает задачу взлома.

Разговор про плохие ключи алгоритмо-зависим. Про какой вообще алгоритм сейчас идёт речь? Ну и это таки ещё одно преимущество комплексных систем.

Плюс к тому в распоряжении спецслужб могут быть и суперкомпьютеры и кластеры компов с мощными видеокартами - в инете есть софт взлома ключей использующих GPU видеокарты.

Вообще всегда нужно полагать, что у злоумышленника может быть какое-нибудь оборудование. Но то, что злоумышленник может сократить миллиард лет до всего лишь миллиона не делает его богом, я гарантирую это.

Плюс есть различные табличные методы - заранее составляются специальные таблицы на 10-ки гигабайт размером, которые во много раз ускоряют взлом.

Нету, вообще говоря. Для подбора данных к хэшу могут использоваться радужные таблицы (и этот метод эффективен в некоторых случаях при подборе паролей, хэшированных без соли). Для подбора шифрованных данных (даже если если ECB с большим пространством, в общем-то, не говоря уже про CBC) нужно иметь таблицы гораздо больше чем на десятки гигабайт. Хотя если приведёте конкретные примеры, то можно будет обсудить особенности конкретных алгоритмов в этом плане.

ОС типа Windows

There ain't such thing. Вантуз -- не ОС.

Возьми тот же GSM/GPRS - там есть все возможности чтобы очень хорошо шифровать пакетых.

Нету, на самом деле. Набор алгоритмов прибит к стандарту гвоздями. И, кстати, нет на данный AFAIK момент простых, дешёвых, быстрых и полностью пассивных методов атак на ГСМ. Приведённый случай -- полупассивная атака, там нужно отправить несколько смс-ок на телефон жертвы и при этом находится с ним физически рядом.

Так что если параноишь

Я? 0_o

то надо использовать не GSM/GPRS а как минимум 3G связь

Как будто угрозы исходят от кулхацкеров с четырьмя мобильниками, ага. Какие бы алгоритмы не применялись по пути, государство контролирует базовые станции. Так что ничего не поможет. Алсо, 3G -- это условное обозначение. В него попадают несколько совершенно различных технологий. Если имеете ввиду HDSPA, то так и говорите (CDMA EV-DO, тоже, сторого говоря, технология "третьего поколения", но в EV-DO AKAIK нет никаких новых по отношению к 1x механизмов).

а вот тебе на засыпку взлом TLS 1.0

Даже не смешно. Работавший только в некоторых версиях библиотек эксплоит, требовавший 1) доступа в локалку 2) доступа в броузер 3) времени. То есть нужно зазвать жертву в wi-fi кафе, заставить его открыть нужную страницу и ждать полчаса.

а 1.1 и 1.2 практически нигде не используются

Кажется, у кого-то разрыв связи с реальностью. Как раз TLS 1.0 не использовался практически нигде даже в момент написания поста. И уже сто лет как в любом приличном месте его запретили или поставили ему низкий приоритет. Да-да, забудьте про свой вантуз, хотя даже в нём с последними обновлениями...

спасти может только отключение JavaScript

Учитывая, сколько условий нужно было выполнить, спасти может почти что угодно (обновление раз в полгода, не сидение в сомнительных локалках, не хождение по сомнительным сайтам, ну и таки ограничение жабоскриптов на сомнительных сайтах, да, не деланье этого часами). Успешная атака таким методом в реальном мире -- чудо.

Читайте меньше "ксакепа" и больше книжек, вот мой совет. Начать можно с какой-нибудь классики вроде Шнайера.

Не в сети

Подвал раздела

Работает на FluxBB 1.5.11 (перевод Laravel.ru)