Вы не вошли.
Известный баг. Если кто-нибудь найдёт, как с ним бороться - буду благодарен.
Не в сети
У Кота Ученого раздвоение личности. Вчера и сегодня, когда меня не было на форуме, Егор говорил, что какой-то Кот Ученый там отображался как присутствующий. Я зашла как гость и вот что увидела на главной странице:
Сейчас на форуме ( 9 гостей, 1 зарегистрированный пользователь ) Кот Ученый
Что это такое?
...движимые силою начальстволюбия, [глуповцы] немедленно впали в анархию.
(с) М.Е. Салтыков-Щедрин, "История одного города"
Не в сети
Не в сети
Внезапно, стартовые посты и заголовки тем, где есть опросы, не редактируются.
Не в сети
А ещё у нас, по-моему, какие-то непонятные проблемы с отправкой писем тем, кто подписался на темы. При оставлении комментария в таких темах движок ругается. По-моему, он внезапно ищет sendmail. У нас почтовик запущен ли?
Не в сети
Судя по всему, имеется проблема с новой антибот-капчей:
Пытаюсь оставить ответ на форуме. Вылезает вот такая ерунда:
И все! Попытки что-то писать в графе "Your answer" ни к какому результату не привели. Что это такое и откуда оно взялось?
Те, у кого похожая проблема — не расстраивайтесь, сообщайте о проблеме на DEFUNCT EMAIL ADDRESS, и я думаю, скоро всё будет в порядке.
Не в сети
На этот вопрос очевидно нужно отвечать "да", "да!" или "конечно" Когда я проверял, никаких проблем вроде не было.
В принципе, если ответ на такой вопрос кому-то кажется неочевидным, то можно и на более простой заменить (типа "вы – спамбот?")
Не в сети
На этот вопрос очевидно нужно отвечать "да", "да!" или "конечно"
Все это было перепробовано, и даже по-английски (на тот случай, если антибот не знает русского). Интересно, отправится ли это сообщение.
P.S. Отправилось.
Изменено Кот Ученый (08.02.2012 20:17)
...движимые силою начальстволюбия, [глуповцы] немедленно впали в анархию.
(с) М.Е. Салтыков-Щедрин, "История одного города"
Не в сети
Как я уже писал в рассылку, по всей видимости, глюк программный в чистом виде. Немного печально, но фиг с ним, переживём.
Не в сети
сработало на "Да".
помниться была такая фигня с капчей.
решение вроде было в коддировке самого скрипта, см. в сторону UTF-8 без BOM.
[merge_posts_bbcode]Добавлено: 09.02.2012 21:06[/merge_posts_bbcode]
да, а что это за фавикон такой интересный нынче на форуме?
Не в сети
сработало на "Да".
Сейчас модуль выключен же %)
помниться была такая фигня с капчей.
решение вроде было в коддировке самого скрипта, см. в сторону UTF-8 без BOM.
Маловероятно, что дело в чём-то таком. Если бы кто-то просунул в экстеншн кривой файл, то он бы или всегда работал, или всегда не работал. Но разбираться в любом случае нет ни сил, ни времени, ни особого смысла.
да, а что это за фавикон такой интересный нынче на форуме?
Какой? У меня всё как обычно 0_o
Не в сети
был вроде другой
Не в сети
hil-hil, у меня то же самое, кстати.
...движимые силою начальстволюбия, [глуповцы] немедленно впали в анархию.
(с) М.Е. Салтыков-Щедрин, "История одного города"
Не в сети
Это не страшно, это после неаккуратного обновления движка, видимо. Положил какую положено.
Не в сети
Странно так печься о email при том что домен самого форума зарегистрирован в России доменным регистратором Regtime Ltd., он же http://www.webnames.ru
Если власти захотят они легко без суда и следствия отберут домен. И могут "взять за жопу" регистрировавшего - его имя, фамилия и домашний адрес доступен любому интересующемуся.
И то что домен припаркован в Сан Хосе США а сервер расположен в городе Scranton, штат Пенсильвания, США тут ничем помочь не смогут.
Далее движок форума не устанавливает флаги Secure и HTTPOnly. Это потенциальная возможность XSS атаки, если движок форума не фильтрует скрипты в сообщениях оставляемых пользователями. Внедрив JavaScript легко получить cookie сессии любого пользователя вплоть до администратора. Конечно нынче большинство движков форума для входа в панель администратора требуют ввод пароля. Но тем не менее злоумышленник может получить возможность оставлять сообщения от имени любого пользователя вплоть до администратора сайта.
Не запрещено и чтение файла .htaccess что служит дополнительным источником информации для атакующего.
Доступен для чтения и /admin/error_log содержащий лог ошибок, что также может послужить наводкой на возможные уязвимости.
Кроме того я бы убрал информацию об установленных официальных расширениях PunBB, лишний источник облегчающий сбор о конфигурации движка форума:
<p style="clear: both; ">Currently installed <span id="extensions-used" title="pun_admin_add_user, pun_antispam, last_topic_title_on_forum_index, fancy_merge_posts, pun_posts_feed, pun_invitation_only, pun_poll, pun_quote, pun_bbcode, pun_repository, pun_admin_manage_extensions_improved, pun_pm.">12 official extensions</span>. Copyright © 2003–2009 <a href="http://punbb.informer.com/">PunBB</a>.</p>
В ответах сервера хорошо бы убрать информацию о версии веб-сервера (nginx/1.0.10) и версии PHP и ОС (X-Powered-By: PHP/5.3.10-pl0-gentoo).
Любая атака начинается со сбора информации и его нужно максимально затруднить.
Не в сети
Хотел написать подробный ответ почему то или иное работает именно так, как оно работает, но решил, что это будет излишним. Спасибо за проявленную паранойю, но ничего кроме парочки мелочей (спасибо за них) изменено не будет. По разным причинам: от «так исторически сложилось» до «здесь нет повода для паранойи» и «это бесполезно при любом раскладе».
С почтой же разговор совершенно особый. Безопасность частной переписки, вернее сама возможность об этой безопасности не беспокоиться хотя бы вплоть до MTA со своей стороны (а иногда хорошо бы вплоть до глаз получателя), куда важнее, чем мифические возможности взломов через кривой скрипт (даже в случае успеха которых последствия в любом случае будут локализованы совсем небольшой песочницей). Почта принципиально важнее и в этом нет совсем ничего странного.
Не в сети
С почтой же разговор совершенно особый. Безопасность частной переписки, вернее сама возможность об этой безопасности не беспокоиться хотя бы вплоть до MTA со своей стороны (а иногда хорошо бы вплоть до глаз получателя), куда важнее, чем мифические возможности взломов через кривой скрипт (даже в случае успеха которых последствия в любом случае будут локализованы совсем небольшой песочницей). Почта принципиально важнее и в этом нет совсем ничего странного.
ну если спецслужбам понадобишься они через СОРМ-2 почту твою почитают. тут выход только шифровать сами сообщения 3DES или AES не надеясь на SSL который вполне себе уязвим. но тогда почту можно хранить где угодно - сообщения то всё равно шифрованные будут.
Не в сети
Паранойя крепчала, я посмотрю... Мне интересно любое мнение, даже когда оно основано на слухах, домыслах и непонимании фундаментальных принципов. Спасибо, что высказались.
Вопрос на засыпку: SSL (и TLS) – это протокол транспортного уровня. Как Вы думаете, какие алгоритмы симметричного шифрования он использует?
Не в сети
Вопрос на засыпку: SSL (и TLS) – это протокол транспортного уровня. Как Вы думаете, какие алгоритмы симметричного шифрования он использует?
Дело не только в самом протоколе но и в реализации. При пересылке ключей и аутентификации сервера/клиента используется RSA. А шифрование сессии может быть выполнено разными алгоритмами. В том то и дело что без сниффера ты не узнаешь какой шифрование используется с каждым конкретным сервером. Это раз. Потом есть ещё такая атака как "злоумышленник посередине" - её как раз при помощи СОРМ-2 легко реализовать. Третий момент разные ключи имеют разную криптографическую стойкость. Если софт которым ты пользуешься не отсеивает "плохие" ключи то это упрощает задачу взлома. Плюс к тому в распоряжении спецслужб могут быть и суперкомпьютеры и кластеры компов с мощными видеокартами - в инете есть софт взлома ключей использующих GPU видеокарты. Плюс есть различные табличные методы - заранее составляются специальные таблицы на 10-ки гигабайт размером, которые во много раз ускоряют взлом.
К тому же ОС типа Windows и всяком софте крупных производителей специально по требованию спецслужб сделаны послабления и дыры в шифровании позволяющие знающим их довольно быстро взломать шифр.
Возьми тот же GSM/GPRS - там есть все возможности чтобы очень хорошо шифровать пакеты. Но, сотовые операторы толи по требованию спецслужб, толи из соображений экономии используют наименее стойкие алгоритмы шифрования а то и вовсе не шифруют траффик, как например в Италии.
Чтобы перехватить разговор или сообщение, достаточно ноутбука, дешевого телефона и немного свободного времени, утверждают хакеры. Специалисты по безопасности продемонстрировали на конгрессе в Берлине, организованном немецким хакерским сообществом Chaos Computer Club, новый способ перехвата и расшифровки сигнала GSM, на который потребуется совсем мало времени и средств.
По словам Сильвена Муно и Карстена Нола, данные, "пойманные" при помощи четырех наидешевейших мобильников Motorola стоимостью 15 долларов с измененной прошивкой, нужно ввести в специальную программу, которая распространяется бесплатно. Софту потребуется 2-ух терабайтная "радужная" таблица и чуть более 20 секунд для того, чтобы распознать код шифрования, после чего взломщик может смело прослушивать разговоры и читать чужие SMS-сообщения.
"Протокол GSM небезопасен. И чем больше узнаешь о нем, тем более небезопасным он выглядит", - говорит Нол. "Это почти как компьютеры в Сети в 90-ых, когда люди ничего не понимали в компьютерной безопасности. GSM это 20-летняя инфраструктура с массой приватных данных и отнюдь не массой безопасности".
а вот подробности (перевод статьи правда хромает но смысл понятен):
Голосовые и текстовые сообщения обычно кодируются, однако шифр упрощается системами, автоматически придающими последним 10 битам из 64-битного ключа нулевые значения. К тому же сеансовые ключи можно использовать вплоть до 16 вызовов, что еще больше упрощает схему. Новая система использует этот недостаток для взлома шифра.
«Мы постарались сделать систему максимально доступной для любого пользователя»,- рассказывает Халтон.Системе необходимо услышать лишь 3 или 4 блока открытого текста, который передается от мобильного телефона на базовую станцию, чтобы установить звонок.
«Если мы знаем открытый текст, то можем извлечь принцип шифра А5»- говорит Халтон. С помощью этого мы можем «избежать» кодирования и раскрыть нешифрованный текст.
Система, которую разрабатывают ученые, для просмотра значений 64-битных ключей использует радужные таблицы, основанные на раскрытых кодовых рядах. Радужная таблица для 64-битного ключа была бы непомерно огромной, если бы Стив и Халтон не сумели снизить количество необходимых информационных значений. Но даже сокращенная таблица по размеру в 120 000 раз превышает самые крупные таблицы, использующиеся для подбора значений хэш-фукций. На генерацию таблиц ушло бы 33 000 лет, а одна таблица заняла бы 2 терабайта. Однако благодаря высокоскоростным компьютерам эта работа занимает примерно 3 месяца. Разработчики собираются завершить таблицы к марту. Они надеются выпустить систему во втором квартале этого года.
Скорость работы системы будет зависеть от скорости используемого оборудования.
«Если у вас есть деньги, то вы можете совершить взлом очень быстро», говорит Стив. За $1 000 вы можете взломать ключ и расшифровать звонок примерно за 30 минут. За значительно большую сумму, вы можете сократить время до 30 секунд.
Так что если параноишь, то надо использовать не GSM/GPRS а как минимум 3G связь. Там используется алгоритм A5/3 вместо устаревшего A5/1. Но думаю и там операторы связи преднамеренно снижают стойкость шифрования по указке спецслужб.
[merge_posts_bbcode]Добавлено: 20.03.2012 12:24[/merge_posts_bbcode]
а вот тебе на засыпку взлом TLS 1.0 (а 1.1 и 1.2 практически нигде не используются - даже последние версии браузеров и библиотеки OpenSSL используют версию 1.0)
В настоящий момент BEAST-у требуется около двух секунд для декодирования каждого байта зашифрованного cookie. Это значит, что для декодирования аутентификационных cookie длиной от 1000 до 2000 символов понадобится как минимум полчаса, таким образом это будет время, необходимое для осуществления атаки на PayPal. Несмотря ни на что, данная техника представляет огромную угрозу для миллионов веб-сайтов, которые пользуются более ранними версиями TLS, особенно в свете того, что Дуонг и Риццо заявляют, что время, необходимое для осуществления атаки, может быть существенно сокращено.
В электронном письме, которое Риццо отправил вскоре после того, как была опубликована эта информация, говорилось о том, что за последние несколько дней им удалось сократить время атаки до 10 минут.
"BEAST похож на криптографический троян, хакер внедряет часть JavaScript-a в твой браузер, а JavaScript взаимодействует со сниффером с целью подрыва твоего HTTPS соединения"
http://www.xakep.ru/post/56880/default.asp
спасти может только отключение JavaScript
Изменено DeathOfPower (20.03.2012 11:07)
Не в сети
Как только я раньше внимания на этот фееричный в своей параноидальности пост не обратил. Столько смешных вещей в одном месте.
Дело не только в самом протоколе но и в реализации. При пересылке ключей и аутентификации сервера/клиента используется RSA
Разумеется дело и в реализации, но это -- лишённая смысла фраза. И не только RSA, в openssl, например, если четыре асиметричных варианта обмена ключами.
А шифрование сессии может быть выполнено разными алгоритмами.
Именно. Но вопрос был риторическим. Просто хотел обратить внимание на то, что AES присутствует в этом списке.
В том то и дело что без сниффера ты не узнаешь какой шифрование используется с каждым конкретным сервером.
Не только узнаю, но и могу глобально настроить какие алгоритмы я предпочитаю использовать. man openssl.cnf (или man 5 config, скорее).
Потом есть ещё такая атака как "злоумышленник посередине" - её как раз при помощи СОРМ-2 легко реализовать.
Да, MITM регко реализовать, если обмениваться сессионными ключами открытым текстом, не использовать X.509 (или не применять другие методы авторизации/аутентификации в зависимости от контекста). Именно поэтому весьма разумно использовать продуманные комплексные системы защиты передаваеммых данных, а не "шифровать всё AES" (бумажной почтой будете ключами обмениваться или использовать для всех писем один ключ?).
Если софт которым ты пользуешься не отсеивает "плохие" ключи то это упрощает задачу взлома.
Разговор про плохие ключи алгоритмо-зависим. Про какой вообще алгоритм сейчас идёт речь? Ну и это таки ещё одно преимущество комплексных систем.
Плюс к тому в распоряжении спецслужб могут быть и суперкомпьютеры и кластеры компов с мощными видеокартами - в инете есть софт взлома ключей использующих GPU видеокарты.
Вообще всегда нужно полагать, что у злоумышленника может быть какое-нибудь оборудование. Но то, что злоумышленник может сократить миллиард лет до всего лишь миллиона не делает его богом, я гарантирую это.
Плюс есть различные табличные методы - заранее составляются специальные таблицы на 10-ки гигабайт размером, которые во много раз ускоряют взлом.
Нету, вообще говоря. Для подбора данных к хэшу могут использоваться радужные таблицы (и этот метод эффективен в некоторых случаях при подборе паролей, хэшированных без соли). Для подбора шифрованных данных (даже если если ECB с большим пространством, в общем-то, не говоря уже про CBC) нужно иметь таблицы гораздо больше чем на десятки гигабайт. Хотя если приведёте конкретные примеры, то можно будет обсудить особенности конкретных алгоритмов в этом плане.
ОС типа Windows
There ain't such thing. Вантуз -- не ОС.
Возьми тот же GSM/GPRS - там есть все возможности чтобы очень хорошо шифровать пакетых.
Нету, на самом деле. Набор алгоритмов прибит к стандарту гвоздями. И, кстати, нет на данный AFAIK момент простых, дешёвых, быстрых и полностью пассивных методов атак на ГСМ. Приведённый случай -- полупассивная атака, там нужно отправить несколько смс-ок на телефон жертвы и при этом находится с ним физически рядом.
Так что если параноишь
Я? 0_o
то надо использовать не GSM/GPRS а как минимум 3G связь
Как будто угрозы исходят от кулхацкеров с четырьмя мобильниками, ага. Какие бы алгоритмы не применялись по пути, государство контролирует базовые станции. Так что ничего не поможет. Алсо, 3G -- это условное обозначение. В него попадают несколько совершенно различных технологий. Если имеете ввиду HDSPA, то так и говорите (CDMA EV-DO, тоже, сторого говоря, технология "третьего поколения", но в EV-DO AKAIK нет никаких новых по отношению к 1x механизмов).
а вот тебе на засыпку взлом TLS 1.0
Даже не смешно. Работавший только в некоторых версиях библиотек эксплоит, требовавший 1) доступа в локалку 2) доступа в броузер 3) времени. То есть нужно зазвать жертву в wi-fi кафе, заставить его открыть нужную страницу и ждать полчаса.
а 1.1 и 1.2 практически нигде не используются
Кажется, у кого-то разрыв связи с реальностью. Как раз TLS 1.0 не использовался практически нигде даже в момент написания поста. И уже сто лет как в любом приличном месте его запретили или поставили ему низкий приоритет. Да-да, забудьте про свой вантуз, хотя даже в нём с последними обновлениями...
спасти может только отключение JavaScript
Учитывая, сколько условий нужно было выполнить, спасти может почти что угодно (обновление раз в полгода, не сидение в сомнительных локалках, не хождение по сомнительным сайтам, ну и таки ограничение жабоскриптов на сомнительных сайтах, да, не деланье этого часами). Успешная атака таким методом в реальном мире -- чудо.
Читайте меньше "ксакепа" и больше книжек, вот мой совет. Начать можно с какой-нибудь классики вроде Шнайера.
Не в сети