s0nnyd3marco
08-01-2010, 14:02
Volevo chiedere come mai l'autenticazione sul forum di HWupgrade e' completamente in chiaro. Ho provato con wireshark e senza problemi si trovano la password e uid di un utente. Come mai non c'e' https?
View Full Version : HWupgrade autenticazione in chiaro
Drunke
08-01-2010, 17:25
Così facile trovare i dati di autenticazione di un utente? :eek:
s0nnyd3marco
09-01-2010, 10:24
Così facile trovare i dati di autenticazione di un utente? :eek:
Ho appena rifatto il test con Opera su una Debian Lenny.
Questi valori li trovi nel payload del http post:
vb_login_username=miousername&vb_login_password=miapassword&s=&do=login&vb_login_md5password=&vb_login_md5password_utf=
Capisco che il forum ha esigenze diverse da un sito di homebanking, ma la sicurezza non è mai troppa.
Ho appena rifatto il test con Opera su una Debian Lenny.
Questi valori li trovi nel payload del http post:
vb_login_username=miousername&vb_login_password=miapassword&s=&do=login&vb_login_md5password=&vb_login_md5password_utf=
Capisco che il forum ha esigenze diverse da un sito di homebanking, ma la sicurezza non è mai troppa.
s0nnyd3marco
09-01-2010, 10:43
Su firefox e chrome ho visto che la password non è inviata in chiaro, ma al suo posto un md5hash.
Lo stesso di prima ma con firefox
vb_login_username=miousername&vb_login_password=&s=&do=login&vb_login_md5password=md5hashmiapassword&vb_login_md5password_utf=md5hashmiapassword
Il che equivale (quasi) a mandarla in chiaro.
Lo stesso di prima ma con firefox
vb_login_username=miousername&vb_login_password=&s=&do=login&vb_login_md5password=md5hashmiapassword&vb_login_md5password_utf=md5hashmiapassword
Il che equivale (quasi) a mandarla in chiaro.
Drunke
09-01-2010, 15:39
Uso firefox, mi devo preoccupare? Ho una certa reputazione qui sul forum per quanto riguarda il mercatino, non vorrei mi rubassero l'account. Attualmente uso una password da 83Bits quindi abbastanza lunga
s0nnyd3marco
10-01-2010, 10:45
Uso firefox, mi devo preoccupare? Ho una certa reputazione qui sul forum per quanto riguarda il mercatino, non vorrei mi rubassero l'account. Attualmente uso una password da 83Bits quindi abbastanza lunga
Sarebbe da capire se il browser appende un qualche timestamp al md5 della password o se è solo un md5. Se ci appende un time stamp è più complicato.
Cmq MD5 non è un algoritmo sicuro. Il fatto è che mi aspettavo che nella fase di autenticazione si utilizzi un https (persino una cosa inutile come FaceBook c'è l'ha).
Tieni presente che per intercettare il traffico di qualcuno o devi essere nel suo stesso collision domain (vedi reti wireless o reti cablate con hub) oppure compromettere la cam di uno switch.
PS: 83bits? qualcosa nn mi torna...
Sarebbe da capire se il browser appende un qualche timestamp al md5 della password o se è solo un md5. Se ci appende un time stamp è più complicato.
Cmq MD5 non è un algoritmo sicuro. Il fatto è che mi aspettavo che nella fase di autenticazione si utilizzi un https (persino una cosa inutile come FaceBook c'è l'ha).
Tieni presente che per intercettare il traffico di qualcuno o devi essere nel suo stesso collision domain (vedi reti wireless o reti cablate con hub) oppure compromettere la cam di uno switch.
PS: 83bits? qualcosa nn mi torna...
Drunke
10-01-2010, 17:34
Sarebbe da capire se il browser appende un qualche timestamp al md5 della password o se è solo un md5. Se ci appende un time stamp è più complicato.
Cmq MD5 non è un algoritmo sicuro. Il fatto è che mi aspettavo che nella fase di autenticazione si utilizzi un https (persino una cosa inutile come FaceBook c'è l'ha).
Tieni presente che per intercettare il traffico di qualcuno o devi essere nel suo stesso collision domain (vedi reti wireless o reti cablate con hub) oppure compromettere la cam di uno switch.
PS: 83bits? qualcosa nn mi torna...
Si come grado di sicurezza è 83 Bits, uso un programma per questo ;)
Cmq MD5 non è un algoritmo sicuro. Il fatto è che mi aspettavo che nella fase di autenticazione si utilizzi un https (persino una cosa inutile come FaceBook c'è l'ha).
Tieni presente che per intercettare il traffico di qualcuno o devi essere nel suo stesso collision domain (vedi reti wireless o reti cablate con hub) oppure compromettere la cam di uno switch.
PS: 83bits? qualcosa nn mi torna...
Si come grado di sicurezza è 83 Bits, uso un programma per questo ;)
s0nnyd3marco
11-01-2010, 09:02
Si come grado di sicurezza è 83 Bits, uso un programma per questo ;)
Ovvero? un programmino che genera password e che da un grado di sicurezza?
Ovvero? un programmino che genera password e che da un grado di sicurezza?
Drunke
11-01-2010, 14:44
Si esatto :)
Energy++
13-01-2010, 17:43
Si come grado di sicurezza è 83 Bits, uso un programma per questo ;)
83bit? E' composta da 10,4 caratteri alfanumerici :confused: ? Qualcosa non torna neanche a me
83bit? E' composta da 10,4 caratteri alfanumerici :confused: ? Qualcosa non torna neanche a me
Drunke
13-01-2010, 18:47
83bit? E' composta da 10,4 caratteri alfanumerici :confused: ? Qualcosa non torna neanche a me
16 caratteri per l'esattezza :D
16 caratteri per l'esattezza :D
xcdegasp
14-01-2010, 17:49
16 caratteri per l'esattezza :D
e come fa' ad avere solo 83bit? magari è senza caratteri speciali e maiuscole e lettere accentate?
e come fa' ad avere solo 83bit? magari è senza caratteri speciali e maiuscole e lettere accentate?
Drunke
14-01-2010, 19:20
e come fa' ad avere solo 83bit? magari è senza caratteri speciali e maiuscole e lettere accentate?
Solo lettere è numeri comprese le maiuscole :D
Solo lettere è numeri comprese le maiuscole :D
Energy++
15-01-2010, 09:58
16 caratteri per l'esattezza :D
Solo lettere è numeri comprese le maiuscole :D
1 carattere = 1 byte
1 byte = 8 bit
16 caratteri = 16 byte = 16*8 bit = 128bit
quindi il tuo discorso non torna
Solo lettere è numeri comprese le maiuscole :D
1 carattere = 1 byte
1 byte = 8 bit
16 caratteri = 16 byte = 16*8 bit = 128bit
quindi il tuo discorso non torna
xcdegasp
15-01-2010, 13:00
Solo lettere è numeri comprese le maiuscole :D
troppo debole anche per il fatto che non usa parole a senso compiuto quindi con il bruteforce si disabilita direttamente il dizionario per farlo eseguire in maniera random e si disabilitano i caratteri speciali..
meglio crearsi una password da ricordarsi facilmente, composta da più parole slegate tra loro, con la presenza di caratteri speciali (importantissimi) e letetre accentate, oltre che una buon uso di maiuscole e numeri (numeri massimo 4)
questo imho :)
troppo debole anche per il fatto che non usa parole a senso compiuto quindi con il bruteforce si disabilita direttamente il dizionario per farlo eseguire in maniera random e si disabilitano i caratteri speciali..
meglio crearsi una password da ricordarsi facilmente, composta da più parole slegate tra loro, con la presenza di caratteri speciali (importantissimi) e letetre accentate, oltre che una buon uso di maiuscole e numeri (numeri massimo 4)
questo imho :)
Drunke
15-01-2010, 16:35
la password qui sul forum di quanti caratteri o numeri si può impostare?
A parte tutto, questo non centra con il discorso della sicurezza di HUF o sbaglio?
A parte tutto, questo non centra con il discorso della sicurezza di HUF o sbaglio?
riazzituoi
18-01-2010, 16:26
.
Energy++
18-01-2010, 18:39
In teoria sì, ma generalmente i caratteri ASCII utilizzabili sono minori o uguali a 95 (dipende anche dall'applicazione), quindi l'entropia, cioè l'informazione, si riduce a 6.5 bit per carattere.
secondo me quello che hai scritto non ha senso.
Cioè lui parlava di una password di 83bit quindi si presume che parlasse della lunghezza della password.
Potrei aver frainteso io, spiegati meglio
secondo me quello che hai scritto non ha senso.
Cioè lui parlava di una password di 83bit quindi si presume che parlasse della lunghezza della password.
Potrei aver frainteso io, spiegati meglio
Drunke
18-01-2010, 22:37
Intendo dire che la mia password è come grado di sicurezza 83Bit, non come lunghezza della stessa.
riazzituoi
19-01-2010, 16:51
.
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.