[effe8]

 Salve  Qui si parla di sicurezza ...!!  molto interessante

ma prima di parlare di sicurezza cercate di rendere questo forum Sicuro ve pare!!...

logicamente chi stà utilizando ID dell admin  non è L ' Admin

Ma sono capitato qui per caso   e non  ho voluto  defaciare il sito come avrebbe fatto chiunque stronzo

Signior  :oops:  Admin lol Devi pachare il forum e anche il portale entrabbi vulnerabili.

Guarda adesso avrei anche potuto scaricarmi il database  giusto
e ci sono 1800 utenti con tutti le loro rispettive pasword In Mad5

logicamente molti di questi utenti utilizano la stessa password  per le loro email loro siti ecc Insomma un disastro :-)

Vabbene con questo Ho voluto solo avvisarti della cosa ma credo sapevi questo o No?

Ripeto sistema la cosa inquando  puo capitare qualcuno con altre idee :-)

Vi saluto tutti  

ITalianFAmily
 

[lacellula]

Almeno, per questo attacco, ci hanno risparmiato l'odiato avatar in favore di un più simpatico asinello!

Comunque concordo... Si dovrebbe mettere una bella toppa al forum ed al portale... Che ne dite di passare a PHPNuke? (sono ironico ovviamente)

PS: non è che ci fai molto con la password in MD5
 

[step76]

Comunque concordo... Si dovrebbe mettere una bella toppa al forum ed al portale... Che ne dite di passare a PHPNuke? (sono ironico ovviamente)

PS: non è che ci fai molto con la password in MD5

Questo ennesimo attacco dimostra ancora una volta che questo forum va assolutamente patchato quanto prima.

Per quanto riguardo l'MD5 è ormai assodato che sia un algoritmo crackabile e per quanto riguarda la crittografia forte viene paragonato al CRC32, praticamente una ciofeca. Quindi il rischio che le password siano esposte è reale.

[Diavolo_Rosso]

non è che ci fai molto con la password in MD5

un bel brute force? :rolleyes:  

[lacellula]

Sapevo che MD5 aveva qualche falla dovuta, più che altro, al tipo di codifica ma da qui a fare un brute force su 2000 password...

Comunque sto preparando la carta intestata per il comitato "Upgrade Prozone"... quota di iscrizione gratuita.

Edit: Avevo scritto TopHost al posto di Prozone... Rimbecillimento mattutino, scusate
 

[step76]

Sapevo che MD5 aveva qualche falla dovuta, più che altro, al tipo di codifica ma da qui a fare un brute force su 2000 password...
 

Non è obbligatorio fare il brute force, la debolezza più grande di MD5 consiste nella grande facilità con cui si possono creare delle collisioni.

Esempio:
Poniamo che TIZIO si iscriva a due forum X e Y con lo stesso user PIPPO e la stessa password 1234. Poniamo che entrambe i forum usino MD5.

Se io riesco ad ottenere la password MD5 del sito X potrei ottenere una collisione da utilizzare sul sito Y senza aver bisogno di conoscere la password originale.

Per qualunque cosa vi sconsiglio sempre di usare MD5 o algoritmi di hash a 128bit che con l'attuale codifica sono facilmente soggetti a collisioni.


Aggiungo che questi pseudo hacker che colpiscono il forum inserendo messaggi di questo tipo finto avviso non mi preoccupano perché al 99% sono solo persone che si sono lette quale advisory con relativo exploit allegato per poi andare in giro a caxxeggiare. Quello che mi preocuppa è che il forum è scoperto e ci sono quelli che entrano, messaggi non le lasciano e magari sono anche un pò più bravini ad andare in giro a fare reale casino.
 

[Rikkardone]

scusate se mi permetto, ma non si può decidere di aprire un forum e poi l'amministratore assentarsi per tutto questo tempo... se così fosse, meglio che chiami nuovi collaboratori (magari amministratori in più) che gli guardino le spalle.
ne va dei nostri dati, del nome del  forum e degli utenti che prima o poi non saranno più disposti a rischiare... scusate se questa critica pensate sia offensiva, ma la concorrenza non sta ferma a guardare...  

[lacellula]

se così fosse, meglio che chiami nuovi collaboratori (magari amministratori in più) che gli guardino le spalle.

Il problema non è tanto degli admin, ma sta nella sicurezza intrinseca degli script. Tempo fa nel corso dell'unico vero hackeraggio del sito consigliai alcune cose banali che, ahimè, non furono messe in atto. In altre parole aggiornare sempre e comunque gli script.

Poniamo che TIZIO si iscriva a due forum X e Y con lo stesso user PIPPO e la stessa password 1234. Poniamo che entrambe i forum usino MD5.

Se io riesco ad ottenere la password MD5 del sito X potrei ottenere una collisione da utilizzare sul sito Y senza aver bisogno di conoscere la password originale.

Credo di aver capito. Ti ringrazio qui anche per la risposta su MSSql

[marcodxn]

Non è che a Effe8 hanno cambiato la password?  <_<
Se così fosse, Effe, basta che ti fai un piccolo script in php che ti stampi a schermo (o se vuoi che faccia l'inserimento in database) dell'MD5 della stringa che hai scelto come password, per poterla inserire nel campo corretto all'interno del database.

Credo che tu queste cose le sappia, quindi le scrivo giusto per "scrupolo".

Piuttosto, è davvero da tempo che non si fa vedere...qualcuno lo conosce personalmente? Magari non è un gran periodo...

Ciao
m.

[Diavolo_Rosso]

scusate se mi permetto, ma non si può decidere di aprire un forum e poi l'amministratore assentarsi per tutto questo tempo... se così fosse, meglio che chiami nuovi collaboratori (magari amministratori in più) che gli guardino le spalle.
ne va dei nostri dati, del nome del  forum e degli utenti che prima o poi non saranno più disposti a rischiare... scusate se questa critica pensate sia offensiva, ma la concorrenza non sta ferma a guardare...

a tra l'altro aggiungerei che neanche i moderatori scherzano

l'ultimo messaggio di Gioxx risale al 5 Marzo
l'ultimo messaggio di guardaqua è del 6 Marzo
e Uncino non lo contiamo neanche visto che non posta dal giugno scorso

Cioè. un forum delle dimensioni di ProZone che non viene visitato da neanche un responsabile per una settimana mi pare un pò eccessivo.

Sono anche io del parere che sia il caso di rinforzare un minimo l'organico.

[Diavolo_Rosso]

Non è che a Effe8 hanno cambiato la password?  <_<
Se così fosse, Effe, basta che ti fai un piccolo script in php che ti stampi a schermo (o se vuoi che faccia l'inserimento in database) dell'MD5 della stringa che hai scelto come password, per poterla inserire nel campo corretto all'interno del database.

Credo che tu queste cose le sappia, quindi le scrivo giusto per "scrupolo".

Piuttosto, è davvero da tempo che non si fa vedere...qualcuno lo conosce personalmente? Magari non è un gran periodo...

Ciao
m.

essendo suo lo spazio credo proprio che abbia l'accesso diretto al db senza bisogno di scrivere script in php :rolleyes:  

[Rikkardone]

essendo suo lo spazio credo proprio che abbia l'accesso diretto al db senza bisogno di scrivere script in php :rolleyes:

appunto...

rimaniamo in attesa, sperando di non fare la muffa.........  :ph34r:  

[gja]

ma perchè non ci si sbriga a tamponare questa falla nel forum ??
 

[Rikkardone]

ho fatto una rapida ricerca, ma sembra che alessandro non sia "operativo" da tempo............

[marcodxn]

essendo suo lo spazio credo proprio che abbia l'accesso diretto al db senza bisogno di scrivere script in php :rolleyes:

appunto...

Beh se ne farebbe poco dell'MD5 di una password cambiata...
Comunque non è questo il punto... Gioxx o Guardaqua potrebbero sapere qualcosa di più, speriamo passino presto...

Ciao
m.