Database Password

Pagine → 1  2 

seralia

SCRIVI

16/08/2016 09:54:53

themaninthesuit ha scritto:
Quindi ecco 90% mi sembra a questo punto una stima, elevata; Data la mia esperienza personale in 3 settimane con un pool di nove land, almeno 2 hanno il db in chiaro; siamo quindi a meno del 80%


La cosa strana in questa percentuale è che, di base, gdrcd ha la criptazione di default. Quindi tutti i gestori che creano un gdr online con quell'open source hanno la possibilità di criptare le password e soprattutto ce l'hanno impostata di default, quindi non possono "scordarsi" di metterla, ma se la tolgono lo fanno volontariamente...

Storie di AgarthiStorie di Agarthi ↗
Un Varco si apre davanti a te, un mondo tra i mondi è a portata di mano. Lasciati alle spalle le certezze, inizia l'avventura!

quota

blancks

SCRIVI

16/08/2016 10:52:44 e modificato da blancks il 16/08/2016 10:56:38

seralia ha scritto: La cosa strana in questa percentuale è che, di base, gdrcd ha la criptazione di default.


Di fatti, probabilmente avranno usato qualcosa di precedente a gdrcd 5.1, ad esempio l'extreme, e deve essere stato veramente sfortunato l'autore del topic ad incappare in ben due land simili.

Tutti i gestori delle land che si ostinano ad aprire basandosi su quel codice obsoleto (extreme o altri dello stesso periodo) spesso non ne hanno semplicemente idea e lasciano la password in chiaro.

C'è anche la possibilità che si trattasse di codice proprietario però, semplicemente perché la maggior parte di quelli che ho visto in giro fallisce nei più basilari controlli di sicurezza.
img

GitHub: https://github.com/GDRCD/GDRCD
Discord: https://discord.gg/zh69CDUf3V

quota

longbow

SCRIVI

16/08/2016 13:51:33

mi sorge però un dubbio: per quale motivo una persona dovrebbe mettersi a fare brute force su una password per un PBC quando ci sono sistemi molto più semplici o, meglio, obiettivi più interessanti?

davvero un cracker pensate abbia voglia di mettersi a perdere ore ed ore di calcolo al 100% di CPU per la password su una land di 20 persone?


fate prima, in un qualsiasi discorso via skype, a domandare "com'era il nome del tuo cane?" e via, mail fregata.

"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live."

- Martin Golding

quota

blancks

SCRIVI

16/08/2016 14:40:05

longbow ha scritto: mi sorge però un dubbio: per quale motivo una persona dovrebbe mettersi a fare brute force su una password per un PBC quando ci sono sistemi molto più semplici o, meglio, obiettivi più interessanti?


Dipende da tanti fattori.
Se si tratta di un attacco mirato, una delle opzioni per un attaccante è quella di sfruttare la pigrizia dell'utente (che di solito usa la stessa password per una considerevole quantità di servizi online) e provare a violare i siti web che usano meccaniche di sicurezza più deboli rispetto ai servizi di punta.

Non serve neanche fare il bruteforce, in una vecchia land tramite injection riuscivo a visualizzare tutti i dati presenti nel database facendomeli scrivere in un messaggio privato ad esempio, a quel modo si può recuperare l'hash ed elabolarlo interamente su una macchina dedicata. In quel caso era md5, ti sorprenderesti a vedere tra rainbow tables, hash collision e bruteforce quanto poco tempo ci voglia a scoprire la password di quell'utente.

E' chiaro, la sicurezza deve essere sempre adeguata al contesto, non puoi investire in determinate cose come fanno gli obiettivi "più interessanti".

Ma consideriamo sempre che qui si sta parlando di usare un algoritmo di hashing robusto e di consigliare all'utente di cambiare password una volta ogni sei mesi, non si parla di mandare l'uomo su marte.
img

GitHub: https://github.com/GDRCD/GDRCD
Discord: https://discord.gg/zh69CDUf3V

quota

dyrr

SCRIVI

16/08/2016 14:45:35 e modificato da dyrr il 16/08/2016 14:49:52

mi sorge però un dubbio: per quale motivo una persona dovrebbe mettersi a fare brute force su una password per un PBC quando ci sono sistemi molto più semplici o, meglio, obiettivi più interessanti?


La questione non è tanto perche qualcuno dovrebbe mettersi a fare una cosa del genere, perchè se arrivi alla password anche solo hashata vuol dire che sei dentro il database in qualche modo vuoi sqlinjection, vuoi perchè hai la pass del database in qualche modo e puoi farci tutto quello che vuoi.

il problema è che se hai le password salvate in chiaro e qualcuno accede al database il disagioc he puoi creare alle persone può essere grande.

Questo perchè, anche se sulla carta è una pratica sbagliatissima, solitamente le persone non usano una pass diversa per account diversi, e spesos nemmeno gruppi di pass diversi in base al tipo di account (una pass per i gdr, una per che ne so i forum, una diversa per ogni account importante: home banking, paypal, ecc) ma spesso usano anche una sola pass.

E se ti fregano il database e poi in qualche modo con la pas sin chiaro fanno danni a quell'utente non puoi rispondergli "colpa tua che non hai pass diverse" perchè l'obbligo di legge impone a te gestore del database di adottare le misure di sicurezza minime necessarie.

CrossoutCrossout ↗
Tuffati nel mondo di Crossout, il gioco MMO d'azione post apocalittico! Costruisci le tue speciali macchine da combattimento!

quota

longbow

SCRIVI

16/08/2016 15:20:40

si certo, il mio dubbio era sul perchè impegnarsi oltre il necessario per la protezione quando quella di base basta (criptazione).

tenere le password in chiaro è da criminali ma ricordiamoci che fino a pochi anni fa era per tutti così...


come suggerito da Blancks (ed era un po quello che volevo far trasparire) è che magari si perde tempo ad avere tecniche elaborate per le password e poi lasciano i background in HTML con JScript attivato, senza nemmeno doversi impegnare con SQL injection

"Always code as if the guy who ends up maintaining your code will be a violent psychopath who knows where you live."

- Martin Golding

quota

Discussione seguita da themaninthesuit

Pagine → 1  2 

Rispondi alla Discussione Segui Discussione Inoltra Discussione Forum Programmazione, GDRCD, Open Source, Hosting Elenco Forum

Articoli, Interviste e altre Risorse!

Favole e Fiabe Favole e Fiabe
Lista completa dei giochi di ruolo online ambientati nel folle mondo delle favole
Dallas Black Gold Dallas Black Gold
Intervista alla gestione del play by chat moderno Dallas Black Gold... parti per il Texas!
AlterEgo AlterEgo
Scopri AlterEgo GdR: un incredibile universo narrativo in stile medievale fantasy che cresce, muta e vive giorno dopo giorno grazie ai suoi giocatori!
Abakara Abakara
Intervista al gestore del play by chat fantasy Abakara e le Sette Chiavi del Tempo

Pubblicità

Ultime dal Portale

news Storie di Agarthi: La Lunga Notte è arrivata

gdrrank I dati del generatore di rank sono stati aggiornati!

Crossout CrossoutTuffati nel mondo di Crossout, il gioco MMO d'azione post apocalittico! Costruisci le tue speciali macchine da combattimento!

news Felix Felicis GdR - Harry Potter GdR: Le uova di... Natale? - Evento ON

news Ex Gratia GDR: Massima personalizzazione coi tratti specie!

forum nerelyn ha aperto una nuova discussione: Personaggio in cerca di Land

news The Eyrie GdR: Nuove Fazioni ed entrata in Beta

AlterEgo AlterEgoScopri AlterEgo GdR: un incredibile universo narrativo in stile medievale fantasy che cresce, muta e vive giorno dopo giorno grazie ai suoi giocatori!

news Piume Nere: 🎄 Le Notti Sacre Sono Iniziate 🕯️

categoria La categoria Browser Game raggiunge i 3.900 giochi catalogati!

news RAID Shadow Legends: Anaxia la Rinata!

news Enlisted: Test aggiornamento "Fronte dell'Estremo Oriente"

RAID Shadow Legends RAID Shadow LegendsPlasma i tuoi eroi fino a farli diventare vere e proprie armi viventi e assembla i più epici gruppi d'assalto mai visti finora!

news Ex Gratia GDR: Il nuovo manuale è online!

news Star Trek Horizon: QuestLog: Natale al cubo

news Hero Wars: Asherona è qui! 🌋

news Black Sails Chronicles: ON - 3° Serata Gara di Bevute

War Thunder War ThunderAviazione, veicoli corazzati e flotte militari della seconda guerra mondiale. Parteciperai a tutte le principali battaglie!

Pubblicità

Articoli

Momento Giusto?
Momento Giusto? - Il Gioco di Ruolo Giusto, al Momento Sbagliato.. storia di una partita di GDR così così..
Opéra
Opéra - Intervista ai gestori del GdR storico ambientato in un oscura Francia di fine 800... Opéra!
Città Medievale
Città Medievale - Scopriamo assieme le caratteristiche di una città Medievale!
Mistery of Akasha
Mistery of Akasha - Intervista al play by chat fantasy ambientato su una misteriosa isola continente: Mistery of Akasha
Exclusive Villa GdR
Exclusive Villa GdR - Las Vegas, azzardo, vizi, soldi, intrighi... Più le sue luci sono scintillanti, più le sue ombre sono oscure. La città che non dorme mai, vi aspetta.
Raja Dunia
Raja Dunia - Tra verità divine e menzogne eterne, la tua anima è la chiave. Scopri Raja Dunia, e riscrivi il fato del Continente con armi e magia, fede o eresia.
RoleEver
RoleEver - Intervista ai creatori dell'App per giocare di ruolo con il cellulare!
Fantasia Infinita
Fantasia Infinita - C’è un mondo videoludico sommerso come un tesoro nascosto.. il Play By Chat!