Aktív témák
-
KovacsUr
addikt
Na, itt vagyok :) Nem kell anyázni, nem csupa nagybetűs topicot nyitottam; az eredeti cím az volt, hogy ''Nincs a forrásban a jelszó'', és direct off topicban nyitottam, hogy megtárgyalhassuk Ádámmal. Ez egy topic, nem 127... Hol a másik 126? De mindegy. A lényeg, hogy a figyelemfelkeltő címváltoztatás azután esett meg, miután kiderült, hogy mégiscsak ott van a cache-ben a jelszó -- kódolatlanul. Örülök, hogy már nincs. OFF: Parci: Az aktív témás bugot csak dacból nem javítod ki?
-
samson
tag
>>>itt mindenki azt hitte, semmit nem tesznek kedves házigazdáink, csak azért, mert nem álltak itt kiabálva: javítunk...
nekem az elejen ugy tunt(Parci uzeneteit olvasva), hogy az uzemeltetoknek ez nem is hiba, ezert fogalmaztam hirtelen felindulasbol ugy ahogy.
na reszemrol ez tul van targyalva -
#61
samson
tag
Don Vittorio
#57
samson
tag
válasz
Don Vittorio
#57
üzenetére
pedig alapvetoen segitokesz vahgyok.:)
igy utolag olvasva, lehet hogy maskepp kellett volna fogalmaznom.
bocs-bocs 1000x -
#59
samson
tag
Don Vittorio
#54
samson
tag
válasz
Don Vittorio
#54
üzenetére
>>>>Linus barátunk olyan oprendszert fejleszt, amely bizonyos értelemben mindannyiunké. Van itt valaki, aki a PH! engine-jével kapcsolatban hasonlóan érez? (Mert, ha igen, akkor az téved.)
Vittorio: ezt nem igazan ertem. miert teved?
ugy latom osszegyultek a hazigazdak, (jottek tuzet oltani) :)) -
Don, megdumáltuk már samsonnal, peace! :)
-
#57
Don Vittorio
őstag
samson
#56
Don Vittorio
őstag
A hiba megtalálása, a figyelem felhívása hasznos és szép dolog. A hőbörgés ezzel szemben teljesen felesleges... Nem is beszélve a rossz példálózásról. A PH! motorja Parci szellemi terméke, nem a mienk. A hozzászólások összessége a miénk.
Ez a két mondat nem a _segítés_ hangnemét sugározza:
''a hiba egy az egyben a forum-engine -ben van.''
''tessek elszegyellni magatokat, es kijavitani.''
És még volt néhány hasonló a részedről. -
#56
samson
tag
Don Vittorio
#54
samson
tag
válasz
Don Vittorio
#54
üzenetére
nem akarom ujra kezdeni, de szerintem ha vki megtalal egy hibat, akkor annak orulni kell.
mindegy hogy nyilt vagy zart a forras... -
samson
tag
>>a session nem a serveren tárolódik, a cookie meg a cliensen?
de, a cookie-ban van a sessid, s a szerveren a sessid alapjan szeded eleo a session data-t
>>az url-ben meg a sessionid-vel hivatkorok a session filera, amiben az x-db változó van?
reszben, ha cookiet hasznalsz, akkor nem url-lel propagalod a sessid-t, hanem cookieban. olyan meg hogy session file??? a session data-t lehet file-okban tarolni, de az kezdetleges, jobb ha adatbazisban van. -
#54
Don Vittorio
őstag
samson
#43
Don Vittorio
őstag
''jol is neznenk ki ha pl Linus T. egy hiba megtalalasa utan nekiesne az illetonek, hogy menjel mar...ez nem is nagy hiba... hogy kepzeled, hogy beleszolsz...''
Erre azért még így utólag is reagálnék. Muszáj. Linus barátunk olyan oprendszert fejleszt, amely bizonyos értelemben mindannyiunké. Van itt valaki, aki a PH! engine-jével kapcsolatban hasonlóan érez? (Mert, ha igen, akkor az téved.) -
Figyu, samson: komolyan kívánom, hogy mindenki pont akkora toleranciával bírjon irántad, amikor valamit nem RÖGTÖN jól csinálsz, mint te itt velünk szemben.
Ne klasszikus magyar módszerezzél, meg keményíts... azért nem vettük esetleg észre a kérdést, mert éppen a 127-ik cikket írtuk, NEKED. Vagy a napi 6-7-8 hírt nyomtuk, NEKED. Vagy a gyártókat győzködtük, hogy küldjék a vasat, hogy legyen cikk időben NEKED.
Nem folytatom. Ha olyan ''klasszikus magyar mentalitásúak'' lennénk, ez az oldal sem létezne és soha nem kezdte volna el két amatőr hosszú évek szívását vállalva. Minden dolog, akár programkód, akár design, akár hír, akár cikk, akár eredmény, akár állapot az a kétkezi munkánk. Nem segített senki, nem szívott helyettünk senki, komolyan, néha mi magunk sem értjük, hogy mi a retekért csináltuk ezt évekig, pl tanulmányaink kárára...
Úgyhogy hátrébb az agarakkal! Főleg, mert senki sem mondta, hogy a hiba nem lesz kijavítva. -
biker
nagyúr
legyen ...
csak ahhoz több dolgot kell módosítani, ehez meg csak plussz pár sor...
miért ne lehetne?
csak mivel itt asszem fél óráig vagy bejelentkezve, illetve inaktivitás után fél órával dob ki, ezért nem lehet session cookie lifetime 0...
ha meg nem nulla, akkor bezárás után visszanyitja más, és mehet dolog... -
samson
tag
bocs az eddigi stilus miatt
szoval kliens oldalon nem tarolunk passwordot, semmilyen formaban, tisztan sem es kodoltan sem
kliens oldalon a session id-t ''taroljuk'', ami lehet cookie-ban vagy cookie-t nem tudo bongeszo eseten url-bel
a password pedig a szerveroldalon van eltarolva.
de ezek mind 1000 eves technikak es jol bevaltak -
samson
tag
nos
a form element value az form element value, ezen nem vitatkozom senkivel
1: orulni kell, hogy vki eszrevette a hibat
2: elnezest kerni es minel hamarabb kijavitani
3: erre ti kovetitek a klasszikus magyar modszert: meg nektek all feljebb
jol is neznenk ki ha pl Linus T. egy hiba megtalalasa utan nekiesne az illetonek, hogy menjel mar...ez nem is nagy hiba... hogy kepzeled, hogy beleszolsz...
es itt erezzetek megtiszve magatokat, hogy ilyen peldat hoztam fel.
na eddig a poen -
biker
nagyúr
amire gondolok, és minimális update-el járna:
amikor a jelszavakat kirakjuk ide a form-ba, akkor urlencode paranccsal kódolni.
így a paraszt ezt látja.
mikor innen visszaküldjük az adatot, akkor ellenörzés két fázisban:
- ha síma jelszó, akkor megnézni, van-e ilyen jelszó, és be volt-e már jelentkezve. ha igen, hiba, leáll, hack gyanú
- ha kód, akkor urldecode, ebből kapott jelszót ellenőríz, van-e olyan, ha igen, akkor be volt e lépve, ha nem, akkor hack gyanú, leáll, ha igen, mehet.
mert: ha be volt jelentkezve, csak kódot fogad el, ha nincs bejelentkezve, csak nevet.
tehát ha megtudom a kódod a cacheböl, akkor sem tudok vele belépni, mert kódot csak bejelentkezett állapotban fogad el.
ennyi...
parci? vélemény? szerintem ez nem sok beleírás... -
WN31RD
addikt
Amit írtam, nem ellened irányult, de elismerem, hogy tényleg olyan hatást kelthetett. Sorry. :(
Nem feltételez(t)em, hogy el akarod tussolni a dolgot. Csak úgy gondolom, hogy ilyen esetben ez a korrekt eljárás - mármint hogy ragaszkodunk ahhoz, hogy nem tartjuk vissza meghatározatlan ideig az információt. Még akkor is, ha ismerős, haver, vagy barát az érintett (vagy esetleg Te).
Még egyszer: nem feltételeztem eleve, hogy el akarod tussolni a dolgot, csak általános elveket fogalmaztam meg. -
atus
senior tag
Elbeszélünk egymás mellett. Arra gondoltam, hogy user oldalon is el van tárolva, ott pedig <form> ban. (ami nem egy 128bites titkosítás) Még szép, hogy a php-sql alapú engine nem egy html fájlból szedi a jelszavakat, amiben 5000+ <form> van. Az lenne ám az advanszd teknöládzsi! :DDD
-
atus
senior tag
Lehet, h SQL táblából van lekérve, de tárolva meg <form> ban van.
Nem nagy a valószínűsége, hogy megtámadnak, de lehet. Elvileg az internet userek 0.00000000000000000000001% :DDD százaléka képes csak megtámadni. Aztán mégis előfordul, hogy próbálkoznak. Ha van firewallod, biztos meg-meg akad néhány próbálkozás. Valószínűleg ez elhanyagolható rés, de pár usert nyugtalanít, és ez a fontos. -
biker
nagyúr
hát mekkora a relitása annak, hogy a te gépedröl bármit megszerezzek?
ha meg feltörlek, nem mindegy, hogy tárolod a jelszavad?
mellesleg legyen a leghülyébb megoldás:
a apssword legyen urlencode/urldecode...
ezt ránézésre a nemhülye meglátja, és vissza tudja fejteni, de minek?
és akkor itt csak az látszik, hogy gF54FtrZ, de az oldal ezt nem fogadja el, csak az urldecode után kapott értelmes passwordot.
nos? -
atus
senior tag
Utánalestem egy kicsit a dolognak. A kessemben tényleg nincs egy darab html se prohardverrel kapcsolatban, pedig már megfordultam itt egy párszor. :DDD A másik, h bekukkantottam a htmlbe is, és nem esett jól a jelszavamat ott látni kódolatlanul... Én személy szerint nem tudnám ezt kihasználni, meg szerintem még a fórumozók 99%a se. Viszont marad 50 ember aki igen, és ők lehet, h kicsit jobban tudják hogyan lehet megszerezni. A lényeg, hogy sok minden történhet, amire most azt mondod, hogy ez nem lehet, meg kit érdekelne ilyen, megy egyébként is. ööö Nem tudom emlékeztek-e, h nemrég feltörték az oldalt. (Parci neked illene, mert volt munkád vele bőven) Pedig az adminok még csak netcafé közelében sem jártak... :t Most lehet, h baromságot írtam, mert lövésem nincs php-hez, meg az a húdenagy hekker se vagyok, de engem kimondottan zavar, hogy a jelszavam ott csücsül.
-
biker
nagyúr
mellesleg nem form element valueban van, hanem sql táblából lekérve, php generálta html kimenetében be van illesztve a form elementbe, hogy ne kelljen variálni a jelszóval, meg beírni, meg ilyenek.
egyszerűség...
mellesleg nem én írtam, hanem majd rájössz ki, aztán majd látod, etikusan mit tehetsz meg érte! -
samson
tag
hi all!
a hiba egy az egyben a forum-engine -ben van.
miota szokas a passwordot form element value-ban eltarolni? azert kicsit ledobbentem ezen.
az (h)oskorban (a www kezdeten) bizonyosan igy csinaltak, de manapsag?
ha mondjuk ez a noklapja.hu -n lenne, talan egy szot sem szolnek. de itt?
tessek elszegyellni magatokat, es kijavitani. -
Ha nem házigazda lennék, most biztos berágtam volna ezen. Olyan marha okos mindenki! Gondolod, hogy PONT ENGEM nem érdekel a dolog, vagy el akarom tusolni?!
Ellenben csupa nagybetűs topikot nyitni rá azonnal marhaság, mert ha például ez gond, lehet, hogy hamarabb olvassa a rosszakaró, mint a rendszergizda. Remélem nem kell tovább magyaráznom mindezt... -
biker
nagyúr
de továbbra is fenntartom, hogy mivel nem netcaffeban netezek, elég kicsi ennek a valószínüsége.
ez egy olyan kevés felhasználót érintö speciális dolog, hogy nem is tudom, hány olyan ember van itt most, aki:
-netcaffeban, koleszban netezik
-van olyan haragosa, aki képes erre
-meg is teszi ezt
asszem inkább veszek egy lottót :)) -
-
biker
nagyúr
szerintem ez ugy fel van fujva, ahogy csak lehet!
ha valaki a bankszámlaszámát, vagy az otthoni riaszto jelszavát adja meg itt is, az meg ........
ha meg nem, akkor meg mi van? ha rájössz, hogy valaki a te nevedben irkál, cserélj jelszót!
lehetne ugy is, hogy ne látsszon, de akkor is lehet ''kutatni'' ha nagyon akar valaki.
szerintem ennyi. -
WN31RD
addikt
''1. Ha szerintetek ez egy security hole, akkor bolond vagytok, ha ilyen címmel nyittok egy topikot! Komolyan, ennél rosszabb ötletet el sem tudok képzelni..''
Én el tudok: mégpedig azt, hogy nem említik senkinek, hanem titokban tartják.
Persze okosabb lett volna egy emailt írni az oldal karbantartóinak, pl. Neked, amelyben felhívnák a figyelmedet a biztonsági hibára, és közölnék azt is, hogy záros határidőn belül nyilvánosságra hozzák (elkerülendő a biztonsági hibák eltussolását ''á la Microsoft'').
Alapvetően nem a biztonsági problémák eltitkolása a helyes véleményem szerint, hanem a minél szélesebb nyilvánosság elé tárása. Remélem, nem kell magyaráznom, hogy miért. -
Edem
senior tag
''127 topikban''
(2^7)-1 - ez biztos szakmai ártalom, igaz Parci? :D
Egyébként KovácsÚr tényleg nagyon bezsongott. Én felvetettem a kérdést, erre megmagyarázta, hogy miért nem, majd nyitott egy topikot, hogy miért nem, amire tsibe leírta, hogy miért mégis, és azóta KovácsÚr már végképp nem bír magával. :D -
Miután KovácsÚr már 127 topikban széjjelordította a bugot, szeretném, ha most válaszolna a kérdésekre, itt :P.
-
biker
nagyúr
1: talán, esetleg, netcafféban suliban
2: talán, esetleg, sok melóval
kérdés: ka a fxxxnak éri meg annyit vesződni vele?
ha haragszok valakire, nem pisis módra félórai melóval keresgélem ki a jelszavát, hogy az ő nevében írkáljak, hanem pofán verem.
ha meg az én nevemben írogat valaki, azt is.
tehát számomra veszélytelen, a turkáló számára egészségileg káros :))
tojd le parci... -
-
Ünnepélyesen ki is cseréltem a címet.
Kérdés:
1. Más hozzá tud férni a gépeden lévő, cache-ben tárolt file-okhoz (másik gépről, a hálón át)?
2. Ha kilogoltál (Kilépés), és bezártad a böngészőablakot, vagy csak simán bezártad a böngészőablakot, utána vissza tudsz hozni cache-ből egy olyan oldalt, ahol benne van?
Ha nemleges a válasz mindkettőre, akkor nincs gond... -
1. Ha szerintetek ez egy security hole, akkor bolond vagytok, ha ilyen címmel nyittok egy topikot! Komolyan, ennél rosszabb ötletet el sem tudok képzelni.. :(
2. Ha szerintetek ez nem veszélyforrás, akkor viszont csak simán fölösleges ekkora dobra verni. -
Biaggio
őstag
-
#34929152
törölt tag
Szia KovacsUr!
Kicsit utánajártam a dolognak, és Ádámnak adok igazat.
Ha bejelentkezel, de nem lépsz ki a Kilépés gombbal, illetve ha ki is lépsz szabályosan, akkor ha nagyon szeretnél és rákeresel, találni fogsz körülbelül errefelé: E:Documents and Settings''teneved''Local SettingsTemporary Internet FilesContent.IE5OXUFS9EN egy illetve több file-t is, amiben igenis benne van a jelszavad. Csak egyet emelek ki példának: rios2_uzenetek[2].php. A tartalmából egy pár sort idevágok:
...
<a class=temacim>Név:</a> <input type=text name=uname size=12 maxlength=20 value=''tsibe''> <br>
<a class=temacim>Kód:</a> <input type=password name=upass size=12 maxlength=20 value=''(és itt bizony a jelszavam van...)''> <br>
...
Ádám, a megoldás ez ellen lehet például az, hogy üríted a cache-t, miután befejezted a netezést a netcaféban (Delete all offline content is legyen bepipálva).
Off
Csak én vagyok ennyire naiv, és csak én gondolom azt, hogy ugyan kit érdekelhet a jelszavam? Ki volna hajlandó ennyire belemászni az IE cache-ébe, hogy megtudja, hogy hogy tud a nevemben a PH-ra belépni? Kit érdekel? Vagy nem? Azt hiszem túl naiv vagyok...
On
Aktív témák
- AKCIÓ! DDR5 GAMER PC: Intel Core Ultra 5 225F/245K +RTX 5050/5060/5070/Ti +16-64GB DDR5! GAR/SZÁMLA!
- OnePlus 12 5G 256GB 12GB RAM
- AKCIÓ! GAMER PC: Intel Core Ultra 7 265KF +RX 6600/6700XT/6800/9060XT/9070 +16-64GB DDR5! GAR/SZÁMLA
- Zealot s79 100w 1hónapos eladó kíváloan szól jó mélyek az ár fix !!!!!
- Playstation Pulse 3D
- Microsoft Surface Laptop 5 13.5" i5-1245U 16GB 512GB 1év garancia
- Bomba ár! Dell Precision 5530 - i7-8850H I 16GB I 512SSD I 15,6" FHD I P1000 I Cam I W11 I Gari!
- 3DKRAFT.HU - 3D NYOMTATÁS - AZONNALI ÁRAJÁNLAT - GYORS KIVITELEZÉS - 490+ POZITÍV ÉRTÉKELÉS
- AKCIÓ! Microsoft Surface 5 13,5 notebook - i5 1235U 8GB RAM 256GB SSD Intel Iris Xe IGP 27% áfa
- Bomba ár! Lenovo ThinkPad X240 - i5-4GEN I 8GB I 256SSD I 12,5" HD I Cam I W10 I Garancia!
Állásajánlatok
Cég: FOTC
Város: Budapest