Ostatnio przypadkowo zoabaczyłem program uwaga na TVN o treści podanej w topicu. Troche mnie to zastanawia z tym śmiesznym hackerem, co on tam pokazał. Jakąś zmienną w php przechowującą dane i co z tego, ale jak może je pozyskać z czyjegoś komputera...tu mam link
http://uwaga.onet.pl/1,118,8,18160803,5098...00,0,forum.html
http://uwaga.onet.pl/1316301,archiwum.html
Pełna wersja: TVN-uwaga - "allegro oszustów"
przesadzaja 
tez widzialem ten program. niestety w polsce jest tak ze redaktorzy biora kogo popadnie na "ekspertow". taki przyklad dla gazety wyborczej wypowiadal sie klient ze strona radia maryja to majstersztyk (wchodzisz na wlasna odpowiedzialnosc ) a ze wiekszosc ludzi nie ma pojecia o technice, nie wszyscy sie tym interesuja. mnie bardziej zaskoczyla reakcja przedstawiciela portalu ktory nie zareagowal w zaden sposob na to tylko stwierdzil ze i tak takie osoby predzej czy pozniej zostana zlapane, dla mnie to bylo przyznanie sie do tego ze na allegro jest dziura i nie wiedza co z nia zrobic.
) a ze wiekszosc ludzi nie ma pojecia o technice, nie wszyscy sie tym interesuja. mnie bardziej zaskoczyla reakcja przedstawiciela portalu ktory nie zareagowal w zaden sposob na to tylko stwierdzil ze i tak takie osoby predzej czy pozniej zostana zlapane, dla mnie to bylo przyznanie sie do tego ze na allegro jest dziura i nie wiedza co z nia zrobic.
ale oni smieci daja do telewizji... a prawdziwe bledy pomijaja... jak by ktos chcial na upartego to mogl by sie wtoczyc do db allegro i wtedy bylo by fajnie ;]
OT: To sie wtocz skoro tak piszesz.
"na upartego" -- brute force? no pewnie ze by sie dalo.
ah... inaczej to wyglada... przykladowo allegro to dosc duzy servis.. troche kodu ma... troche scryptow... przykladowo widzialem tam kilka scryptow os.. bierzemy kodzik.. szukamy bledow... i jestesmy w domu... a znajac kilka 0 dayow na samo php ma sie 100% kontrole.. wiem co mowie [;
Cytat(cXIb8O3 @ 2006-03-06 08:08:03)
ah... inaczej to wyglada... przykladowo allegro to dosc duzy servis.. troche kodu ma... troche scryptow... przykladowo widzialem tam kilka scryptow os.. bierzemy kodzik.. szukamy bledow... i jestesmy w domu... a znajac kilka 0 dayow na samo php ma sie 100% kontrole.. wiem co mowie [;
Panie bzdury mówisz, bzdury,
zabezpieczenie allegro to nie tylko php a cała infrastruktura która mają na naprawde wysokim poziomie.
pzdr patS
Cytat(patrycjusz @ 2006-03-06 19:29:51)
Panie bzdury mówisz, bzdury,
zabezpieczenie allegro to nie tylko php a cała infrastruktura która mają na naprawde wysokim poziomie.
pzdr patS
zabezpieczenie allegro to nie tylko php a cała infrastruktura która mają na naprawde wysokim poziomie.
pzdr patS
nom z tym sie nie zgodze ale wolny kraj i kazdy ma swoje zdanie.. ;] pozdro
@cXIb8O3: Możesz sobie pisać co chcesz o allegro, czy innej stronie. Ale póki nie podasz jakiegoś dowodu to nie dziw się że spotkasz się z niedowierzaniem, sceptycyzmem co najmniej.
Co do skryptów os (rozszyfrowuje to jako Open Source) to wcale nie znaczy to o braku zabezpieczeń, czy czymś podobnym. Ale o tym że programiści z allegro już mają plusa, bo nie próbują wywaarzać otwartych dzwi.
Dodam jeszcze że bezpieczny skrypt to taki do którego nie da się dobrać z zewnątrz, a nie taki do którego nie wiadomo jak się dobrać. Open Source to "uwolnione" żródła, w których czasem nawet tysiące ludzi szukają błedów, exploitów etc. Tyle par oczu łatwiej znajdzie buga, niż wąskie grono wtajemniczonych.
Poza tym jak dotad nie slyszałem o żadnym włamie na allegro spowodowanym błędami w systemie. A z kolei głupota i naiwność ludzka potrafi zniweczyć wszelkie zabezpieczenia i z włamem tym włąsnie spowodowanym to pewnie nie raz się każdy z nas spotka.
Co do skryptów os (rozszyfrowuje to jako Open Source) to wcale nie znaczy to o braku zabezpieczeń, czy czymś podobnym. Ale o tym że programiści z allegro już mają plusa, bo nie próbują wywaarzać otwartych dzwi.
Dodam jeszcze że bezpieczny skrypt to taki do którego nie da się dobrać z zewnątrz, a nie taki do którego nie wiadomo jak się dobrać. Open Source to "uwolnione" żródła, w których czasem nawet tysiące ludzi szukają błedów, exploitów etc. Tyle par oczu łatwiej znajdzie buga, niż wąskie grono wtajemniczonych.
Poza tym jak dotad nie slyszałem o żadnym włamie na allegro spowodowanym błędami w systemie. A z kolei głupota i naiwność ludzka potrafi zniweczyć wszelkie zabezpieczenia i z włamem tym włąsnie spowodowanym to pewnie nie raz się każdy z nas spotka.
Cytat(sztosz @ 2006-03-06 21:44:16)
Co do skryptów os (rozszyfrowuje to jako Open Source) to wcale nie znaczy to o braku zabezpieczeń, czy czymś podobnym. Ale o tym że programiści z allegro już mają plusa, bo nie próbują wywaarzać otwartych dzwi.
Dodam jeszcze że bezpieczny skrypt to taki do którego nie da się dobrać z zewnątrz, a nie taki do którego nie wiadomo jak się dobrać. Open Source to "uwolnione" żródła, w których czasem nawet tysiące ludzi szukają błedów, exploitów etc. Tyle par oczu łatwiej znajdzie buga, niż wąskie grono wtajemniczonych.
Dodam jeszcze że bezpieczny skrypt to taki do którego nie da się dobrać z zewnątrz, a nie taki do którego nie wiadomo jak się dobrać. Open Source to "uwolnione" żródła, w których czasem nawet tysiące ludzi szukają błedów, exploitów etc. Tyle par oczu łatwiej znajdzie buga, niż wąskie grono wtajemniczonych.
nie chce oczerniac allegro etc ale kiedys tam patrzylem i przypadkowo zobaczylem troche kodu os... moim zdaniem lepiej sie czlowiek czuje bezpiecznym jesli samemu sie napisze jakis scrypt niz zainwestuje w OS (z calym szacunkiem dla OS) Ja osobiscie dawalem rade takim scryptom jak phpbb, phpnuke, phpmyadmin etc... nie mowiac juz o samym php.
Balbym sie wsadzic jakis os owy script na server bo wiem ze to nie jest doskonale tak jak wszystko. Problem w tym, ze kod jest otwarty i mozna probowac cos osiagnac... co innego jak kod jest zamkniety.. bo wtedy nie zna sie calego mechanizmu wiec trudniej przeprowadzic atak. Oczywiscie mozna probowac innaczej zabezpieczac os owe scripty ale to i tak nieda tego samego co wlasny 1000 razy przeleciany script.
Oficjalnie nie uslyszysz o jakis dobrych przekretach bo sa one w zasadzie zewzgledu na swoja specyfike niewykrywane. Pozatym takie serivsy niechca otym pisac i robic zadymy bo same natym traca..
Cytat(cXIb8O3 @ 2006-03-06 23:05:53)
Oficjalnie nie uslyszysz o jakis dobrych przekretach bo sa one w zasadzie zewzgledu na swoja specyfike niewykrywane. Pozatym takie serivsy niechca otym pisac i robic zadymy bo same natym traca..
To daj jakieś nieoficjalne info
Tak jak pisalem: "Żądam dowodów, nie obietnic" Co do skryptów OS, to żeczywiście jest cała masa skryptów nie do końca bezpiecznych, w których jest troche bugów. Ale jak się rozejrzeć to wychodzi ze często jest mało znana bezpieczniejsza alternatywa.
Poza tym pytanie nalezy zadać: "Co rozumiemy przez bezpieczeństwo?". Dla jednych to jest tylko niemożność wykradzenia danych, a dla innych także stabilność itp.
Kwestia też tego jak wielka to jest aplikacja. Jezeli to jest zbitek kilku, kilkunastu niewielkich klas to też wole samemu to zrobić, albo chociaż przepisać jakąś Open Sourceową aplikację. Ale kiedy mam do czynienia z naprawdę dużą (jakdla mnie
"duży" to badzo względne okreslenie) aplikacją to staram sie wybrać coś sprawdzonego.Moze to kwestia tego że php to na razie dla mnie ciągle Hobby, a może dlatego że na razie pisalem wszystko sam. Być może za kilka lat teżnikomu nie bede ufał
Cytat(sztosz @ 2006-03-07 02:00:35)
To daj jakieś nieoficjalne info Tak jak pisalem: "Żądam dowodów, nie obietnic"
Co do skryptów OS, to żeczywiście jest cała masa skryptów nie do końca bezpiecznych, w których jest troche bugów. Ale jak się rozejrzeć to wychodzi ze często jest mało znana bezpieczniejsza alternatywa.
Tak jak pisalem: "Żądam dowodów, nie obietnic" Co do skryptów OS, to żeczywiście jest cała masa skryptów nie do końca bezpiecznych, w których jest troche bugów. Ale jak się rozejrzeć to wychodzi ze często jest mało znana bezpieczniejsza alternatywa.
Kazdy by chcial. Tylko jak bym co kolwiek publiknol musial bym autorow poinformowac aby nie miec przypalu.. pozatym ja wiem swoje i mi to wystarcza ;]
Nie ma scryptow idealnych. Np takie phpbb.. niby juz tak przetrzepane ale jak by posiedziec pol roczku to mozna by cos znalesc.. ;] jeszcze mam kilka niepubliknietych bledow ale je se zostawie priv. I uzyj teraz se phpbb... ;]
to co jest wadą os (z punktu widzenia bezpieczeństwa), czyli otwartość, może też być zaletą. sam mitnick powiedział, że woli wyszukiwać dziur w os, bo łatwiej, ale z drugiej strony takie skrypty często bywają lepiej zabezpieczone od zamkniętych, ponieważ ma wgląd do nich wielu programistów. jak piszesz sam bardzo łatwo ci coś przeoczyć. gdy do skryptu zajrzy kilkudziesięciu różnych programistów sprawa wygląda o wiele lepiej...
mały OT sie zrobil ale co tam 
w OS jest przeklenstwem i zbawieniem bla bezpieczenstwa wszystko zalezy od tego jaki zespol nad tym pracuej
z jednej strony jest to ze setki czy tysiace ludzi przegladaja kod no i teraz zalezy kim sa bo moga o tym powiadmic grupe prowadzaca lub tez nie wczesniej czy pozniej ktos ten blad zauwazy ale do tego czasu "gagatek" moze troche "narozrabiac"
oprogramowanie zamkniete ma to do siebi, ze trudniej te bledy znalezc ze wzgledu na wiadome ograniczenia.
z jednej strony mamy takie phpbb i opinie jaka sobie wyrobilo i np. systemy operacyjne (windows vs. Linux czy *BSD)
a co do samego allegro to wydaje mi sie ze tak powazna firma dokonuje zmian w samym kodzie zrodlowym php, przekompilowuja to by dostosowac do wlasnych potrzeb, serwer to tez nie jeden komp pracujacy w piwnicy na ktorym dziala apache, baza danych i ftp
w OS jest przeklenstwem i zbawieniem bla bezpieczenstwa wszystko zalezy od tego jaki zespol nad tym pracuej z jednej strony jest to ze setki czy tysiace ludzi przegladaja kod no i teraz zalezy kim sa
bo moga o tym powiadmic grupe prowadzaca lub tez nie wczesniej czy pozniej ktos ten blad zauwazy ale do tego czasu "gagatek" moze troche "narozrabiac"oprogramowanie zamkniete ma to do siebi, ze trudniej te bledy znalezc ze wzgledu na wiadome ograniczenia.
z jednej strony mamy takie phpbb i opinie jaka sobie wyrobilo i np. systemy operacyjne (windows vs. Linux czy *BSD)
a co do samego allegro to wydaje mi sie ze tak powazna firma dokonuje zmian w samym kodzie zrodlowym php, przekompilowuja to by dostosowac do wlasnych potrzeb, serwer to tez nie jeden komp pracujacy w piwnicy na ktorym dziala apache, baza danych i ftp
Cytat(Kinool @ 2006-03-07 13:26:43)
z jednej strony mamy takie phpbb i opinie jaka sobie wyrobilo i np. systemy operacyjne (windows vs. Linux czy *BSD)
a co do samego allegro to wydaje mi sie ze tak powazna firma dokonuje zmian w samym kodzie zrodlowym php, przekompilowuja to by dostosowac do wlasnych potrzeb, serwer to tez nie jeden komp pracujacy w piwnicy na ktorym dziala apache, baza danych i ftp
a co do samego allegro to wydaje mi sie ze tak powazna firma dokonuje zmian w samym kodzie zrodlowym php, przekompilowuja to by dostosowac do wlasnych potrzeb, serwer to tez nie jeden komp pracujacy w piwnicy na ktorym dziala apache, baza danych i ftp
nom ale chcesz czy nie.. poziom bezpieczenstwa w phpbb jest wysoki... ja siedzialem prawie pol roku zanim cos rozkminilem.. latwiej stuknac inne tego podobne. phpbb jest popularne i duzo osob to juz przelecialo pozatym kazdy jakis buger chce znalesc bledy w phpbb bo to luxusus sie zrobil...
Nom powazna. Ale co wiesz o allegro? Ja smiem twierdzic iz latwo tam by bylo zdobyc php sehlla a pozniej to juz zgorki... wszystko jest mozliwe..
A ja uważam, że wcale nie byłoby to takie proste. Nie wiesz jak wygląda kod od wewnątrz, nie wiesz jak on jest zorganizowany. Oczywiście, zawsze możesz próbować różnych metod, ale moim zdaniem nie jest to takie proste.
Mam pytanie czy jak się loguje przez SSL to rzeczywiście jest bezpiecznie? Przecież można rozszyfrować kod...mniej więcej wiem na czym polega szyfrowanie ale nigdy się z tym nie bawiłem...
Dzieki SSL nie jestes narazony (a przynajmniej w duzo wiekszym stopniu nie jestes niz podczas nieszyforowanego polaczenia) na mozliwosc odczytu danych, ktore przesylasz przez jakis program sniffujacy pakiety w sieci.
Tak wiec podajac kod nie wysylasz go do serwera jako czysty tekst, ale jako zakodowany ciag znakow - nawet jezeli ktos go przechwyci nie bedzie w stanie go rozszyfrowac (pewnie juz niedlugo sie to zmieni ale poki co mozna byc spokojnym).
Tak wiec, tak... samo w sobie, jest to bezpieczne.
Tak wiec podajac kod nie wysylasz go do serwera jako czysty tekst, ale jako zakodowany ciag znakow - nawet jezeli ktos go przechwyci nie bedzie w stanie go rozszyfrowac (pewnie juz niedlugo sie to zmieni ale poki co mozna byc spokojnym).
Tak wiec, tak... samo w sobie, jest to bezpieczne.
wszystko zalezy od protokolu a to pociaga za soboa uzyty klucz stare klucze 128-256 bitowe sa uwazane za "przestazale" udalo sie je zlamac ale zwykly smiertelnik by musial bardzo dluuuugo to robic klucze 521 czy 1024 sa uznawane za bezpiecznie i raczej bardzo trudne do zlamania, aby tego dokonac w rozsadnym czasie potrzeba by bylo niesamowicie wydajna maszyna obliczniowa
klucze 521 czy 1024 sa uznawane za bezpiecznie i raczej bardzo trudne do zlamania, aby tego dokonac w rozsadnym czasie potrzeba by bylo niesamowicie wydajna maszyna obliczniowa
jak ktoś nie wierzy jak to mozliwe to zapraszam na:
http://hacking.pl/6347
to właśnie oni odkryli te błędy i je opublikowali (oczywiście nie sposób "jak to się robi"). na tej stronie jest opisane jak to zrobili. teraz podają te informacje jak allegro już się poprawiło. jest to tylko dowód na to, że nic nie jest bezpieczne i jak ktoś chce (i umie) to znajdzie to co mu potrzebne
http://hacking.pl/6347
to właśnie oni odkryli te błędy i je opublikowali (oczywiście nie sposób "jak to się robi"). na tej stronie jest opisane jak to zrobili. teraz podają te informacje jak allegro już się poprawiło. jest to tylko dowód na to, że nic nie jest bezpieczne i jak ktoś chce (i umie) to znajdzie to co mu potrzebne
http://www.room-303.com/blog/2006/12/21/ha...w-flexopartner/ - a oto smutna prawda o tym co w TVN pokazuja ;-)
Cytat(hwao @ 5.03.2006, 16:47:42 ) 
przesadzaja
Oni nie przesadzaja. Mnie tez oszukali i pojechali, a sladu po nich nie ma. Zglosilem do allegro i nic z tego nie mialem, nbo kolesie z kasa pojechali za granice.
Każdy ma pecha 
Zawsze znajdzie się czarna owca.
Zawsze znajdzie się czarna owca.
Witam !
Może to słynny ostatnio kolega gorion
Pozdrawiam
Darektbg
Może to słynny ostatnio kolega gorion
Pozdrawiam
Darektbg
On jest zbyt powszechnie kojarzoną osobą w kraju :/
Wracając do tematu. Nie tylko TVN robi takie wałki. Niedawno widziałem w TVP fragment krótkiego reportażu. Nie wiem jaki był jego tytuł, ani jaki cel przyświecał autorom. Pokazywali jakieś ciemne pomieszczenia, w kŧórych młodzi ludzie siedzieli przy komputerach i używali systemu Li[piiiiii]x. Była pokazana konsola i jakieś dziwne znaczki latające po niej - zapewne kompilacja jakiegoś programu : ). Jakiś kumaty informatyk próbował wytłumaczyć, czym jest system Li[piiiiii]x i że nie jest niczym złym. Ciągle jednak pokazywano jakieś rodem z filmu o hakerach komendy (chyba ls i netstat). Pomine resztę kwiatków milczeniem, bo puenty każdy może się domyślić. Mnie tu zastanawia zupełnie inna rzecz, a mianowicie system Li[piiiiii]x, którego nazwa jak już zauważyliście została przez twórców reportażu wypikana. Podobnie nazwa KDE (ooopss K[piiii]). Rozśmieszyło mnie to do łez. Krótko jednak trwał ten stan - parę dni temu w Teleexpressie zaprezentowano wszem i wobec, że oto firma Microsoft w styczniu wyda nową wersje systemu Windows pod nazwą Windows Vista. Do tego piękne kolorowe najazdy na pulpit tego OS'u i ciepłe słowo o IE 7.
Ktoś im zapłacił? Wątpię - dla nich to news, tak samo jak dla nas każda nowa wersja php - narzędzie pracy.
Teraz małe odejście od meritum - Temat: Nadety informatyk
Skoro już po lekturze : P, to ja się tu podłączę i do obu tematów napisze.
Jeśli społeczeństwo jest świadomie wprowadzane w błąd w kwestii bezpieczeństwa danych, internetu, ma wypaczony przez laickie media obraz świata komputerów i oprogramowania, to ciężko jest informatykowi nie patrzeć z poirytowaniem na niektóre wypowiedzi, czy nawet całe teorie. Zaryzykuje stwierdzenie, że najbardziej zbliżone reakcje mają lekarze. Wiele jest alternatywnych metod leczenia, które wywołują uśmiech politowania na twarzy lekarza. Przyjrzyjcie się skrajnym teoriom na temat HIV, a konkretnie na to, kto "łapie", kto nie łapie i jak się można zarazić. Lekarze grzmią!... a i tak ludzie swoje - ile można?
Pozdrawiam.
Ktoś im zapłacił? Wątpię - dla nich to news, tak samo jak dla nas każda nowa wersja php - narzędzie pracy.
Teraz małe odejście od meritum - Temat: Nadety informatyk
Skoro już po lekturze : P, to ja się tu podłączę i do obu tematów napisze.
Jeśli społeczeństwo jest świadomie wprowadzane w błąd w kwestii bezpieczeństwa danych, internetu, ma wypaczony przez laickie media obraz świata komputerów i oprogramowania, to ciężko jest informatykowi nie patrzeć z poirytowaniem na niektóre wypowiedzi, czy nawet całe teorie. Zaryzykuje stwierdzenie, że najbardziej zbliżone reakcje mają lekarze. Wiele jest alternatywnych metod leczenia, które wywołują uśmiech politowania na twarzy lekarza. Przyjrzyjcie się skrajnym teoriom na temat HIV, a konkretnie na to, kto "łapie", kto nie łapie i jak się można zarazić. Lekarze grzmią!... a i tak ludzie swoje - ile można?
Pozdrawiam.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.