El preocupante fallo de ayer del servidor de burbuja

xY_MWM _Yx · 2012-08-31T16:48:19+0200

dionbouton dijo:
no es tan sencillo .

Las cuentas de usuario estan almacenadas en una base de datos mysql o similar . Normalmente se almacentan

Nombre real
Nick
Email

y UN HASH MD5 De la contrasenna . Eso quiere decir que ni siquiera burbuja -o querido líder- o cualquiera que tuviese acceso a la bd podria saber tu contrasenna . No hay forma de sacarla desde la bd. es imposible.

**********

El login de burbuja es en http, así que el servidor de querido líder recibe el post en texto plano, vamos, que el líder puede saber tu contraseña real si le sale de las narices.

Gracias todo a aquel genio que decía que un login con https era innecesario.

Calculín · 2012-08-31T17:05:57+0200

xY_MWM _Yx dijo:
**********

El login de burbuja es en http, así que el servidor de querido líder recibe el post en texto plano, vamos, que el líder puede saber tu contraseña real si le sale de las narices.

Gracias todo a aquel genio que decía que un login con https era innecesario.

Que fuera por https no cambiaría mucho las cosas (Para querido líder)

Cui Bono · 2012-08-31T19:49:43+0200

Calculín dijo:
Que fuera por https no cambiaría mucho las cosas (Para querido líder)

Pues no, tienes razón.
Lo ideal sería que el login, en la parte del ususario) se hiciera con javaskript, con una función que mandara la contraseña hasheada.

Algo así como:
SERVER:
Planta una cokie con cadena aleatoria.

USUARIO:
hash( hash(contraseña) + cookkie)

SERVER:
lee hash(contraseña) de la base de datos para el usuario y hace un
hash( hash(contraseña) + cookkie).
Si coincide, planta la cookkie de sesión y la guarda en la base.

De esta forma no se enviaría la contraseña en texto plano cada vez que hacemos login, ni tampoco se enviaría el hash de la contraseña, por si hay ataques con tablas de doble entrada precalculadas.

Cui Bono · 2012-08-31T19:58:05+0200

Soy Serio dijo:
Tan simple como usar el mismo server de burbuja como proxy y acceder como root , es como si fueras el mismo localhost

localhost es un contexto, no un usuario.

No puedes ser root, ya que apache no corre como root, sino con uid:gid del usuario dueño del dominio. Esto evita que distintos usuarios puedan ejecutar php de otros dominios de otros usuarios. Al correr Apache con uid:gid de un usuario diferente y con máscara 0700 no puede leer los directorios de otros usuarios, ya que el sistema de permisos de archivos lo impide.

Irene Adler · 2012-08-31T21:14:13+0200

indenaiks dijo:
Pues no, tienes razón.
Lo ideal sería que el login, en la parte del ususario) se hiciera con javaskript, con una función que mandara la contraseña hasheada.

Algo así como:
SERVER:
Planta una cokie con cadena aleatoria.

USUARIO:
hash( hash(contraseña) + cookkie)

SERVER:
lee hash(contraseña) de la base de datos para el usuario y hace un
hash( hash(contraseña) + cookkie).
Si coincide, planta la cookkie de sesión y la guarda en la base.

De esta forma no se enviaría la contraseña en texto plano cada vez que hacemos login, ni tampoco se enviaría el hash de la contraseña, por si hay ataques con tablas de doble entrada precalculadas.

jorobar, Inde, no entiendo una cosa de lo que hablas pero acojona...:cook:

Buster · 2012-08-31T21:16:08+0200

Irene Adler dijo:
jorobar, Inde, no entiendo una cosa de lo que hablas pero acojona...:cook:

Esto te puede ayudar a entender el tema:

Rainbow table - Wikipedia, the free encyclopedia

El preocupante fallo de ayer del servidor de burbuja

xY_MWM _Yx

Madmaxista

Calculín

Madmaxista

Cui Bono

So far, so good

Cui Bono

So far, so good

Irene Adler

Madmaxista

Buster

Será en Octubre

Similar threads