За последние 24 часа нас посетили 62392 программиста и 1758 роботов. Сейчас ищут 880 программистов ...

У нашего конкурента стыбзили базу, срочно меняйте пароль у нас!

Тема в разделе "Беседы", создана пользователем HeavyLady, 30 мар 2017.

  1. HeavyLady

    HeavyLady Новичок

    С нами с:
    7 дек 2016
    Сообщения:
    11
    Симпатии:
    4
    Собстна, вот. Не так давно на одном форуме появилось сообщение подобного рода, что, мол, корабль конкурентов тонет, там пароли воруют, так чтобязательно меняйте их тут, если они совпадают. Вот я и подумал, а как вообще стыбженная база с хэшами паролей угрожает безопасности другого?
    Или это всё обман, чтобы набрать классы? :eek:
    Может я с темой-то и промазал, но вы же меня простите, да?
     
  2. acho

    acho Активный пользователь

    С нами с:
    28 дек 2016
    Сообщения:
    854
    Симпатии:
    210
    Адрес:
    Санкт-Петербург
    Имеется в виду у клиента может быть одинаковый пароль и у вас, и у конкурентов?
    Тогда лучше пусть посетители меняют пароли, да.
    Зависит от того, как пароли хранит конкурент. Если простой хэш md5, то уже довольно с большой долей вероятностью можно подобрать пароль по хэшу. Таблиц уже достаточно. Я уж не говорю, если пароль просто открытый лежит.
     
  3. HeavyLady

    HeavyLady Новичок

    С нами с:
    7 дек 2016
    Сообщения:
    11
    Симпатии:
    4
    Ать, а такое вообще ещё встречается? Сайты оба современные, я бы со стула упал и описался, если бы увидел md5 на современном сайте.

    Ать, а такое вообще возможно?
    Ну скажем, что откровенной дичи скорее всего нет. Скорее всего пароли в нормальном хэше. В этом случае же никакой опасности нет, верно?

    Я в вебе совсем чуть-чуть, простите за банальщину.
     
  4. acho

    acho Активный пользователь

    С нами с:
    28 дек 2016
    Сообщения:
    854
    Симпатии:
    210
    Адрес:
    Санкт-Петербург
    если пользуются нормальным password_hash(), то в принципе нет. Там хороший хэш.
    А md5 да, ещё используют. Я даже видел уникумов, которые и новые проекты с ним пишут. Я могу без стеснения сказать: "Я видел некоторое дерьмо" =D
     
    HeavyLady нравится это.
  5. Fell-x27

    Fell-x27 Суперстар
    Команда форума Модератор

    С нами с:
    25 июл 2013
    Сообщения:
    12.156
    Симпатии:
    1.771
    Адрес:
    :сердА
    Ты плохо себе представляешь границы возможного. Если проект снаружи выглядит как современный, то это заслуга дизайнеров, и, к тому, что под капотом, никакого отношения не имеет. Там может твориться ад и содомия любого уровня розлива. Если у конкурента смогли слить базу, то это уже звоночек, что там были проблемы с подходом к безопасности.
     
    HeavyLady нравится это.
  6. HeavyLady

    HeavyLady Новичок

    С нами с:
    7 дек 2016
    Сообщения:
    11
    Симпатии:
    4
    Господа, мне срочно нужно в уборную. Вымою лицо, посмотрю печально в зеркало, покиваю головой.
    Спасибо за ответы.
     
    mahmuzar нравится это.
  7. mahmuzar

    mahmuzar Старожил

    С нами с:
    6 апр 2012
    Сообщения:
    4.631
    Симпатии:
    425
    Адрес:
    РД, г. Махачкала.
    @Fell-x27, напомнил одину подработку. Снаружи сайтец был очень крутой. Когда мне дали удаленку... Вот там началось настоящее веселье. Видно было, что не один программист приложил руку к этому чуду.:D
     
    denis01 нравится это.
  8. Amperandus

    Amperandus Активный пользователь

    С нами с:
    13 мар 2009
    Сообщения:
    226
    Симпатии:
    11
    некропост конечно, но отпишусь - я видел проброс 22 порта на сервер бд не самого мелкого банка из интернета, т.к. админу надо было зайти из дома, а безопасники кроме видеонаблюдения ничего не смотрели. это самый дикий косяк там был, а еще пара возов поменьше, в общем пришлось всю структуру переделывать с 0 практически.
     
  9. igordata

    igordata Суперстар
    Команда форума Модератор

    С нами с:
    18 мар 2010
    Сообщения:
    32.408
    Симпатии:
    1.768
    если ты считаешь 22 порт косяком, то объясни почему, пожалуйста. Или кто-то действительно верит, что если сменить порт, то это как-то поможет?
     
  10. Amperandus

    Amperandus Активный пользователь

    С нами с:
    13 мар 2009
    Сообщения:
    226
    Симпатии:
    11
    не 22 порт косяк. косяк вообще открытый любой порт из внутренней сети наружу. есть стандарты, есть дмз зоны, причем разные для разных сетей, есть закрытая сеть с базой данных, отделенная даже от внутренней сети, а тут в эту сеть из интернета прямой доступ открыт. Его не должно быть в принципе, но если очень хочется то поднимается vpn сервер или какая нит cisco asa используется с двух факторной аутентификацией и дальнейшем доступом к серверу, хотя повторюсь это по идее запрещено в принципе.
     
  11. igordata

    igordata Суперстар
    Команда форума Модератор

    С нами с:
    18 мар 2010
    Сообщения:
    32.408
    Симпатии:
    1.768
    в чем косяк-то?
     
  12. Amperandus

    Amperandus Активный пользователь

    С нами с:
    13 мар 2009
    Сообщения:
    226
    Симпатии:
    11
    я вроде написал :) 22 порт напрямую пробрасывался на сервер бд. т.е. обращаешься на 22 порт интернет адреса банка и попадаешь на его базу данных
    --- Добавлено ---
    кстати говоря про 22 порт и его смену. на 22 порт сыпется просто огромное количество попыток подключения, в основном с Китая. я хз кто там тренируется в таких масштабах, но на другие порты долбиться не пытаются :)
     
  13. igordata

    igordata Суперстар
    Команда форума Модератор

    С нами с:
    18 мар 2010
    Сообщения:
    32.408
    Симпатии:
    1.768
    я всё равно не понимаю. я не вижу проблемы. Есть куча серверов в интернете с вааажными данными. и их порты смотрят в интернет. все порты. Базы данных, веб, ссш, докеры и прочее - все смотрят в интернет. И живут.

    Так в чем проблема?
    --- Добавлено ---
    ну ок, от тупороботов можно закрыться просто отлупами сменив порт. от всех остальных - сертификатами вместо паролей. и всё, вопрос решён? можно жить с портами, смотрящими в инет? или нельзя? В чем проблема порта, который смотрит в инет?
     
  14. Amperandus

    Amperandus Активный пользователь

    С нами с:
    13 мар 2009
    Сообщения:
    226
    Симпатии:
    11
    в стандартах. и их несоблюдение ведет к потере до 4 млн $. это из последней партии так сказать.
     
  15. igordata

    igordata Суперстар
    Команда форума Модератор

    С нами с:
    18 мар 2010
    Сообщения:
    32.408
    Симпатии:
    1.768
    т.е. аргументов не будт?
    просто страшно и ай-ай-ай?
    я ж привёл пример - есть миллионы серверов в инете с базами данных, которые содержат важные данные и смотрят в мир. И норм. Что не так с ними?
     
  16. Amperandus

    Amperandus Активный пользователь

    С нами с:
    13 мар 2009
    Сообщения:
    226
    Симпатии:
    11
    error.png
    --- Добавлено ---
    с ними не так то что они нахрен никому не нужны и не более того
     
  17. Chushkin

    Chushkin Активный пользователь

    С нами с:
    17 дек 2010
    Сообщения:
    1.062
    Симпатии:
    91
    Адрес:
    Мещёра, Центр, Болото N3
    Бред.
    Не хорошо обманывать людей.
    --- Добавлено ---
    100%
    Люди наслушаются страшилок и потом боятся собственной тени.
    Или нарвутся на одного раздолбая, который дал общий доступ к БД, и возводят это в систему без напряга извилины.
     
  18. TeslaFeo

    TeslaFeo Старожил

    С нами с:
    9 мар 2016
    Сообщения:
    2.984
    Симпатии:
    759
    для меня вообще загадка, как можно получить дамп бд.
    Инъекция еще +- понятно как работает, но дамп как можно скачать. Это же что-то из ряда вон.
     
  19. Zuldek

    Zuldek Старожил

    С нами с:
    13 май 2014
    Сообщения:
    2.381
    Симпатии:
    344
    Адрес:
    Лондон, Тисовая улица, дом 4, чулан под лестницей
    mysqldump как же еще :), набор ссылочек на сшитые дампы отдавае с веб-морды куда-то наружу, для целей дев-команды какой-нибудь или админа.
    Почту взять с авторизей в репозитории, конфлюенс со всеми паролями и учетками от инрфраструктуре. Все это означает практически всегда прямой доступ к базе. Очень редко где на практике встречал разграничение доступа к хостам по ip-диапазаонам, чтобы например конектится к серверу с бд можно только из апсерверов или локальной сети команды разработчиков.

    А по банкам там да все строго. Если это системы вроде ЕРКЦ или офисов ЦБ то там сети изолированные от внешки в принципе и никакие пробросы там невозможны никуда физически.
     
    #19 Zuldek, 20 апр 2017
    Последнее редактирование: 20 апр 2017
    TeslaFeo нравится это.
  20. Chushkin

    Chushkin Активный пользователь

    С нами с:
    17 дек 2010
    Сообщения:
    1.062
    Симпатии:
    91
    Адрес:
    Мещёра, Центр, Болото N3
    Никак, если хеши делаются правильно.
    А если предположить, что сообщение правдивое (т.е. стырили именно пароли), то хранились они или в открытом виде или хеши были неправильные.
    Неправильно: md5(пароль)
    Правильно: md5(строка). Где строка, например такая: пароль . соль (соль = строка/константа из случайных символов длиной > 15-20 символов)
     
  21. denis01

    denis01 Суперстар
    Команда форума Модератор

    С нами с:
    9 дек 2014
    Сообщения:
    12.227
    Симпатии:
    1.714
    Адрес:
    Молдова, г.Кишинёв
    уже не правильно,
    правильно password_hash(пароль) функция сама генерирует соль, проверять через password_verify()

    https://habrahabr.ru/post/194972/
    https://secure.php.net/manual/ru/function.password-hash.php
     
  22. Zuldek

    Zuldek Старожил

    С нами с:
    13 май 2014
    Сообщения:
    2.381
    Симпатии:
    344
    Адрес:
    Лондон, Тисовая улица, дом 4, чулан под лестницей
    Вопрос изначально некорректный. Если у тебя есть дамп базы то зачем тебе пароли если текущий сервис есть конечная точка взлома :)
    --- Добавлено ---
    Ну всегда есть последнее самое эффективное средства взлома: паяльник с админом. Но даже оно бессильно если у сети нет физического выхода на внешку. Тут только другие методы взломы с вайфай-точками подключенными к внутренней сети или прочими подключаемыми девайсами как в фильме хакер :)
     
    TeslaFeo нравится это.
  23. Chushkin

    Chushkin Активный пользователь

    С нами с:
    17 дек 2010
    Сообщения:
    1.062
    Симпатии:
    91
    Адрес:
    Мещёра, Центр, Болото N3
    Коллеги, я конечно понимаю, что сказки это здорово. Но, насколько мне известно, люди перестают в них верить в 7 лет. ;)
    --- Добавлено ---
    Ты ошибаешься. Мы уже 100 раз спорили/говорили об этом - поищи.
     
  24. Amperandus

    Amperandus Активный пользователь

    С нами с:
    13 мар 2009
    Сообщения:
    226
    Симпатии:
    11
    вайфай тоже запрещен :). хотели еще глушилки по этажам ставить - но по законодательству нельзя.
     
  25. Fell-x27

    Fell-x27 Суперстар
    Команда форума Модератор

    С нами с:
    25 июл 2013
    Сообщения:
    12.156
    Симпатии:
    1.771
    Адрес:
    :сердА
    Сторона, постулирующая тезис, выдвигает аргументы. Чем плох password_hash? Развернуто. Посылание в поиск приравнивается к "ой все". Слушаем твои доводы.
     
    acho, TeslaFeo и denis01 нравится это.