Wordpress.com je priljubljen servis za brezplačno gostovanje blogov; glavni konkurent je Googlov blogger.com, pri nas pa tudi blog.siol.net.
Slo-Tech - Matt Mullenweg iz podjetja Automattic, ki upravlja s stranjo wordpress.com, je včeraj potrdil obsežen vdor v njihove strežnike. Napadalci naj bi dobili korenski (root) dostop, celotno izvorno kodo, bazo, gesla, ter api ključe za njihove aplikacije na Twitterju in Facebooku. Točen obseg škode, način vdora ter identiteto napadalcev še preiskujejo, so zapisali.
Wordpress.com je spletna stran za brezplačno gostovanje blogov (gosti npr. tudi Mikstonov blog), in jo je potrebno ločiti od wordpress.org, kjer je na voljo izvorna koda sistema Wordpress. S kodo naj bi bilo vse v redu, uporabniki gostovanja pa so pozvani, da zamenjajo svoja gesla, posebej če jih uporabljajo še kje drugje (npr. za e-pošto).
Eno laično vprašanje: Kako so lahko dobili gesla če pa kolikor jaz vem je praksa da se take stvari shranjujejo v zgoščeni obliki (sha1, md5 ... hash al kaj je že)? Ali pa obstaja metoda s katero lahko kljub temu pridobiš gesla pa jaz zdaj tukaj sprašujem gluposti?
Seveda z dictionary metodo in pa z poizkušanjem znakov, to je sicer dosti dolgotrajno. Če vzameš geslo v hash kodi prav tako lahko prideš not. Verjento pa so imeli kako res oreng luknjo, da jim je ratal!
Čakaj ti se gre samo za official server od wordpress bloga? ...kar pomeni, da se nekoga, ki ga ima nameščenega na lasten server to ne tiče... dokler nebo s podobnim vdorom nekdo vdrl še na naš strežnik
Še pred časom sem kolebal ali ga vzamem za CMS... no sedaj sem dobil jasen odgovor.
ADMIN/MOD: ko sem šel v fazo da pošljem sporočilo se trije vmes poslali sporočilo in očitno mi ga je postalo pred po teh treh userjih... poslal sem defacto samo enkrat.
Eno laično vprašanje: Kako so lahko dobili gesla če pa kolikor jaz vem je praksa da se take stvari shranjujejo v zgoščeni obliki (sha1, md5 ... hash al kaj je že)? Ali pa obstaja metoda s katero lahko kljub temu pridobiš gesla pa jaz zdaj tukaj sprašujem gluposti?
Da se. Lohk uporabiš precalculirane md5 tabele. Seveda ob pogoju da ne uporabljajo soli(salt).
Če so pa pridobili vrednost soli, pa lahko probavajo npr. napad s slovarjem s tem da morajo primerjati dobljene hash vrednosti. Res pa je da je taka metoda zelo počasna.
Tudi tukaj rabiš MITM oz. nek drug način za pridobitev hasha. Vendar zaradi različnega salta s tem ne moreš omogočiti vpogled v gesla drugih uporabnikov, ter dostop do drugih storitev s tem geslom.
Tvoj prvi post pravi da te zanima, dan kasneje te še vedno zanima, najbrž te bo tudi jutri in pojutrišnjem... Kaj če bi nehal nam trolat o tem in šel prebrat novice?
Će ti eden ni dovolj, potem kar povej, dobiš še kakšnega. Vprašanje je bilo kako, in ne ali se to da v wordpresu.
Če ti je dolgčas raje počni kaj pametnega, ne da se delaš pameten.
Ce pa gre za Wordpress. Kaj ti bo hash gesla od wordpress accounta, ce si z njim ne mores pomagati? V kaksni drugi situaciji bi ti hash recimo koristil. Tukaj so pa tako ali tako ze imeli dostop do baze in je to, da so imeli hashe cist brez veze.
Aja, pa ker se ze glih delam pameten, pridevnik si postavil v napacno obliko.