Forum » Informacijska varnost » Kako jim uspe vdreti na Facebook?
Kako jim uspe vdreti na Facebook?
DoberDan ::
Za začetek: Nikakor me to delo ne zanima in vsekakor ne iščem informacij, s katerimi bi začel z vdori.
Sem glede tega preveč neveden.
Ravno zato pa se mi je prej porajalo vprašanje, kako hudiča jim to uspe. Okej, da ti nekdo vdre v profil, potrebuje zgolj tvoje geslo. In če izključimo možnosti, da ti nekdo prevzame nadzor nad domačim računalnikom, kjer imaš geslo ali da je geslo tako logično, da ga uganejo ali da ti ukrade računalnik/mobitel/tablico - kakšna je torej sploh še možnost?
Sploh je?
Če se osredotočimo zgolj na golo ugotavljanje gesla - obstajajo kakšni programi, mehanizmi?
Razložite mi ;)
Pri sebi imam narejeno tako, da moram vtipkati 12 mestno geslo in če je pravilno, mi FB po smsu takoj poslje kodo, ki jo moram vtipkati v fb. Šele po teh dveh korakih sem prijavljen. To pa že je težje vlomljivo, ne? :)
Sem glede tega preveč neveden.
Ravno zato pa se mi je prej porajalo vprašanje, kako hudiča jim to uspe. Okej, da ti nekdo vdre v profil, potrebuje zgolj tvoje geslo. In če izključimo možnosti, da ti nekdo prevzame nadzor nad domačim računalnikom, kjer imaš geslo ali da je geslo tako logično, da ga uganejo ali da ti ukrade računalnik/mobitel/tablico - kakšna je torej sploh še možnost?
Sploh je?
Če se osredotočimo zgolj na golo ugotavljanje gesla - obstajajo kakšni programi, mehanizmi?
Razložite mi ;)
Pri sebi imam narejeno tako, da moram vtipkati 12 mestno geslo in če je pravilno, mi FB po smsu takoj poslje kodo, ki jo moram vtipkati v fb. Šele po teh dveh korakih sem prijavljen. To pa že je težje vlomljivo, ne? :)
ABX ::
Uporabnik dela neumnosti kot ponavadi.
Folk uporablja isto prijavo in geslo za 1000 različnih web strani, dovolj da ena nima urejene varnosti in je uporabnik zgubil dostop do vseh web strani ki uporablja isti login in password.
Folk uporablja isto prijavo in geslo za 1000 različnih web strani, dovolj da ena nima urejene varnosti in je uporabnik zgubil dostop do vseh web strani ki uporablja isti login in password.
Vaša inštalacija je uspešno spodletela!
DoberDan ::
Torej, želim vedeti, ne s kerimi programi, ampak po kakšnih principih in po kakšni logiki to počnejo. Želim sistematičen odgovor, da bom razumel, ker me stvar res grize. :)
Aha, okej to razumem. To je krivda uporabnikov samih. Ampak če vse to izključimo- se da ugotoviti geslo zgolj z nekim znanjem in tehnikami, brez povezav in logike zaradi uporabnikove nedoslednosti pri izbiri gesel ipd.?
Uporabnik dela neumnosti kot ponavadi.
Folk uporablja isto prijavo in geslo za 1000 različnih web strani, dovolj da ena nima urejene varnosti in je uporabnik zgubil dostop do vseh web strani ki uporablja isti login in password.
Aha, okej to razumem. To je krivda uporabnikov samih. Ampak če vse to izključimo- se da ugotoviti geslo zgolj z nekim znanjem in tehnikami, brez povezav in logike zaradi uporabnikove nedoslednosti pri izbiri gesel ipd.?
Zgodovina sprememb…
- spremenil: DoberDan ()
ABX ::
95% vdorov je na račun napake uporabnika.
Ostalih 5% pa je čaranje, in vsak primer je debata zase.
Ostalih 5% pa je čaranje, in vsak primer je debata zase.
Vaša inštalacija je uspešno spodletela!
shadeX ::
Torej, želim vedeti, ne s kerimi programi, ampak po kakšnih principih in po kakšni logiki to počnejo. Želim sistematičen odgovor, da bom razumel, ker me stvar res grize. :)
Uporabnik dela neumnosti kot ponavadi.
Folk uporablja isto prijavo in geslo za 1000 različnih web strani, dovolj da ena nima urejene varnosti in je uporabnik zgubil dostop do vseh web strani ki uporablja isti login in password.
Aha, okej to razumem. To je krivda uporabnikov samih. Ampak če vse to izključimo- se da ugotoviti geslo zgolj z nekim znanjem in tehnikami, brez povezav in logike zaradi uporabnikove nedoslednosti pri izbiri gesel ipd.?
Seveda obstaja in se mi je tudi že zgodilo. Zadeva: Keylogger..
Meizu ::
Phishing.
Sepravi, ti narediš isto spletno stran s pročeljem FBja in razpošlješ po mejlih izmišljeno novico, recimo, da je neka akcija na FBJu za kakšen like ali kaj podobnega. Sam ne daš linka original od FBja temveč tvojo stran. Sprogramiraš jo tako, da ob loginu naredi napakico recimo (kakšen error ali kaj takega, naj poskusi ponovno al neki, nakar jih redirektaš na originalno stran), namesto logina ob vpisu se pa tisti podatki, ki jih uporabnik vnese v tista dva okenca zabeležijo naprimer v nek tekst fajl. Ob koncu sezone si iz serverja preneseš dol tisti teskt, odpreš in sam prebereš user in pass.
Kaj je dobra fora tega? Če ne delaš na svojem računalniku tega ter uporabljš neresnične podatke te ne morejo prijeti, projekt je pa tako enostaven, da ga lahko realiziraš že z enim tednom učenja spletnega programiranja. Če ne še kaj prej.
Če sem povedal preveč, potem prosim mode, da ustrezno zmoderirajo moj post ali ga zbrišejo. Čeprav so tele stvari splošno znane.
Sepravi, ti narediš isto spletno stran s pročeljem FBja in razpošlješ po mejlih izmišljeno novico, recimo, da je neka akcija na FBJu za kakšen like ali kaj podobnega. Sam ne daš linka original od FBja temveč tvojo stran. Sprogramiraš jo tako, da ob loginu naredi napakico recimo (kakšen error ali kaj takega, naj poskusi ponovno al neki, nakar jih redirektaš na originalno stran), namesto logina ob vpisu se pa tisti podatki, ki jih uporabnik vnese v tista dva okenca zabeležijo naprimer v nek tekst fajl. Ob koncu sezone si iz serverja preneseš dol tisti teskt, odpreš in sam prebereš user in pass.
Kaj je dobra fora tega? Če ne delaš na svojem računalniku tega ter uporabljš neresnične podatke te ne morejo prijeti, projekt je pa tako enostaven, da ga lahko realiziraš že z enim tednom učenja spletnega programiranja. Če ne še kaj prej.
Če sem povedal preveč, potem prosim mode, da ustrezno zmoderirajo moj post ali ga zbrišejo. Čeprav so tele stvari splošno znane.
Zgodovina sprememb…
- spremenil: Meizu ()
technolog ::
Kaj je dobra fora tega? Če ne delaš na svojem računalniku tega ter uporabljš neresnične podatke te ne morejo prijeti,
Vedno so sledi. Ne zavajat folka.
Phantomeye ::
Sta dve možnosti. Vdor ali pa social engineering. Pri prvem potrebuješ tehnična znanja (in ranljivost Facebooka - v tem primeru.). Pri drugem pa je poudarek na psihološkem (hkrati pa tudi tehničnem). Torej človeka prepričat, da ti da geslo oz. informacijo, ki te bo do slednjega pripeljala (primer; odgovor na skrito vprašanje s običajnim pogovorom :))
Meizu ::
ABX ::
Torej, želim vedeti, ne s kerimi programi, ampak po kakšnih principih in po kakšni logiki to počnejo. Želim sistematičen odgovor, da bom razumel, ker me stvar res grize. :)
Uporabnik dela neumnosti kot ponavadi.
Folk uporablja isto prijavo in geslo za 1000 različnih web strani, dovolj da ena nima urejene varnosti in je uporabnik zgubil dostop do vseh web strani ki uporablja isti login in password.
Aha, okej to razumem. To je krivda uporabnikov samih. Ampak če vse to izključimo- se da ugotoviti geslo zgolj z nekim znanjem in tehnikami, brez povezav in logike zaradi uporabnikove nedoslednosti pri izbiri gesel ipd.?
Seveda obstaja in se mi je tudi že zgodilo. Zadeva: Keylogger..
Ampak keyloger je prišel na tvoj sistem zaradi tvoje napake. Če namesto tebe bi bil nek profesionalec se to ne bi zgodilo.
Phishing.
Sepravi, ti narediš isto spletno stran s pročeljem FBja in razpošlješ po mejlih izmišljeno novico, recimo, da je neka akcija na FBJu za kakšen like ali kaj podobnega. Sam ne daš linka original od FBja temveč tvojo stran. Sprogramiraš jo tako, da ob loginu naredi napakico recimo (kakšen error ali kaj takega, naj poskusi ponovno al neki, nakar jih redirektaš na originalno stran), namesto logina ob vpisu se pa tisti podatki, ki jih uporabnik vnese v tista dva okenca zabeležijo naprimer v nek tekst fajl. Ob koncu sezone si iz serverja preneseš dol tisti teskt, odpreš in sam prebereš user in pass.
Kaj je dobra fora tega? Če ne delaš na svojem računalniku tega ter uporabljš neresnične podatke te ne morejo prijeti, projekt je pa tako enostaven, da ga lahko realiziraš že z enim tednom učenja spletnega programiranja. Če ne še kaj prej.
Če sem povedal preveč, potem prosim mode, da ustrezno zmoderirajo moj post ali ga zbrišejo. Čeprav so tele stvari splošno znane.
Tudi to temelji na napaki uporabnika. Če vedno uporabiš https seje boš v primeru phisinga dobil opozorilo.
Vaša inštalacija je uspešno spodletela!
Zgodovina sprememb…
- spremenilo: ABX ()
dope1337 ::
Sam se moraš zavedati, da je pogoj za uporabo https-ja uporaba SSL enkripcije, ki seveda zahteva od podjetja nabavo namenskih strežnikov oz. računalnikov, katerih edina funkcija je enkripcija podatkov. Kar pa seveda terja začetne stroške nabave opreme, sama enkripcija zahteva čas - kar se prenese v poslovnem svetu v denar, stroški vzdrževanja, dodatna obremenitev zaposljenih ob kakšnem "hickupu", itd, itd, itd. Zato se podjetja zelo rada izogibajo SSL protokolu, vsaj v primerih kjer enkripcija ni zakonsko oz. moralno zahtevana.
Primer: Facebook je ob uvedbi SLL protokola uporabnike svojih storitev o tem le obvestil, ni jim pa protokola samega nastavil kot privzeto, temveč si ga je moral vsak posameznik nastaviti sam. (bodisi v nastavitvah ali pa je samo dodal https). Me zanima koliko uporabnikov FBja ta trenutek sploh uporablja SSL ...
Primer: Facebook je ob uvedbi SLL protokola uporabnike svojih storitev o tem le obvestil, ni jim pa protokola samega nastavil kot privzeto, temveč si ga je moral vsak posameznik nastaviti sam. (bodisi v nastavitvah ali pa je samo dodal https). Me zanima koliko uporabnikov FBja ta trenutek sploh uporablja SSL ...
"Everybody is a genius. But if you judge a fish by its ability to climb a tree
it will live its whole life believing that it is stupid."
-Albert Einstein
it will live its whole life believing that it is stupid."
-Albert Einstein
Zgodovina sprememb…
- spremenilo: dope1337 ()
Pesimist ::
Za začetek: Nikakor me to delo ne zanima in vsekakor ne iščem informacij, s katerimi bi začel z vdori.
Sem glede tega preveč neveden.
Ravno zato pa se mi je prej porajalo vprašanje, kako hudiča jim to uspe. Okej, da ti nekdo vdre v profil, potrebuje zgolj tvoje geslo. In če izključimo možnosti, da ti nekdo prevzame nadzor nad domačim računalnikom, kjer imaš geslo ali da je geslo tako logično, da ga uganejo ali da ti ukrade računalnik/mobitel/tablico - kakšna je torej sploh še možnost?
Sploh je?
Če se osredotočimo zgolj na golo ugotavljanje gesla - obstajajo kakšni programi, mehanizmi?
Razložite mi ;)
Pri sebi imam narejeno tako, da moram vtipkati 12 mestno geslo in če je pravilno, mi FB po smsu takoj poslje kodo, ki jo moram vtipkati v fb. Šele po teh dveh korakih sem prijavljen. To pa že je težje vlomljivo, ne? :)
omg lolz. Dvomim da koga koli zanima tovj facebook profil da si ga tak mocno zascito.
Glede nato kak je fasbuk zasciten in na njegov history bodo kar brez kode prisli v tvoj profil in podatkov. 90% vseh vdorov je izkoriscanje raznih luken v sistemu samem, ce izlocimo napake uporabnikov, in ne ugotvaljanje nakljucnih gesel pa ce imas 4 mestno al 20.
Zgodovina sprememb…
- spremenilo: Pesimist ()
Gosth64 ::
Če si preveč pameten pa se na vsak hotspot v ljubljani povežeš pa hodiš na fb, se nečudit ko ti spustijo en fajn MITM.
My mind is like DDR1, It's older, slower, and not really in use today.
Zgodovina sprememb…
- spremenil: Gosth64 ()
aljo558 ::
Mogoče je še boljša zadeva, da skriješ IP, če si povezan na kakšen javni internet. Obstaja pa ogromno programov že na pametnih telefonih.
ABX ::
Zato se uporablja https povezava.
A si že mogoče slišal za program sslstrip???
Ne, zna to fake-at prave SSL certifikate?
Vaša inštalacija je uspešno spodletela!
aljo558 ::
dope1337 ::
O čem sanjaš?
Sanjam o tem, da lahko vsak, ki ima 5 min. časa vdre že na facebook. Nažalost je tako. Govorim o sistemu android in programu ki snifa pišktoke.
Zdej nevem ka ti s tem misliš, ker se res slabo izražaš ... Jz osebno vzamem vdor na facebook kot dejanski vdor na facebookove strežnike, kar je uspelo malokiremu, pa še to so bli stručkoti, ki se cele dneve bavijo s podobnimi stvarmi.
Da bi kakšni "White hatsi" prišli do dostopa vseh podatkov še nisem zasledil (popravte me, če je temu tako).
Neki druga je, pa če ti nad uporabniki FBja vršiš socialni inženiring oz. phishing. To pa ni vdor, saj se vpišeš v facebook, kot vsak drug uporabnik ...
"Everybody is a genius. But if you judge a fish by its ability to climb a tree
it will live its whole life believing that it is stupid."
-Albert Einstein
it will live its whole life believing that it is stupid."
-Albert Einstein
VelikiTun ::
Pri vseh teh teorijah je hecno, kako nekateri domnevate, da ene par stričkov vsak dan pregleda nekaj deset ali sto tisoč profilov ljudi (naj se gre za obisk internetnih strani, nakupovalne navade, obisk javnih stranišč,...) in se nato odloči za nadlegovanje posameznikov. Pač, ker lahko.
Najbolje, da se preselite v džunglo, si na glavo poveznete aluminijasto kapo in živite s plesom okoli ognja. Aja, sateliti sežejo tudi tja.
Najbolje, da se preselite v džunglo, si na glavo poveznete aluminijasto kapo in živite s plesom okoli ognja. Aja, sateliti sežejo tudi tja.
dope1337 ::
Zakaj se vedno najde nek ekstremist pri popolnoma tehnični debati ...
Jaja, so strički v ozadju, delajo svašta ... Sam verjem, da če bodo že hotl vedit kej o teb, jim ne bo FB primarni naslov ... Plus tega, oni lahko pridejo do teh podatkov po legalni poti (z nalogom), ne pa s hekanjem ...
Jaja, so strički v ozadju, delajo svašta ... Sam verjem, da če bodo že hotl vedit kej o teb, jim ne bo FB primarni naslov ... Plus tega, oni lahko pridejo do teh podatkov po legalni poti (z nalogom), ne pa s hekanjem ...
"Everybody is a genius. But if you judge a fish by its ability to climb a tree
it will live its whole life believing that it is stupid."
-Albert Einstein
it will live its whole life believing that it is stupid."
-Albert Einstein
VelikiTun ::
Jasno, da FB ne ščiti zasebnosti, če pa folk sam objavlja vsak drobec svojega življenja in ga daje na vpogled širni javnosti.
dope1337 ::
Zakaj, bi kdorkoli mislil, da jim facebook ščiti podatke, če ti pa lepo piše v "pogojih uporabe", da si facebook lasti vse podatke, ki so bili kadarkoli shranjeni na njihovih strežnikih. Sej to ni nobena skrivnost. Je pa zakonsko prepovedana preprodaja teh podatkov (vkolikor je meni znano). Lahko jih pa koristijo za takšne in drugačne namene (raznorazne statistike ter najbolj za prilagajanje oglasov).
Tak, da ... nevem ka je to tak TABU, da so vbistvu tvoji podatki na facebooku javni ... a se nisi zarad tega prijavil na njega (če si se seveda)?
Edit: No ... ne piše glih lepo, je mal loopan, konec je pa isti :D
Tak, da ... nevem ka je to tak TABU, da so vbistvu tvoji podatki na facebooku javni ... a se nisi zarad tega prijavil na njega (če si se seveda)?
Edit: No ... ne piše glih lepo, je mal loopan, konec je pa isti :D
"Everybody is a genius. But if you judge a fish by its ability to climb a tree
it will live its whole life believing that it is stupid."
-Albert Einstein
it will live its whole life believing that it is stupid."
-Albert Einstein
Zgodovina sprememb…
- spremenilo: dope1337 ()
aljo558 ::
O čem sanjaš?
Sanjam o tem, da lahko vsak, ki ima 5 min. časa vdre že na facebook. Nažalost je tako. Govorim o sistemu android in programu ki snifa pišktoke.
Zdej nevem ka ti s tem misliš, ker se res slabo izražaš ... Jz osebno vzamem vdor na facebook kot dejanski vdor na facebookove strežnike, kar je uspelo malokiremu, pa še to so bli stručkoti, ki se cele dneve bavijo s podobnimi stvarmi.
Da bi kakšni "White hatsi" prišli do dostopa vseh podatkov še nisem zasledil (popravte me, če je temu tako).
Neki druga je, pa če ti nad uporabniki FBja vršiš socialni inženiring oz. phishing. To pa ni vdor, saj se vpišeš v facebook, kot vsak drug uporabnik ...
Sem ga malo polomil tukaj priznam, ko sem govoril o vdoru v facebook hehe. Govoril sem o aplikaciji s katero lahko prideš na facebook neznane osebe, čeprav nisi vpisal njegovega emaila in gesla. Se pravi, da vsak, ki je povezan na isto wlan dostopno točko kot jaz in je na facebooku mu lahko "vdrem" na facebook in spreminjam status, nalagam slike,..skratka vse razen spreminjanja gesla.
Zgodovina sprememb…
- spremenil: aljo558 ()
techfreak :) ::
Sicer ni to problem samo Facebooka, ampak tudi 95% ostalih spletnih strani. SSL se uporablja samo pri finančnih zadevah (banke, spletne trgovine) in pri servisni straneh (za urejanje strežnikov, podatkov o računu uporabnika). Vse ostale strani so pa ranljive.
jype ::
Jaz vedno uporabljam SSL (in nikoli facebooka), ampak to ni rešitev, če uporabnik kar klikne "JA JA VSEEN MI JE ZA CERTIFIKATE!" ko ga brskalnik opozori, da nekaj ne štima.
techfreak :) ::
Brskalniki so pa tako razred zase. Po njihovi logiki je spletna stran s self-signed certifikatom manj varna kot tista brez certifikata. Pač narobe svet.
Looooooka ::
No ampak ce ste ze najhujse scenarije ven privlekli.Man in the middle attack pa si lahko tud ssl v rit vtaknemo :)
techfreak :) ::
Ker? Pri uporabi client certifikata moraš ponarejati strežnik in odjemalca, pri strežniškem pa samo strežnik. Edini način je pridobitev certifikata za tujo domeno, kar pa ne bi smelo biti možno.
Gandalfar ::
kunigunda ::
Sam se moraš zavedati, da je pogoj za uporabo https-ja uporaba SSL enkripcije, ki seveda zahteva od podjetja nabavo namenskih strežnikov oz. računalnikov, katerih edina funkcija je enkripcija podatkov. Kar pa seveda terja začetne stroške nabave opreme, sama enkripcija zahteva čas - kar se prenese v poslovnem svetu v denar, stroški vzdrževanja, dodatna obremenitev zaposljenih ob kakšnem "hickupu", itd, itd, itd. Zato se podjetja zelo rada izogibajo SSL protokolu, vsaj v primerih kjer enkripcija ni zakonsko oz. moralno zahtevana.
Primer: Facebook je ob uvedbi SLL protokola uporabnike svojih storitev o tem le obvestil, ni jim pa protokola samega nastavil kot privzeto, temveč si ga je moral vsak posameznik nastaviti sam. (bodisi v nastavitvah ali pa je samo dodal https). Me zanima koliko uporabnikov FBja ta trenutek sploh uporablja SSL ...
Kje si pa to slisu ? Za https ne potrebujes nobenih dodatnih streznikov, vsak http server dons ze omogoca tudi https, vse kar rabis je minuta cajta
da to nastavis.
techfreak :) ::
Pri enem strežniku res nimaš veliko dela, če pa imaš infrastrukturo kot npr. Twitter je SSL kar velika težava. Pri večjih straneh je potrebno upoštevati tudi procesorski čas in dodaten prenos podatkov, ki ju SSL prinese.
Gandalfar ::
The overhead is NOT due to the encryption. On a modern CPU, the encryption required by SSL is trivial.
The overhead is due to the SSL handshakes, which are lengthy and drastically increase the number of round-trips required for a HTTPS session over a HTTP one.
http://stackoverflow.com/a/150879/141200
The overhead is due to the SSL handshakes, which are lengthy and drastically increase the number of round-trips required for a HTTPS session over a HTTP one.
http://stackoverflow.com/a/150879/141200
kunigunda ::
techfreak :) je izjavil:
Pri enem strežniku res nimaš veliko dela, če pa imaš infrastrukturo kot npr. Twitter je SSL kar velika težava. Pri večjih straneh je potrebno upoštevati tudi procesorski čas in dodaten prenos podatkov, ki ju SSL prinese.
Ne glede na infrastrukturo imas samo en HTTPS server za dostop do istega IP-ja (razen redkih izjem)
dope1337 ::
Sam se moraš zavedati, da je pogoj za uporabo https-ja uporaba SSL enkripcije, ki seveda zahteva od podjetja nabavo namenskih strežnikov oz. računalnikov, katerih edina funkcija je enkripcija podatkov. Kar pa seveda terja začetne stroške nabave opreme, sama enkripcija zahteva čas - kar se prenese v poslovnem svetu v denar, stroški vzdrževanja, dodatna obremenitev zaposljenih ob kakšnem "hickupu", itd, itd, itd. Zato se podjetja zelo rada izogibajo SSL protokolu, vsaj v primerih kjer enkripcija ni zakonsko oz. moralno zahtevana.
Primer: Facebook je ob uvedbi SLL protokola uporabnike svojih storitev o tem le obvestil, ni jim pa protokola samega nastavil kot privzeto, temveč si ga je moral vsak posameznik nastaviti sam. (bodisi v nastavitvah ali pa je samo dodal https). Me zanima koliko uporabnikov FBja ta trenutek sploh uporablja SSL ...
Kje si pa to slisu ? Za https ne potrebujes nobenih dodatnih streznikov, vsak http server dons ze omogoca tudi https, vse kar rabis je minuta cajta
da to nastavis.
Se ti opravičujem, če zavajam. To sem slišal na predavanih na FERI-ju (Varnost in zaščita, Boštjan Kežmah). Če se je profesor motil, bi te prosil, da ga kontaktiraš, mu objasniš zakaj se moti ter mu poveš naj ne predava "laži" svojim učencem. Tema je seveda letela na večje IT rešitve, kjer se na dan prijavi 1 mio. + uporabnikov (zato sem izpostavil Facebook).
Vendar se tudi pri manjših IT rešitvah, brez tehtnega razloga niti ne izplača uporaba SSL enkripcije, ker ti konec koncev vsekakor prinese dodatne stroške.
"Everybody is a genius. But if you judge a fish by its ability to climb a tree
it will live its whole life believing that it is stupid."
-Albert Einstein
it will live its whole life believing that it is stupid."
-Albert Einstein
Zgodovina sprememb…
- spremenilo: dope1337 ()
kunigunda ::
Ne poznam Feri uciteljev niti kaj ti je predaval, sem pa tudi ze dr.doc popravljal kdaj v lajfu, ce omenjas reference.
Lahko pa tudi, da je v kakem drugem kontekstu omenjal te serverje. Izpostavil si twitter, ki ima latenco ogromno, napram facebooku.
Velikost firme ne vpliva na odlocitev o SSL, temvec predvsem, kaj se varuje. Vse kar gre preko interneta in ne lokalne mreze je sploh smiselno
kriptirati, sploh ce gre za osebne podatke. Stroski glede SSL-ja so vecinoma samo delavec/ura in ne hardware.
Lahko pa tudi, da je v kakem drugem kontekstu omenjal te serverje. Izpostavil si twitter, ki ima latenco ogromno, napram facebooku.
Velikost firme ne vpliva na odlocitev o SSL, temvec predvsem, kaj se varuje. Vse kar gre preko interneta in ne lokalne mreze je sploh smiselno
kriptirati, sploh ce gre za osebne podatke. Stroski glede SSL-ja so vecinoma samo delavec/ura in ne hardware.
dope1337 ::
Sej ne zdej mislit, da ti naprej mečem to referenco, pač tam sm to slišo, nism se neki dodatno pozanimal o tej stvari ... dejansko sam povzemam kar sem slišal (zato sem "naprej vrgel" da ga popravi če se moti - ker pač vidim da maš večjo podlago kot jaz).
Se pa popolnoma strinjam s tabo, da hardware kot sam, niti ni nek strošek (mogoče zdaj ko berem, sem se res mal bolj slabo izrazil), če primerjaš koliko dodatnega procesorskega časa ti doda sama SSL enkripcija (govora je o 1 proti 5 napram http? Popravte če se motim).
Seveda se zavedam, da je tehtnost uprable SSL glede na namembnost spletne aplikacije (24ur, ki ima veliko več prometa kot npr. NLB klik, se ne izplača uporaba SSL, ker ni nekih osebnih podatkov - takšno je pomoje njihovo mišljenje, če bi blo pomoje bi vse kriptiral xD).
Se pa popolnoma strinjam s tabo, da hardware kot sam, niti ni nek strošek (mogoče zdaj ko berem, sem se res mal bolj slabo izrazil), če primerjaš koliko dodatnega procesorskega časa ti doda sama SSL enkripcija (govora je o 1 proti 5 napram http? Popravte če se motim).
Seveda se zavedam, da je tehtnost uprable SSL glede na namembnost spletne aplikacije (24ur, ki ima veliko več prometa kot npr. NLB klik, se ne izplača uporaba SSL, ker ni nekih osebnih podatkov - takšno je pomoje njihovo mišljenje, če bi blo pomoje bi vse kriptiral xD).
"Everybody is a genius. But if you judge a fish by its ability to climb a tree
it will live its whole life believing that it is stupid."
-Albert Einstein
it will live its whole life believing that it is stupid."
-Albert Einstein
kunigunda ::
Jup, handshake pri https (ce ne uporablja cache modov, continue ipd for) ima vec korakov kot navaden http, spet odvisno od nacina handshaka, al je full handshake al ne, tko da pozna se.
Jest sicer ponavadi kar uporabljam https serverje, tud v lokalni mrezi, in pri nekje 100-500req/s ni neke stale na CPUju. Zdej kolk ma
facebook pa twiter average access pa spice bi blo pa zanimivo pobrskat po netu.
Aja, pa za zanimivost, pri HTTPSju se vecinoma ne uporablja SSL ampak TLS protokol (pac firefox - ex.netscape finta), ki pa nista tako zelo razlicna.
Jest sicer ponavadi kar uporabljam https serverje, tud v lokalni mrezi, in pri nekje 100-500req/s ni neke stale na CPUju. Zdej kolk ma
facebook pa twiter average access pa spice bi blo pa zanimivo pobrskat po netu.
Aja, pa za zanimivost, pri HTTPSju se vecinoma ne uporablja SSL ampak TLS protokol (pac firefox - ex.netscape finta), ki pa nista tako zelo razlicna.
Grizzly ::
Nimam časa brat cele debate, zato bom samo svoje izkušnje napisal:
Tudi mene je zanimalo kako vdreti nekam. Potem sem izvedel za keyloggerje in začel iskati zastonjske programe, nisem pa niti pomislil da si keylogger tudi sam sestavim. Potem me je začelo zanimati delovanje keyloggerja in ko sem se poglobil v stvar, sem pogruntal da je v C/C++ potrebno napisati samo 10 vrstic, pa imaš svoj keylogger.
Imajo pa keyloggerji eno veliko slabost - rabiš neposreden dostop do računalnika, da lahko keylogger zaženeš. Začel sem iskati nov način, in pogruntal kako narediti fake-website. Torej, greš na facebook in si skopiraš izvorno kodo login strani. Potem v kodi poiščeš kodo ki strežniku pošlje podatke o tvoji prijavi in spremeniš tako da se izvede nek PHP skript, ki podatke shrani v datoteko. Na žalost, uporabniki samo klikajo in sploh ne opazijo kaj piše v URL-ju.
V obeh primerih gre za nepozornost uporabnika in na enak način lahko vdreš tudi kam drugam.
Tudi mene je zanimalo kako vdreti nekam. Potem sem izvedel za keyloggerje in začel iskati zastonjske programe, nisem pa niti pomislil da si keylogger tudi sam sestavim. Potem me je začelo zanimati delovanje keyloggerja in ko sem se poglobil v stvar, sem pogruntal da je v C/C++ potrebno napisati samo 10 vrstic, pa imaš svoj keylogger.
Imajo pa keyloggerji eno veliko slabost - rabiš neposreden dostop do računalnika, da lahko keylogger zaženeš. Začel sem iskati nov način, in pogruntal kako narediti fake-website. Torej, greš na facebook in si skopiraš izvorno kodo login strani. Potem v kodi poiščeš kodo ki strežniku pošlje podatke o tvoji prijavi in spremeniš tako da se izvede nek PHP skript, ki podatke shrani v datoteko. Na žalost, uporabniki samo klikajo in sploh ne opazijo kaj piše v URL-ju.
V obeh primerih gre za nepozornost uporabnika in na enak način lahko vdreš tudi kam drugam.
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | 6273 (141) | zuz3k | |
» | V letu 2016 bistveno več šifriranega prometaOddelek: Novice / Zasebnost | 9045 (6915) | Lonsarg |
» | Hekerski vdor v Yahoo prizadel 500 milijonov uporabnikovOddelek: Novice / Varnost | 14050 (12286) | Saul Goodman |
» | Z OpenVPN-jem ven iz MPLS-ja? (strani: 1 2 )Oddelek: Omrežja in internet | 15778 (14722) | SeMiNeSanja |
» | Anonymous naj bi jutri ustavil FBOddelek: Loža | 4155 (2626) | Good Guy |