TVN-uwaga - "allegro oszustów" Opcje

[miik]

Ostatnio przypadkowo zoabaczyłem program uwaga na TVN o treści podanej w topicu. Troche mnie to zastanawia z tym śmiesznym hackerem, co on tam pokazał. Jakąś zmienną w php przechowującą dane i co z tego, ale jak może je pozyskać z czyjegoś komputera...tu mam link

http://uwaga.onet.pl/1,118,8,18160803,5098...00,0,forum.html

http://uwaga.onet.pl/1316301,archiwum.html

Ten post edytował miik 5.03.2006, 16:17:19

[hwao]

przesadzaja

[Pigula]

tez widzialem ten program. niestety w polsce jest tak ze redaktorzy biora kogo popadnie na "ekspertow". taki przyklad dla gazety wyborczej wypowiadal sie klient ze strona radia maryja to majstersztyk (wchodzisz na wlasna odpowiedzialnosc ) a ze wiekszosc ludzi nie ma pojecia o technice, nie wszyscy sie tym interesuja. mnie bardziej zaskoczyla reakcja przedstawiciela portalu ktory nie zareagowal w zaden sposob na to tylko stwierdzil ze i tak takie osoby predzej czy pozniej zostana zlapane, dla mnie to bylo przyznanie sie do tego ze na allegro jest dziura i nie wiedza co z nia zrobic.

[cXIb8O3]

ale oni smieci daja do telewizji... a prawdziwe bledy pomijaja... jak by ktos chcial na upartego to mogl by sie wtoczyc do db allegro i wtedy bylo by fajnie ;]

[NuLL]

OT: To sie wtocz skoro tak piszesz.

[dr_bonzo]

"na upartego" -- brute force? no pewnie ze by sie dalo.

[cXIb8O3]

ah... inaczej to wyglada... przykladowo allegro to dosc duzy servis.. troche kodu ma... troche scryptow... przykladowo widzialem tam kilka scryptow os.. bierzemy kodzik.. szukamy bledow... i jestesmy w domu... a znajac kilka 0 dayow na samo php ma sie 100% kontrole.. wiem co mowie [;

[patrycjusz]

ah... inaczej to wyglada... przykladowo allegro to dosc duzy servis.. troche kodu ma... troche scryptow... przykladowo widzialem tam kilka scryptow os.. bierzemy kodzik.. szukamy bledow... i jestesmy w domu... a znajac kilka 0 dayow na samo php ma sie 100% kontrole.. wiem co mowie [;

Panie bzdury mówisz, bzdury,
zabezpieczenie allegro to nie tylko php a cała infrastruktura która mają na naprawde wysokim poziomie.

pzdr patS

[cXIb8O3]

Panie bzdury mówisz, bzdury,
zabezpieczenie allegro to nie tylko php a cała infrastruktura która mają na naprawde wysokim poziomie.

pzdr patS

nom z tym sie nie zgodze ale wolny kraj i kazdy ma swoje zdanie.. ;] pozdro

[sztosz]

@cXIb8O3: Możesz sobie pisać co chcesz o allegro, czy innej stronie. Ale póki nie podasz jakiegoś dowodu to nie dziw się że spotkasz się z niedowierzaniem, sceptycyzmem co najmniej.

Co do skryptów os (rozszyfrowuje to jako Open Source) to wcale nie znaczy to o braku zabezpieczeń, czy czymś podobnym. Ale o tym że programiści z allegro już mają plusa, bo nie próbują wywaarzać otwartych dzwi.
Dodam jeszcze że bezpieczny skrypt to taki do którego nie da się dobrać z zewnątrz, a nie taki do którego nie wiadomo jak się dobrać. Open Source to "uwolnione" żródła, w których czasem nawet tysiące ludzi szukają błedów, exploitów etc. Tyle par oczu łatwiej znajdzie buga, niż wąskie grono wtajemniczonych.

Poza tym jak dotad nie slyszałem o żadnym włamie na allegro spowodowanym błędami w systemie. A z kolei głupota i naiwność ludzka potrafi zniweczyć wszelkie zabezpieczenia i z włamem tym włąsnie spowodowanym to pewnie nie raz się każdy z nas spotka.

[cXIb8O3]

Co do skryptów os (rozszyfrowuje to jako Open Source) to wcale nie znaczy to o braku zabezpieczeń, czy czymś podobnym. Ale o tym że programiści z allegro już mają plusa, bo nie próbują wywaarzać otwartych dzwi.
Dodam jeszcze że bezpieczny skrypt to taki do którego nie da się dobrać z zewnątrz, a nie taki do którego nie wiadomo jak się dobrać. Open Source to "uwolnione" żródła, w których czasem nawet tysiące ludzi szukają błedów, exploitów etc. Tyle par oczu łatwiej znajdzie buga, niż wąskie grono wtajemniczonych.

nie chce oczerniac allegro etc ale kiedys tam patrzylem i przypadkowo zobaczylem troche kodu os... moim zdaniem lepiej sie czlowiek czuje bezpiecznym jesli samemu sie napisze jakis scrypt niz zainwestuje w OS (z calym szacunkiem dla OS) Ja osobiscie dawalem rade takim scryptom jak phpbb, phpnuke, phpmyadmin etc... nie mowiac juz o samym php.
Balbym sie wsadzic jakis os owy script na server bo wiem ze to nie jest doskonale tak jak wszystko. Problem w tym, ze kod jest otwarty i mozna probowac cos osiagnac... co innego jak kod jest zamkniety.. bo wtedy nie zna sie calego mechanizmu wiec trudniej przeprowadzic atak. Oczywiscie mozna probowac innaczej zabezpieczac os owe scripty ale to i tak nieda tego samego co wlasny 1000 razy przeleciany script.

Oficjalnie nie uslyszysz o jakis dobrych przekretach bo sa one w zasadzie zewzgledu na swoja specyfike niewykrywane. Pozatym takie serivsy niechca otym pisac i robic zadymy bo same natym traca..

[sztosz]

Oficjalnie nie uslyszysz o jakis dobrych przekretach bo sa one w zasadzie zewzgledu na swoja specyfike niewykrywane. Pozatym takie serivsy niechca otym pisac i robic zadymy bo same natym traca..

To daj jakieś nieoficjalne info Tak jak pisalem: "Żądam dowodów, nie obietnic"

Co do skryptów OS, to żeczywiście jest cała masa skryptów nie do końca bezpiecznych, w których jest troche bugów. Ale jak się rozejrzeć to wychodzi ze często jest mało znana bezpieczniejsza alternatywa.

Poza tym pytanie nalezy zadać: "Co rozumiemy przez bezpieczeństwo?". Dla jednych to jest tylko niemożność wykradzenia danych, a dla innych także stabilność itp.

Kwestia też tego jak wielka to jest aplikacja. Jezeli to jest zbitek kilku, kilkunastu niewielkich klas to też wole samemu to zrobić, albo chociaż przepisać jakąś Open Sourceową aplikację. Ale kiedy mam do czynienia z naprawdę dużą (jakdla mnie "duży" to badzo względne okreslenie) aplikacją to staram sie wybrać coś sprawdzonego.

Moze to kwestia tego że php to na razie dla mnie ciągle Hobby, a może dlatego że na razie pisalem wszystko sam. Być może za kilka lat teżnikomu nie bede ufał

[cXIb8O3]

To daj jakieś nieoficjalne info Tak jak pisalem: "Żądam dowodów, nie obietnic"

Co do skryptów OS, to żeczywiście jest cała masa skryptów nie do końca bezpiecznych, w których jest troche bugów. Ale jak się rozejrzeć to wychodzi ze często jest mało znana bezpieczniejsza alternatywa.

Kazdy by chcial. Tylko jak bym co kolwiek publiknol musial bym autorow poinformowac aby nie miec przypalu.. pozatym ja wiem swoje i mi to wystarcza ;]

Nie ma scryptow idealnych. Np takie phpbb.. niby juz tak przetrzepane ale jak by posiedziec pol roczku to mozna by cos znalesc.. ;] jeszcze mam kilka niepubliknietych bledow ale je se zostawie priv. I uzyj teraz se phpbb... ;]

[sobstel]

to co jest wadą os (z punktu widzenia bezpieczeństwa), czyli otwartość, może też być zaletą. sam mitnick powiedział, że woli wyszukiwać dziur w os, bo łatwiej, ale z drugiej strony takie skrypty często bywają lepiej zabezpieczone od zamkniętych, ponieważ ma wgląd do nich wielu programistów. jak piszesz sam bardzo łatwo ci coś przeoczyć. gdy do skryptu zajrzy kilkudziesięciu różnych programistów sprawa wygląda o wiele lepiej...

[Kinool]

mały OT sie zrobil ale co tam w OS jest przeklenstwem i zbawieniem bla bezpieczenstwa wszystko zalezy od tego jaki zespol nad tym pracuej

z jednej strony jest to ze setki czy tysiace ludzi przegladaja kod no i teraz zalezy kim sa bo moga o tym powiadmic grupe prowadzaca lub tez nie wczesniej czy pozniej ktos ten blad zauwazy ale do tego czasu "gagatek" moze troche "narozrabiac"

oprogramowanie zamkniete ma to do siebi, ze trudniej te bledy znalezc ze wzgledu na wiadome ograniczenia.

z jednej strony mamy takie phpbb i opinie jaka sobie wyrobilo i np. systemy operacyjne (windows vs. Linux czy *BSD)

a co do samego allegro to wydaje mi sie ze tak powazna firma dokonuje zmian w samym kodzie zrodlowym php, przekompilowuja to by dostosowac do wlasnych potrzeb, serwer to tez nie jeden komp pracujacy w piwnicy na ktorym dziala apache, baza danych i ftp

Ten post edytował Kinool 7.03.2006, 14:29:43

[cXIb8O3]

z jednej strony mamy takie phpbb i opinie jaka sobie wyrobilo i np. systemy operacyjne (windows vs. Linux czy *BSD)

a co do samego allegro to wydaje mi sie ze tak powazna firma dokonuje zmian w samym kodzie zrodlowym php, przekompilowuja to by dostosowac do wlasnych potrzeb, serwer to tez nie jeden komp pracujacy w piwnicy na ktorym dziala apache, baza danych i ftp

nom ale chcesz czy nie.. poziom bezpieczenstwa w phpbb jest wysoki... ja siedzialem prawie pol roku zanim cos rozkminilem.. latwiej stuknac inne tego podobne. phpbb jest popularne i duzo osob to juz przelecialo pozatym kazdy jakis buger chce znalesc bledy w phpbb bo to luxusus sie zrobil...

Nom powazna. Ale co wiesz o allegro? Ja smiem twierdzic iz latwo tam by bylo zdobyc php sehlla a pozniej to juz zgorki... wszystko jest mozliwe..

[seaquest]

A ja uważam, że wcale nie byłoby to takie proste. Nie wiesz jak wygląda kod od wewnątrz, nie wiesz jak on jest zorganizowany. Oczywiście, zawsze możesz próbować różnych metod, ale moim zdaniem nie jest to takie proste.

[miik]

Mam pytanie czy jak się loguje przez SSL to rzeczywiście jest bezpiecznie? Przecież można rozszyfrować kod...mniej więcej wiem na czym polega szyfrowanie ale nigdy się z tym nie bawiłem...

[Seth]

Dzieki SSL nie jestes narazony (a przynajmniej w duzo wiekszym stopniu nie jestes niz podczas nieszyforowanego polaczenia) na mozliwosc odczytu danych, ktore przesylasz przez jakis program sniffujacy pakiety w sieci.
Tak wiec podajac kod nie wysylasz go do serwera jako czysty tekst, ale jako zakodowany ciag znakow - nawet jezeli ktos go przechwyci nie bedzie w stanie go rozszyfrowac (pewnie juz niedlugo sie to zmieni ale poki co mozna byc spokojnym).

Tak wiec, tak... samo w sobie, jest to bezpieczne.

[Kinool]

wszystko zalezy od protokolu a to pociaga za soboa uzyty klucz stare klucze 128-256 bitowe sa uwazane za "przestazale" udalo sie je zlamac ale zwykly smiertelnik by musial bardzo dluuuugo to robic klucze 521 czy 1024 sa uznawane za bezpiecznie i raczej bardzo trudne do zlamania, aby tego dokonac w rozsadnym czasie potrzeba by bylo niesamowicie wydajna maszyna obliczniowa