Κάνε και εσύ, τις ερωτήσεις σου σχετικά με την τεχνολογία!

[M.Jackson]

Ναι αλλά ο Browser - Chromium - σε προειδοποιεί ότι ο σύνδεσμος ανοίγει ένα πρόγραμμα. Όλα εξαρτώνται από τον χρήστη αλλά μια ιστοσελίδα δεν μπορεί να μολύνει το Linux πιστεύω.

[Qdata]

Ναι αλλά ο Browser - Chromium - σε προειδοποιεί ότι ο σύνδεσμος ανοίγει ένα πρόγραμμα. Όλα εξαρτώνται από τον χρήστη αλλά μια ιστοσελίδα δεν μπορεί να μολύνει το Linux πιστεύω.

Αυτό λέω!Εσύ θα πρέπει να δώσεις την άδεια για να τρέξει ένα script-εντολή-πρόγραμμα κτλ στο σύστημά σου.
Συνήθως αυτοί οι "ιοί" στο Linux οφείλονται στην άγνοια του χρήστη!

[medigeek]

Ναι αλλά και πάλη οι ιστοσελίδες δεν μπορούν να μολύνουν το Linux

Ε.. δεν είμαι απόλυτα σίγουρος γι' αυτό. Υπάρχουν σφάλματα που επιτρέπουν σε κάποιον να εκτελέσει οποιαδήποτε εντολή θέλει μέσω του browser.
Τα σφάλματα λέγονται "arbitrary code execution vulnerability" (ή "remote code execution"): http://www.google.com/search?q=arbitrary+code+execution -- http://en.wikipedia.org/wiki/Arbitrary_code_execution
Τυχαίο παράδειγμα για linux: http://www.iss.net/security_center/refe ... cution.htm

Πριν εκτελεστεί κάτι πρέπει και εσύ να το επιτρέψεις.

Αν μιλάμε γενικά για οποιοδήποτε λειτουργικό σύστημα, τότε πρέπει να το επιτρέψεις εσύ ή το σύστημα σου. Για παραδειγμα το windows xp δεν έλεγχε ποιες εντολές εκτελούνται και μπορούσε ο καθένας να εκτελέσει όποια εντολή ήθελε. Οι συνηθισμένες εγκαταστάσεις του windows xp ήταν ένας λογαριασμός διαχειριστή (full privileges) και μάλιστα χωρίς κωδικό.

Τώρα με την εισαγωγή της ερώτησης "Θέλετε να τρέξετε το αρχείο", το πρόβλημα εναποτίθεται στο χρήστη, που και πάλι.. βρίσκει ένα αρχείο madonna_naked.jpg.exe, πατάει "Yes" για να δει τη Μαντόνα γυμνή και παράλληλα τρέχει και το προγραμματακι που του κλέβει όλους τους κωδικούς.

[M.Jackson]

Νέα απορία, πόσο ασφαλές μπορεί να είναι η κρυπτογράφηση MD5 μίας και υπάρχουν αλγόριθμοι που τον σπάνε; Τελικά έχω δίκαιο που επιμένω να φτιάχνω τους δικούς μου αλγόριθμους;

[Star_Light]

Νέα απορία, πόσο ασφαλές μπορεί να είναι η κρυπτογράφηση MD5 μίας και υπάρχουν αλγόριθμοι που τον σπάνε; Τελικά έχω δίκαιο που επιμένω να φτιάχνω τους δικούς μου αλγόριθμους;

Το καλύτερο κρυπτοσύστημα του κόσμου να έχεις αγαπητέ φίλε. Αν το κλειδί σου είναι αδύναμο και κακοσχηματισμένο εισαι εκτεθειμένος.
Υπάρχει λογισμικο που σπάει κωδικούς. Αρκεί να έχεις την σύνοψη του κωδικού.

[M.Jackson]

Ναι συμφωνώ φίλε Star_Light.
Γράφω μια ιστοσελίδα σε php, χωρίς να έχω ιδέα από ασφάλειες σε συστήματα αλλά μόνο προγραμματιστική γνώση θα καταφέρω να έχω ασφαλές σύστημα; αμφιβάλω τι πρέπει να διαβάσω για να μπορώ να έχω γνώση για αυτό που ανάφερα;

[medigeek]

http://www.php.net/manual/en/function.sha1.php
http://php.net/manual/en/function.crypt.php

Βασικά αυτό που συστήνουν είναι να μπει το salt (text string με επιπλέον χαρακτήρες). Για παράδειγμα θα δέχεσαι τον κωδικό που έγραψε ο χρήστης "password", και το sha1() να δημιουργεί ένα hash από το text string "password" συν το "moomoo" (το "moomoo" είναι το salt).

Παρόμοιος τρόπος:

Κώδικας: Επιλογή όλων


$salt = 'ticket-ABC-XYZ-012'; // a random text string
$password = 'this_is_what_user_typed'; // user-input password
echo sha1( sha1($password) . sha1($salt) ); // result: hash text string


Με αυτή τη μέθοδο (salt + (md5 ή sha1 ή άλλο)) και να σου κλέψουν το hashed ("crypted") κωδικό από τη βάση δεδομένων, δε θα μπορούν να το συγκρίνουν με γνωστά hashes κωδικών όπως "admin", "root", επειδή δεν μπορούν να βρουν τον αληθινό κωδικό χωρίς τον αλγόριθμο.
Δηλαδή και "admin" να είναι ο κωδικός, το hash με το salt θα το προστατεύσει (αν δεν ξέρει τον αλγόριθμο του αρχείου php).

[Star_Light]

Ναι συμφωνώ φίλε Star_Light.
Γράφω μια ιστοσελίδα σε php, χωρίς να έχω ιδέα από ασφάλειες σε συστήματα αλλά μόνο προγραμματιστική γνώση θα καταφέρω να έχω ασφαλές σύστημα; αμφιβάλω τι πρέπει να διαβάσω για να μπορώ να έχω γνώση για αυτό που ανάφερα;

θα πρεπει να διαβασεις την τεκμηριωση της php για την ασφαλεια.
Γενικα κάθε έκδοση ειτε στον apache ειτε στην php έχει οδηγίες ασφάλειας.
Σου δωσε ο medigreek χρησιμους συνδεσμους

[Star_Light]

http://www.php.net/manual/en/function.sha1.php
http://php.net/manual/en/function.crypt.php

Βασικά αυτό που συστήνουν είναι να μπει το salt (text string με επιπλέον χαρακτήρες). Για παράδειγμα θα δέχεσαι τον κωδικό που έγραψε ο χρήστης "password", και το sha1() να δημιουργεί ένα hash από το text string "password" συν το "moomoo" (το "moomoo" είναι το salt).

Παρόμοιος τρόπος:

Κώδικας: Επιλογή όλων


$salt = 'ticket-ABC-XYZ-012'; // a random text string
$password = 'this_is_what_user_typed'; // user-input password
echo sha1( sha1($password) . sha1($salt) ); // result: hash text string


Με αυτή τη μέθοδο (salt + (md5 ή sha1 ή άλλο)) και να σου κλέψουν το hashed ("crypted") κωδικό από τη βάση δεδομένων, δε θα μπορούν να το συγκρίνουν με γνωστά hashes κωδικών όπως "admin", "root", επειδή δεν μπορούν να βρουν τον αληθινό κωδικό χωρίς τον αλγόριθμο.
Δηλαδή και "admin" να είναι ο κωδικός, το hash με το salt θα το προστατεύσει (αν δεν ξέρει τον αλγόριθμο του αρχείου php).

Αν ο κωδικος ειναι ελεινος και τελειως κακοσχηματισμενος δεν χρειαζεται να ξερει την κρυπτογραφικη συναρτηση η οποια παράγει την σύνοψη.
Μπορει να το τρέξει στο JTR (John The Ripper) και να του το βρει μεσα σε 1 λεπτο... Για αυτο λεμε να μην βάζουν σαν κωδικους λέξεις που ειναι κανονικες λεξεις σε οποιαδηποτε γλωσσα του κοσμου. Το JTR εγκαθισταται μαζι με ενα αρχειο που έχει μεσα για dictionary attack έχει έτοιμες λέξεις κτλπ.

Το να έχεις την σύνοψη δίνει δυνατότητες... Αυτο νομιζω ηταν και ενα λαθος - κενο στην ψηφιακη υπογραφη? Και για αυτο δημιουργηθηκαν τα ψηφιακα πιστοποιητικα??? Κατι τετοιο εχω καιρο να πιασω θεωρια ασφαλειας που να τα προλαβεις ολα με την C παιδευομαι αυτο το καιρο

[M.Jackson]

Ναι medigeek αλλά στο αρχείο php που κάνει login ο χρήστης εκεί είναι εκτεθειμένα το username και το password του host μου. Ξέρω πως αυτά τα αρχεία γίνονται κρυπτογράφηση αλλά δεν ξέρω πώς. Επίσης είναι σωστή μέθοδος να υπάρχει ο κωδικός μέσα σε ένα php αρχείο που συνδέετε με την MySQL;

Star_Light σύμφωνοι αλλά το cracing με την μέθοδο Dictionary attack δεν είναι τόσο εύκολο να σπάσει κωδικό αν ένας κωδικός κρυπτογραφηθεί σε άγνωστο αριθμό (επαναλήψεων) και άγνωστο αλγόριθμο φαντάζει αδύνατο.