Κάνε και εσύ, τις ερωτήσεις σου σχετικά με την τεχνολογία!

[Star_Light]

Ναι medigeek αλλά στο αρχείο php που κάνει login ο χρήστης εκεί είναι εκτεθειμένα το username και το password του host μου. Ξέρω πως αυτά τα αρχεία γίνονται κρυπτογράφηση αλλά δεν ξέρω πώς. Επίσης είναι σωστή μέθοδος να υπάρχει ο κωδικός μέσα σε ένα php αρχείο που συνδέετε με την MySQL;

Star_Light σύμφωνοι αλλά το cracing με την μέθοδο Dictionary attack δεν είναι τόσο εύκολο να σπάσει κωδικό αν ένας κωδικός κρυπτογραφηθεί σε άγνωστο αριθμό (επαναλήψεων) και άγνωστο αλγόριθμο φαντάζει αδύνατο.

Εγω δεν ασχολουμαι καθολου με τον αλγοριθμο κρυπτογραφησης. Γιατι ειπαμε οτι μετραει πολυ και το κλειδι. Το προγραμμα που ειπα που γενικα χρησιμοποιειται οχι μονο απο κρακεραδες - πιτσιρικαδες αλλα και απο σοβαρα ατομα που θελουν να δοκιμασουν εναν κωδικο προσβασης . Παιρνει την συνοψη που θα του δωσουμε και την συγκρινει με τις συνοψεις που ηδη διαθετει και αμα βρεθει αντιστοιχια απλα σου πεταει τον κωδικο προσβασης.

[Star_Light]

ΕΚΤΟς και αν ηθελες να εννοησεις οτι θα παράγεις κλειδια που θα ειναι string απο τυχαια bit που δημιουργουνται απο μια αυτοματη διαδικασια.

[medigeek]

Ναι medigeek αλλά στο αρχείο php που κάνει login ο χρήστης εκεί είναι εκτεθειμένα το username και το password του host μου.

Όπως είπα:

Κώδικας: Επιλογή όλων


$savedhash = '8910ee7d68dfff68460731ea37eb0d406d07862d';

$salt = 'ticket-ABC-XYZ-012'; // a random text string
$password = $_GET['password']; // user-input password
$hashtocheck = sha1( sha1($password) . sha1($salt) ); // result: hash text string

if ($hashtocheck == $savedhash) { echo("Success!\n"); }
else { echo("Try again!\n"); }


1. Θεωρώ ότι έχεις ένα html όπου ο χρήστης κάνει login μέσω html form. Εισάγει username και password.
Στέλνονται στο php για "έλεγχο" μέσω submit: http://www.example.com/test.php?password=pass
2. Το password το θέτει ως $password από το php variable.
3. Υπάρχει ένα φυλαγμένο hash ($savedhash), με το οποίο θα συγκρίνουμε και θα δούμε αν ο κωδικός που πήραμε από το form είναι σωστός.
4. Το φυλαγμένο hash μπορεί να διαβαστεί από ένα αρχείο π.χ. mypass.ini όπου θα φυλαχθεί το όνομα του χρήστη και το hash.
5. Το php θα υπολογίσει ένα hash από το form.
6. Ακολούθως, θα συγκρίνει τα δύο hashes.

Πουθενά δε φαίνεται ο κωδικός που εισήγαγε ο χρήστης. Υπάρχουν μόνο hashes!
Πιο ασφαλές από αυτό δε νομίζω να γίνεται. Καλά, κι ένα κωδικό 15+ χαρακτήρων που περιέχουν θα ήταν ό,τι πρέπει.

Αλλιώς, μάλλον δεν κατάλαβα την ερώτηση. Ας αρχίσουμε ξανά:
- Τι είδους κρυπτογράφηση γυρεύεις;
- Ποιο σκοπό πρέπει να εξυπηρετήσει;
- Το αρχείο πρέπει να είναι εκτελέσιμο;
- Υπάρχει δύο ειδών απ'όσο γνωρίζω, ένα είναι τύπου gpg (με δύο κλειδιά, ένα private κι ένα public) και το άλλο είναι το one-way hash (md5, sha1 κτλ).

Υπάρχει τρόπος να κρυπτογραφήσεις το home για παράδειγμα ή ένα private φάκελο (χρειάζεται εγκατάσταση του ecryptfs-utils αν δεν υπάρχει ήδη): https://help.ubuntu.com/community/Encry ... eDirectory
Εκεί μπορείς να αποθηκεύσεις τα αρχεία σου και να φτιάξεις ένα "ln -s" link στον τόπο που πρέπει να βρίσκεται το αρχείο.

Φυσικά, καθώς τρέχει το αρχείο, νομίζω θα είναι ευάλωτο (επειδή μπορεί να διαβαστεί από τον τρέχων χρήστη, δηλ. από εσένα). Δεν είμαι ειδικός όμως.

[M.Jackson]

Ναι medigeek αλλά στο αρχείο php που κάνει login ο χρήστης εκεί είναι εκτεθειμένα το username και το password του host μου.

Όπως είπα:

Κώδικας: Επιλογή όλων


$savedhash = '8910ee7d68dfff68460731ea37eb0d406d07862d';

$salt = 'ticket-ABC-XYZ-012'; // a random text string
$password = $_GET['password']; // user-input password
$hashtocheck = sha1( sha1($password) . sha1($salt) ); // result: hash text string

if ($hashtocheck == $savedhash) { echo("Success!\n"); }
else { echo("Try again!\n"); }


1. Θεωρώ ότι έχεις ένα html όπου ο χρήστης κάνει login μέσω html form. Εισάγει username και password.
Στέλνονται στο php για "έλεγχο" μέσω submit: http://www.example.com/test.php?password=pass
2. Το password το θέτει ως $password από το php variable.
3. Υπάρχει ένα φυλαγμένο hash ($savedhash), με το οποίο θα συγκρίνουμε και θα δούμε αν ο κωδικός που πήραμε από το form είναι σωστός.
4. Το φυλαγμένο hash μπορεί να διαβαστεί από ένα αρχείο π.χ. mypass.ini όπου θα φυλαχθεί το όνομα του χρήστη και το hash.
5. Το php θα υπολογίσει ένα hash από το form.
6. Ακολούθως, θα συγκρίνει τα δύο hashes.

Πουθενά δε φαίνεται ο κωδικός που εισήγαγε ο χρήστης. Υπάρχουν μόνο hashes!
Πιο ασφαλές από αυτό δε νομίζω να γίνεται. Καλά, κι ένα κωδικό 15+ χαρακτήρων που περιέχουν θα ήταν ό,τι πρέπει.

Αλλιώς, μάλλον δεν κατάλαβα την ερώτηση. Ας αρχίσουμε ξανά:
- Τι είδους κρυπτογράφηση γυρεύεις;
- Ποιο σκοπό πρέπει να εξυπηρετήσει;
- Το αρχείο πρέπει να είναι εκτελέσιμο;
- Υπάρχει δύο ειδών απ'όσο γνωρίζω, ένα είναι τύπου gpg (με δύο κλειδιά, ένα private κι ένα public) και το άλλο είναι το one-way hash (md5, sha1 κτλ).

Υπάρχει τρόπος να κρυπτογραφήσεις το home για παράδειγμα ή ένα private φάκελο (χρειάζεται εγκατάσταση του ecryptfs-utils αν δεν υπάρχει ήδη): https://help.ubuntu.com/community/Encry ... eDirectory
Εκεί μπορείς να αποθηκεύσεις τα αρχεία σου και να φτιάξεις ένα "ln -s" link στον τόπο που πρέπει να βρίσκεται το αρχείο.

Φυσικά, καθώς τρέχει το αρχείο, νομίζω θα είναι ευάλωτο (επειδή μπορεί να διαβαστεί από τον τρέχων χρήστη, δηλ. από εσένα). Δεν είμαι ειδικός όμως.

Δεν με κατάλαβες όλα τα πιο πάνω τα έκανα είδη, απλά οι κωδικοί και όλα τα στοιχεία είναι σε μια βάση δεδομένων mySQL όπου ο κωδικός είναι αποθηκευμένος σαν κρυπτογραφημένος όλα καλά, αλλά το login.php για να συνδεθεί με την βάση και να συγκρίνει τους κωδικούς θέλει τα στοιχία πρόσβασης στον host και στην βάση δεδομένων, αυτά είναι εκτεθειμένα δηλαδή είναι μια απλή εντολή:

Κώδικας: Επιλογή όλων

$connect = mysql_connect("localhost","username","password");

[Star_Light]

Eπειδη εχω μεινει λιγο πισω στην PHP αυτα που λετε στον κωδικα παιζουν και χωρις ο αλλος να εχει βαλει ας πουμε SSL στην ιστοσελιδα του????

[medigeek]

το login.php για να συνδεθεί με την βάση και να συγκρίνει τους κωδικούς θέλει τα στοιχία πρόσβασης στον host και στην βάση δεδομένων, αυτά είναι εκτεθειμένα δηλαδή είναι μια απλή εντολή

Αυτή η εντολή θα μείνει ως έχει. Δεν υπάρχει άλλος τρόπος μιας και η php πρέπει να συνδεθεί με την βάση δεδομένων. Ο κωδικός και το όνομα χρήστη θα πρέπει να δωθούν, ό,τι και να κάνεις θα φαίνεται. Μη δίνεις στον εαυτό σου την ψευδαίσθηση ότι είσαι ασφαλής αν κρυπτογραφήσεις τον κωδικό της mysql.
Σκέψου το: Ένα άτομο που κατάφερε να σπάσει την ασφάλεια σου και να διαβάσει τα αρχεία σου, προφανώς θα βρει τρόπο να διαβάσει και ένα αρχείο php με τη δική σου μέθοδο για encrypt / decrypt.
Το ssl που ανάφερε ο Star_Light είναι μια πολύ καλή ιδέα -- κρυπτογραφεί τη σύνδεση μεταξύ http server/client ή μπορείς να κρυπτογραφήσεις και τη σύνδεση μεταξύ php/mysql: http://www.madirish.net/?article=244

Eπειδη εχω μεινει λιγο πισω στην PHP αυτα που λετε στον κωδικα παιζουν και χωρις ο αλλος να εχει βαλει ας πουμε SSL στην ιστοσελιδα του????

Ναι, απλά χρειάζεσαι τις εντολές που παρέχει η php (sha1() για παράδειγμα).

Υπάρχει και τρόπος με ssh tunnel (δεν το δοκίμασα):
http://stackoverflow.com/questions/3096 ... ssh-in-php
http://www.howtoforge.com/secure_mysql_ ... ssh_tunnel

[M.Jackson]

Μάλιστα, ενδιαφέρων το θέμα πάντως

[M.Jackson]

Ένα USB 8GB είναι αρκετό για να κάνω εγκατάσταση κάποιο λειτουργικό σύστημα και να το έχω πάντα μαζί μου; Θα χρειαστώ μάλλον ένα minimal που να είναι πετσοκομμένο με τα πλήρης απαραίτητα αλλά παράλληλα να μπορεί να τρέξει σε οποιοδήποτε Hardware. Υπάρχει κάτι καλό; (Θα προτιμούσα κάτι σε KDE)

Arch Linux ξεχνάμε γιατί από την πήρα που έχω η εγκατάσταση θα παίζει σε συγκεκριμένο υλικό. Τo Kubuntu αλλά σε κάποια άλλη έκδοση πιο απλή;

[xrdim]

Πιστευω ανετα. Εγω χρησιμοποιω ενα φλασακι 2Gb και δεν ειχα ποτε προβλημα. Απλα σκεψου οτι οι περισσοτερες διανομες χωρανε σε CD (700Mb) και αντε το πολυ σε DVD (1.4Gb).

edit : Αν εννοεις αντι για εγκατασταση σε σκληρο να την κανεις σε φλασακι και παλι πιστευω οτι γινεται (ειδικα με 8Gb ) αλλα δεν το εχω δοκιμασει.

[monkgr]

@M.Jackson

Larch, ἴσως; Προσωπικὰ δὲν τὸ ἔχω δοκιμάσει ἀκόμα, ἀλλὰ οἱ περιγραφὲς λένε γιὰ δημιουργία liveCD/usb stick μὲ βάση την ἤδη ὑπάρχουσα ἐγκατάστασή σου (κυρίως Arch, ἀλλὰ καὶ γενικότερα διανομῆς Linux).
Σχετικὸ ὁδηγό (πέρα ἀπὸ τὸ Arch wiki) νομίζω ὅτι ἔχουν στὸ φόρουμ τοῦ adslgr. Πόσο καλὸς ἢ ἀξιόπιστος εἶναι δὲν ξέρω (θὰ σὲ γελάσω καὶ δὲν τὸ θέλω!)