Skocz do zawartości


Zdjęcie

Bezpieczeństwo haseł w AQQ 2.x


  • Zaloguj się, aby dodać odpowiedź
37 odpowiedzi w tym temacie

#21 lsr

lsr

    Czarna legenda forum powraca...

  • Przyjaciel
  • 1246 postów

Napisano 2008.12.17, 19:58

Dopóki hasło będzie na dysku, da się je wyciągnąć. Z Windowsa też się da... A wpisywanie go za każdym razem? Dziękuję, ale nie dla mnie taka alternatywa.

6198 zliczonych i pozostawionych postów na starym forum. Więc byle nabijacz nie zrobi na mnie wrażenia. :D


Zapraszam na odnowiony blog: lsr.waw.pl


#22 VPN

VPN

    Guru

  • Użytkownik
  • 6923 postów

Napisano 2008.12.17, 20:10

Żeby nie było wątpliwości: ja też odrzucam myśl o wpisywaniu hasła za każdym razem. Jednak Grom nie powiedział jeszcze ostatniego słowa w tym temacie :)
BARDZO WAŻNE: nie chodzi tutaj o zabezpieczenie jak w banku, ale żeby maksymalnie utrudnić życie osobie, która ma niecne zamiary, a nie utrudniać życia użytkownikowi AQQ dając mu jednocześnie w miarę wysokie poczucie bezpieczeństwa. Wiadomo, jeśli ktoś jest świadomy, to zabezpieczy system, ale ryzyko zawsze istnieje... Poza tym sporo osób nie interesuje się bezpieczeństwem systemu i to dla nich ma być adresowane rozwiązanie, o którym dyskutujemy.

Tu byłem.


#23 Morpheus

Morpheus

    Weteran

  • Wtyczkopisarz
  • 712 postów

Napisano 2008.12.18, 17:23

Eh, niektorzy mogliby pomyslec zanim cos napisza...
Skoro np. md5 jest nie mozliwe do odkodowania (mozna najwyzej porownywac) to jakim cudem aqq ma to zrobic ? A jakby AQQ moglo to by sie dalo rownie dobrze czym innym.
Gadu Gadu Beta uzywa Blowfish-a i gdzies tam trzyma klucze. I to tez nie jest nie mozliwe do odkodowania, chociaz troche trudniejsze od base64.
Tylko po co to robic, skoro to i tak mozliwe bez wiekszego problemu?

EDIT:
Mozna by bylo ewentualnie szyfrowac uzywajac jakis danych sprzetu/systemu np. taktowania procesora.
Jak ktos zmieni procesor to bylby problem, ale takie rzeczy raczej rzadko sie robi.

EDIT2:
I AQQ przestaloby byc przenosne. Najlepiej chyba zostawic tak jak jest

Użytkownik Morpheus edytował ten post 2008.12.18, 17:46


#24 VPN

VPN

    Guru

  • Użytkownik
  • 6923 postów

Napisano 2009.03.06, 14:44

A gdyby tak zastosować pewien myk... Dla plików profilu niechronionego hasłem - kodowanie, a dla plików profilu chronionego hasłem - szyfrowanie?

Przy okazji: jak jest chronione archiwum wiadomości w AQQ?

Tu byłem.


#25 Kendziooor

Kendziooor

    Pan Majster

  • Wtyczkopisarz
  • 1076 postów

Napisano 2009.03.06, 17:04

Tak trudno sprawdzić? :P Wchodzisz w profil, Data/Archive i tam masz. Na moje oko to jest po prostu baza danych :P Czyli z wierzchu nie odczytasz, ale na dłuższą mete da radę.

Użytkownik Kendziooor edytował ten post 2009.03.06, 17:05

Dołączona grafika
Całkiem nowa wersja notatnika do AQQ! Zostań beta-testerem!

System: Windows7 Home Premium; IE8 + Opera 10 (domyślna); Ad-Aware Pro Internet Security 8
Komunikator: Wtyczki podstawowe + dodatkowe; Kompozycja Satin

#26 Morpheus

Morpheus

    Weteran

  • Wtyczkopisarz
  • 712 postów

Napisano 2009.03.06, 17:17

A tresc wiadomosci w base64, nie potrzeba czytac calej bazy zeby je odczytac - łatwo rozpoznac które to base64, a które dane binarne ;P

#27 VPN

VPN

    Guru

  • Użytkownik
  • 6923 postów

Napisano 2009.03.06, 17:32

OK, a jeszcze takie pytanie odnośnie kodowania/szyfrowania.

Powiedzmy mamy w jakimś komunikatorze szyfrowany profil, a dokładnie plik konfiguracyjny z zapisanym hasłem i loginem do jakiejś sieci, np. Jabbera. W przypadku, gdy wejście do profilu zabezpieczymy hasłem, jasne jest, że za każdym razem, gdy będziemy uruchamiać komunikator potrzebne będzie wpisanie hasła. A co w przypadku, gdy zaznaczymy autologowanie? Wtedy oczekujemy, że nie będziemy musieli przy uruchamianiu wpisywać hasła do profilu, prawda? A więc hasło do profilu może być zgodnie z tym jedynie kodowane?
A co w sytuacji, gdy nie mamy ustawionego hasła do profilu? Wtedy hasło do sieci w pliku może być też co najwyżej kodowane, czy tak?

Tu byłem.


#28 Morpheus

Morpheus

    Weteran

  • Wtyczkopisarz
  • 712 postów

Napisano 2009.03.06, 17:50

Ogolnie to wyglada tak: Mozna zabezpieczyc jakies dane haslem, ale wtedy przy wczytywaniu ich aqq by wymagalo podania tego hasla.

#29 VPN

VPN

    Guru

  • Użytkownik
  • 6923 postów

Napisano 2009.03.06, 18:07

A w przypadku GG jest tak samo? Bo oni szczycą się szyfrowanym profilem algorytmem Blowfish... Ale jeśli nie ustawię hasła do profilu i mam autologowanie to profil nie może być zaszyfrowany, a tym samym także hasło do mojego konta w sieci GG, czyż nie?

Tu byłem.


#30 Morpheus

Morpheus

    Weteran

  • Wtyczkopisarz
  • 712 postów

Napisano 2009.03.06, 18:37

Moze jest "zaszyfrowany" ale haslo do zaszyfrowanych danych jest trzymane jakims prostym algorytmem (nie wymagajacym hasla), albo jako zwykly text. Nie wiem w sumie jak to jest w GG.

#31 VPN

VPN

    Guru

  • Użytkownik
  • 6923 postów

Napisano 2009.03.06, 18:49

No i tak samo mogłoby być w AQQ. Zawsze to lepsze zabezpieczenie niż tylko kodowanie. A jak ktoś chciałby mieć pewność, to zakłada hasło na profil i wtedy ma zagwarantowane szyfrowanie, pod warunkiem, że nie włączy autologowania.

Tu byłem.


#32 Inferno

Inferno

    Bywalec

  • Użytkownik
  • 213 postów

Napisano 2009.03.06, 19:42

Hasło do profilu powinno być zaszyfrowane, nawet hashem jednostronnym (nie dającym się odkodować), a co do haseł do serwera, to powinny być zapisane w pliku binarnym, w taki sposób, aby było trudno do znalezienia odpowiednich danych. Po za tym, te hasła do serwera, też mogły by być zaszyfrowane w jakiś sposób, a program przed logowaniem by to hasło odszyfrował i potem logował do sieci.

Coś trzeba z tym zrobić.

#33 Randall_Memphis

Randall_Memphis

    Weteran

  • Użytkownik
  • 509 postów

Napisano 2009.03.07, 14:43

hej ho, to komunikator dla ludzi, nie dla pracownikow pentagonu! takie rzeczy to bym widzial w czyms a'la ggpro

Dołączona grafika

Dołączona grafika


Chciałbym w nowej edycji #AQQ Oscarów oddać głos na ^Eskej'a jako najlepszego kompozytora, oraz ^Beherit'a za wtyczke do #Blip'a


#34 VPN

VPN

    Guru

  • Użytkownik
  • 6923 postów

Napisano 2009.03.07, 14:51

A szarzy ludzie nie zasługują na bezpieczeństwo?

Tu byłem.


#35 Randall_Memphis

Randall_Memphis

    Weteran

  • Użytkownik
  • 509 postów

Napisano 2009.03.07, 15:01

kiedys tak sie wkrecilem przez bodajze akcje Gregora dotyczaca calego SSLa innych pierdol w Aqq. dopiero teraz jak jakies tam zabezpieczenia sa, i widze postulaty o zabezpieczenia jak z fort Knox to zastanawiam sie nad tym czy to ma sens. bylo nie bylo, wazne informacje przekazuje szyfrowana poczta, lub osobiscie, Aqq sluzy mi do rozmow ze znajomymi. bo co? ktos przechwyci jak z Magnesem brechamy z HP Gołebia? czy sciage na jakeis kolokwium? dajcie spokoj, szyfrowanie ma zalety, ale to nie znaczy ze zeby dostac sie do lodowki trzeba podac klucz publiczny ;]

Dołączona grafika

Dołączona grafika


Chciałbym w nowej edycji #AQQ Oscarów oddać głos na ^Eskej'a jako najlepszego kompozytora, oraz ^Beherit'a za wtyczke do #Blip'a


#36 VPN

VPN

    Guru

  • Użytkownik
  • 6923 postów

Napisano 2009.03.07, 15:04

Żaden Fort Knox. Dziś szyfrowanie takich danych staje się niepisanym standardem, co nawet konkurencja zauważyła. Więc dlaczego nie korzystać z tych dobrodziejstw?

Tu byłem.


#37 Randall_Memphis

Randall_Memphis

    Weteran

  • Użytkownik
  • 509 postów

Napisano 2009.03.07, 15:15

standard ma to do siebie ze jest gdzies zapisany i zdefiniowany :)
a dlaczego nie korzystac? bo podstawowe zabezpieczenia sa. kazde kolejne beda wiecznie zbyt slabe dla kolejnych userow. kiedys nie bylo nic i dalo sie z tym zyc, teraz sa jakies podstawy i imho styka. jak ktos ma fizyczny dostep do kompa to niewazne jak bedzie szyfrowany/kodowany/zabezpieczony profil, sposob sie znajdzie na obejscie tego. wazniejsze jest zabezpieczenie samej transakcji na lini IM<serwer>IM

Dołączona grafika

Dołączona grafika


Chciałbym w nowej edycji #AQQ Oscarów oddać głos na ^Eskej'a jako najlepszego kompozytora, oraz ^Beherit'a za wtyczke do #Blip'a


#38 Inferno

Inferno

    Bywalec

  • Użytkownik
  • 213 postów

Napisano 2009.03.07, 16:34

A mnie to i tak nie przekonuje, gdyby mnie nie obchodziło to, że kiedyś jak dzieliłem komputer ze wszystkimi, i w dokumentach jednego z profili znalazłem wyłapywacz haseł do starej wersji gg, pewnie dzisiaj bym siedział na tym komunikatorze, bo zabezpieczenia by mnie nie interesowały.




Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych