Heh, každá inteligentní webovka by měla mít omezení na počet chybných přihlášení a také detekci jestli se snaží někdo použít dictionary attack nebo brute force attack a hlavně u admin učtu .
A ten borec měl použít TOR sice to není nejrychlejší ale na slovník by to krásně stačilo...ted by se někde smál :-)
Mladík kompromitoval řadu účtů na Twitteru včetně účtu prezidenta Obamy
8. 1. 2009 6:30
Martin Hassman
V pondělí byla kompromitována řada účtů na Twitteru včetně účtu prezidenta Obamy nebo zpěvačky Britney Spears. Začaly se na nich objevovat podezřelé zprávy. Problém má na svědomí osmnáctiletý mladík, který se pomocí slovníkového útoku běžícího přes noc dostal k administrátorskému účtu Crystal. Z toho následně již snadno získal přístup k dalším účtům. Problémem Twitteru je, že nemá omezený počet neúspěšných pokusů pro autentizaci.
Až budete programovat službu s uživatelskými účty, rozhodně nezapomeňte vaši webovou aplikaci proti takovým útokům bránit a počet opakovaných neúspěšných po sobě jdoucích pokusů o autentizaci omezte.
(Zdroje: TechNewsWorld, Wired, Twitter)
Dále čtěte…
- Hranice deseti miliard tweetů padne během několika dnů 3. 3. 2010 12:36
- Geolokace příspěvků na twitteru 2. 10. 2009 13:21
- Přihlašování k Twitteru pomocí OAuth 30. 9. 2009 0:00
- Autentizace přístupu k Twitteru pomocí OAuth v PHP 22. 9. 2009 15:25
- PHP skripty pro Twitter 17. 9. 2009 12:03
aura:34
8. 1. 2009 9:06
Nový
RE: Mladík kompromitoval řadu účtů na Twitteru včetně účtu prezidenta Obamy
celé vlákno
dneska se na bezpecnost kasle zacinam mit dojem; uzivatele voli slaba hesla a rikaji si, proc zrovna ja bych mel nekoho zajimat?
aura:34
8. 1. 2009 18:26
Nový
RE: Mladík kompromitoval řadu účtů na Twitteru včetně účtu prezidenta Obamy
celé vlákno
Proč by někdo lez do mailu zrovna mě? :D
David Kovář (neregistrovaný)
62.40.76.---
8. 1. 2009 9:15
Nový
RE: Mladík kompromitoval řadu účtů na Twitteru včetně účtu prezidenta Obamy
celé vlákno
Já si myslím, že by každá webovka měla implementovat OpenID a přínos bude na obou stranách. Webovka se nebude muset start o vámi zmíněné ptákoviny, ale o funknčnost, kterou chce poskytovat a uživatel si mohl pamatovat jedno silné heslo na systému pro který je správa účtů činnost číslo 1 a ne jen nutný doplněk. Protože podle toho ta autentizace na většině webů vypadá.
aura:82
8. 1. 2009 12:13
Nový
RE: Mladík kompromitoval řadu účtů na Twitteru včetně účtu prezidenta Obamy
celé vlákno
Což problém neřeší, ale jen přesouvá na stranu poskytovatele identity.
(i když je tu určitá šance, že při specializaci bude dělat každý tu svoji práci lépe: tvorba služby a autentizace)
(i když je tu určitá šance, že při specializaci bude dělat každý tu svoji práci lépe: tvorba služby a autentizace)
nepřijatelný (neregistrovaný)
---.ct.cz
8. 1. 2009 9:33
Nový
RE: Mladík kompromitoval řadu účtů na Twitteru včetně účtu prezidenta Obamy
celé vlákno
Problém je u nedůležitých, i když navštěvovaných, služeb ten, že zablokování by každou chvíli tím pádem odnesl jen správný uživatel. Což je nepřijatelný. Tudíž nutit volit silná a dlouhá hesla, pak si nějakej slovníkovej útok může leda nabouchat nebo to zkoušet klidně do skonání světa (když bude hodně otravovat a vytěžovat server, stejně mu po pár hodinách bloknu IPiny a bude v řiti). Anonymní IPiny bez reverzu blokuju tak jako tak.
aura:82
8. 1. 2009 12:16
Nový
RE: Mladík kompromitoval řadu účtů na Twitteru včetně účtu prezidenta Obamy
celé vlákno
+1 Když se omezí počet chybných přihlášení, dá se velice snadno dělat DoS a zamezit přístupu oprávněných uživatelů. Rozumnější je přidat prodlevu při přihlašování v řádech vteřin, která se v případě chybných hesel zvýší třeba na minutu.
tor (neregistrovaný)
195.113.224.---
9. 1. 2009 7:42
Nový
RE: Mladík kompromitoval řadu účtů na Twitteru včetně účtu prezidenta Obamy
celé vlákno
TOR vůbec nic neřeší. Detekovat přístupy přes TOR jde na základě detekce IP koncových uzlů celého TORu. Chytří hledají "Tor exit nodes".
Petr Smid (neregistrovaný)
---.systinet.com
8. 1. 2009 9:57
Nový
Slovnikovy utok na admin heslo
celé vlákno
No ja teda ziram - administrator ma heslo rozlousknutelne slovnikovym utokem... huh.
uživatel si přál zůstat v anonymitě
---.dsl.digiweb.ie
8. 1. 2009 11:16
Nový
Re: Slovnikovy utok na admin heslo
celé vlákno
Kazde heslo je rozlousknutelne slovnikovym utokem. Staci mit ten spravny slovnik se slovy typu h52m45nmxFGJJ54563XDRYH, ASJKYOUY45CFH43673DFJH.... :-)
uživatel si přál zůstat v anonymitě
---.arachne.cz
8. 1. 2009 12:31
Nový
Re: Slovnikovy utok na admin heslo
celé vlákno
Jzismarja, kde jste vzal moje heslo???
uživatel si přál zůstat v anonymitě
---.i.cz
8. 1. 2009 17:13
Nový
Re: Slovnikovy utok na admin heslo
celé vlákno
hahahaha :D
uživatel si přál zůstat v anonymitě
---.jizmorava.adsl-llu.static.bluetone.cz
8. 1. 2009 19:38
Nový
Re: Slovnikovy utok na admin heslo
celé vlákno
:D
8. 1. 2009 13:36
Nový
Re: Slovnikovy utok na admin heslo
celé vlákno
Jak dlouho se takový slovník generuje ? hmm ?
SodaE (neregistrovaný)
---.customer.poda.cz
8. 1. 2009 14:36
Nový
Re: Slovnikovy utok na admin heslo
celé vlákno
:), pak ještě připočíst jak dloho trvalo provést http protokol , ale pravda , měli by tam aspon dát obrázkovou kontolu po 2 špatně zadaném pokusu
Petr (neregistrovaný)
---.239.broadband10.iol.cz
8. 1. 2009 16:41
Nový
RE: Mladík kompromitoval řadu účtů na Twitteru včetně účtu prezidenta Obamy
celé vlákno
Já se ani tak nedivím, že se někdo někam dostal, jako že Obama a Britney mají účty na nějakém Twitteru. Trávím na netu 14h denně a vůbec mi taková služba nechybí, asi má Obama víc času než já a méně si chrání soukromí :)
aura:53
8. 1. 2009 19:11
Nový
RE: Mladík kompromitoval řadu účtů na Twitteru včetně účtu prezidenta Obamy
celé vlákno
Dovodím si opravit. Obamovi přítomnost na Twitteru a dalších sociálních sítích (kterou nezajišťoval on, ale jeho tým) pomohla vyhrát volby.
aura:34
11. 1. 2009 14:39
Nový
Tak přece!
celé vlákno
Tak přece jen má ten Twitter nějakou feature navíc oproti normální RSS čtečce!
aura:53
11. 1. 2009 17:59
Nový
Re: Tak přece!
celé vlákno
Tak Twitter obsahuje export do RSS. Ovšem další funkce Twitteru samotný RSS formát těžko nahradí.
aura:34
11. 1. 2009 23:51
Nový
Re: Tak přece!
celé vlákno
> Ovšem další funkce Twitteru samotný RSS formát těžko nahradí.
To předpokládám, že by to mělo mít i nějaké jiné funkce, aby to vůbec někdo používal. Akorát jsem pořád nějak nezjistil, jaké :)
Rád se nechám poučit.
To předpokládám, že by to mělo mít i nějaké jiné funkce, aby to vůbec někdo používal. Akorát jsem pořád nějak nezjistil, jaké :)
Rád se nechám poučit.
