Удаление папки /install/ - обязательно!

Файловый Архив

  • Неограниченное количество категорий и суб-категорий
  • Настройки прав доступа по группам
  • Настройки прав доступа по каждой категории
  • Предпросмотр медиа файлов: FLV, IFLV, F4A, F4V, MP4, MP3, MOV и других...
  • Мультизагрузка файлов - SWFUploader
  • Добавление файлов с сервера
Подробности и история обновлений продукта в этой теме
Loading

Go Back   форум vBSupport.org > >
Register Изображения Меню vBsupport Files Manager Аллея Звёзд Реклама на форуме Search Today's Posts Mark Forums Read
  • Мемберка
  • Администраторам
  • Premoderation
  • For English speaking users
  • Изменения в правах
  • Каталог Фрилансеров
Пароли на скачивание файлов в Member Area меняются автоматически каждый день
Если вам нужно скачать какой то скрипт, за паролем ко мне в ЛС
привет какирам kerk
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота.
Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
На форуме введена премодерация ВСЕХ новых пользователей

Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
for English speaking users:
You may be surprised with restriction of access to the attachments of the forum. The reason is the recent change in vbsupport.org strategy:

- users with reputation < 10 belong to "simple_users" users' group
- if your reputation > 10 then administrator (kerk, Luvilla) can decide to move you into an "improved" group, but only manually

Main idea is to increase motivation of community members to share their ideas and willingness to support to each other. You may write an article for the subject where you are good enough, you may answer questions, you may share vbulletin.com/org content with vbsupport.org users, receiving "thanks" equal your reputation points. We should not only consume, we should produce something.

- you may:
* increase your reputation (doing something useful for another members of community) and being improved
* purchase temporary access to the improved category:
10 $ for 3 months. - this group can download attachments, reputation/posts do not matter.
20 $ for 3 months. - this group can download attachments, reputation/posts do not matter + adds eliminated + Inbox capacity increased + files manager increased permissions.

Please contact kerk or Luvilla regarding payments.

Important!:
- if your reputation will become less then 0, you will be moved into "simple_users" users' group automatically.*
*for temporary groups (pre-paid for 3 months) reputation/posts do not matter.
Не можете скачать вложение?
Изменения в правах групп пользователей
внимательно читаем эту и эту темы
Короткая версия - тут
Уважаемые пользователи!

На форуме открыт новый раздел "Каталог фрилансеров"

и отдельный раздел для платных заказов "Куплю/Закажу"

 
 
Первый пост
Old  
zCarot
zМарковь
Хочет третью строчку =)
 
zCarot's Avatar
Default 1

Перенёс разговор про нагрузку от .htaccess вот сюда:
http://vbsupport.org/forum/showthread.php?t=37197
 
Bot
Yandex Bot Yandex Bot is online now
 
Join Date: 05.05.2005
Реклама на форуме А что у нас тут интересного? =)
Old  
CaptainSASH
Простоузер
Default 0

Quote:
Originally Posted by gilas View Post
Пароли должны быть вида, пример:

PHP Code:
ruske-1slov-sshibkmi
dzachem
-fprarol-moi3 
Слова могут быть заменены вашей кратким планом на день или скажем на Ваш ДР.

PHP Code:
napuis-s-dashkoi3-
Согласитесь, это лучше запоминается чем "Jfd93jiSjif843HHH".
Хороший пароль должен состоять из 6-14 символов и содержать в себе символы верхнего и нижнего регистра, цифры и спец символы верхнего (!@#$%^&*) и нижнего ряда (<>?:"{}) и не нести языковую смысловую нагрузку ( в том числе транслитерация и набор русских слов на английской раскладке) ибо брутится по словарю...

Для свободного запоминания используйте хорошо известные вам девизы, стихи и т.д.
Набирая к примеру первые буквы слов (на английской раскладке) разбавленные спец символами.

Не ссы в кампот, там повар ловит!

Yc2r#Ngk!

 
Old  
g0rn
Гуру
Default 1

Ну и сколько лет будут брутить пароль, созданный например по методу http://world.std.com/~reinhold/diceware.html ?
Там получается словарь, в котором 6^5 слов (7776), то есть если мы сделаем пароль из 5 слов, как и рекомендуется, мы получим 6^25 вариантов, что эквивалентно паролю из 10 символов 95-символьного алфавита (видимые символы половины таблицы ASCII, то есть заглавные/строчные латинские буквы, цифры и всевозможные спецсимволы и пробел), зато запоминается в тысячу раз легче.
 
Old  
CaptainSASH
Простоузер
Default 0

Quote:
Originally Posted by g0rn View Post
Ну и сколько лет будут брутить пароль
Меньше (лет) чем в варианте предложенным мною...

Не следует забывать, что в некоторых системах хешируется только первая часть пароля...
AFAIK, у мастдая первые 7+7 симвлов... (LM-хеш)

Quote:
Originally Posted by g0rn View Post
зато запоминается в тысячу раз легче.
Чем "Не ссы в кампот, там повар ловит!"?



Моё дело предложить - ваше отказаться...
 
Old  
g0rn
Гуру
Default 1

Quote:
Originally Posted by CaptainSASH View Post
Меньше (лет) чем в варианте предложенным мною...
Ну и почему?
Quote:
Originally Posted by CaptainSASH View Post
Не следует забывать, что в некоторых системах хешируется только первая часть пароля...
AFAIK, у мастдая первые 7+7 симвлов... (LM-хеш)
В Windows нормальный (по тем временам) алгоритм NTLM появился уже аж 17 лет назад, в NT 3.1, а сегодня вроде повсеместно используется Kerberos или NTLMv2.
 
Old  
CaptainSASH
Простоузер
Default 0

Quote:
Originally Posted by g0rn View Post
Ну и почему?
Потому, что оно (это слово) есть в словаре...

Quote:
и не нести языковую смысловую нагрузку ( в том числе транслитерация и набор русских слов на английской раскладке)

Словом
быть не должно

Quote:
Originally Posted by g0rn View Post
В Windows нормальный (по тем временам) алгоритм NTLM появился уже аж 17 лет назад, в NT 3.1, а сегодня вроде повсеместно используется Kerberos или NTLMv2.
"На городи бузына, а в Киеви дядько" (с) Украинская пословица

NTLM - протоколом сетевой аутентификации
LM-хеш - вид шифрования
 
Old  
ViolentOr
АнтиГуру
Default 2

Quote:
Originally Posted by CaptainSASH View Post
Потому, что оно (это слово) есть в словаре...
ммм... человек, у которого в словаре есть слова вроде
Quote:
sshibkmi
Quote:
dzachem
Quote:
fprarol
Quote:
napuis
и прочее -- представляются мне не самыми здоровыми людьми. Само назначение словаря это относительно _быстрый_ брут по _наиболее популярным_ словам. Вариации с ошибками там, как правило, отсутствуют.

Quote:
Originally Posted by CaptainSASH View Post
6-14 символов и содержать в себе символы верхнего и нижнего регистра, цифры и спец символы верхнего (!@#$%^&*) и нижнего ряда (<>?:"{}) и не нести языковую смысловую нагрузку ( в том числе транслитерация и набор русских слов на английской раскладке) ибо брутится по словарю..
Ты понимаешь СКОЛЬКО займет брут по словарю (с учетом бана после 5 ошибок особенно) пароля вроде "ujke,fzkeyf"? Это всего-лишь "голубаялуна" на английской раскладке, что нарушает почти все твои советы. НО! Чтобы оно оказалось в словаре, словарь должен содержать в себе (хотя бы) названия песен российской попсы на русском+транслитированном+неправильной раскладке. Ты объемы такого словаря себе представляешь? =)

Есть замечательный способ выбирать пароли -- так называемый "метод Цицерона" или "Римская комната". Его смысл в том, что ты выбираешь пароль, исходя из места где ты его вводишь, чтобы что-то тут тебе напоминало о нем. Например, возьмем этот форум. Достаточно легко взять пароль, скажем, "hairyhysteric" (это не мой пароль -- можете не пробовать =) ) словарем его не возьмут (разве что случайно), а вспомнить пароль крайне просто. В логотипе форума есть Кот. Кот это кошка. Кошка это волосатая, ссущая по углам истеричка (с). В результате есть более-менее стойкий и весьма запоминающийся пароль.

Quote:
LM-хеш - вид шифрования
ты меня без ножа режешь. Как хэш может быть видом шифрования? Хэш это уже результат обработки массива одной из функций свертки...
 
Old  
Mago de Sombra
Знаток
 
Mago de Sombra's Avatar
Default 1

Брут пароля в вобле - самое бесперспективное занятие. Мало того, что жутко медленное, так ещё и любой нормальный админ заметит сие после 10 попыток.
 
Old  
g0rn
Гуру
Default 1

Quote:
Originally Posted by CaptainSASH View Post
NTLM - протоколом сетевой аутентификации
LM-хеш - вид шифрования
Алгоритмы бывают разные, как хэширования, так и шифрования, так и аутентификации. И чтобы получить надёжный алгоритм аутентификации вовсе не обязательно велосипедить свои алгоритмы хэширования и шифрования, можно взять уже существующие, удовлетворяющие для текущего времени стандартам надёжности. NTLM включает в себя свой алгоритм аутентификации (сервер посылает 8-битное случайное число, клиент считает MD4 от пароля, дополняет нулями резуальтат до 21 байта, разбивает на три части, каждую часть использует в качествет DES-ключа для шифрования того случайного числа и объединяет результат). Я и говорил о том, что нормальный алгоритм аутентификации, где не используется (отключается вручную, либо автоматически если пароль > 14 символов) LM-hash был уже в 1993 году в Windows.
 
Old  
CaptainSASH
Простоузер
Default 0

Quote:
Originally Posted by ViolentOr View Post
ммм... человек, у которого в словаре есть слова вроде
Мммм... Дык, это и не слова....

Quote:
Originally Posted by ViolentOr View Post
Ты понимаешь СКОЛЬКО займет брут по словарю (с учетом бана после 5 ошибок особенно) пароля вроде "ujke,fzkeyf"? Это всего-лишь "голубаялуна" на английской раскладке, что нарушает почти все твои советы.
А вот это уже слова и такой пароль вскроется достаточно быстро...
Ну, а через "парадный вход" никто и не брутит...

Quote:
и не нести языковую смысловую нагрузку ( в том числе транслитерация и набор русских слов на английской раскладке) ибо брутится по словарю...
Quote:
Originally Posted by ViolentOr View Post
Как хэш может быть видом шифрования? Хэш это уже результат обработки массива одной из функций свертки...
RTFM

Quote:
Originally Posted by Mago de Sombra View Post
Брут пароля в вобле - самое бесперспективное занятие. Мало того, что жутко медленное, так ещё и любой нормальный админ заметит сие после 10 попыток.
Интересно, каким образом нормальный админ в вобле заметит брут пароля другого админа (который в отпуске, на Говерле) этой же воблы?
Видимо парся error_auth.log?

Quote:
Originally Posted by g0rn View Post
NTLM включает в себя свой
Здесь видимо речь идёт о NT-хеш?

Но, к примеру... ведь простой доменный пользователь корпоративной сети, знать не знает нормальный или нет админ в этой корпоративной сети... отключил ли он LanManager, а если есть Win9x клиенты, то нет...

Quote:
Алгоритм LanManager (LM) был разработан в начале 90-х годов прошлого века. Операционная система Windows Server 2003 вышла тринадцать лет спустя. И тем не менее, в ней все еще хранились пароли пользователей, зашифрованные с применением этого алгоритма.
Виновницей данного факта, как и того, что атаки далеко не первой свежести отлично работают в современных Windows-сетях, является она - та, которая вызывает скрип зубов у разработчиков и крики отчаяния пользователей. Имя ей - backward compatibility.
А корпоративных сетей работающих на NT4 ещё валом, не говоря о W2K...

Ещё раз повторюсь...
Слова, типа "голубаялуна" (в любом написании) в пароле это ЗЛО, а как быстро это зло аукнется для админа, вопрос времени...
 
 

Thread Tools

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off




All times are GMT +4. The time now is 08:46 AM.


Powered by vBulletin® Version Free Edition
Copyright ©2000 - 2016, Jelsoft Enterprises Ltd.