- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Если взломали сайт, то слили уже базу и посмотрели соль. И пошли счастливые перебирать пароли.
Согласитесь, что проще взять готовенькое, чем подбирать варианты. Затраты времени несоизмеримые, когда на каком-нибудь ресурсе тысячи юзеров, да плюс к этому они ещё и часто меняют свои пароли. Задача ведь в чём - максимально осложнить жизнь злоумышленнику, и минимизировать потери от взлома.
допустим, кто-то взломал сайт и поставил скрипт, читающий $_POST.
Это как разрушив стену дома, лазить в него через форточку в кухне. ;)
Согласитесь, что проще взять готовенькое, чем подбирать варианты. Затраты времени несоизмеримые, когда на каком-нибудь ресурсе тысячи юзеров, да плюс к этому они ещё и часто меняют свои пароли. Задача ведь в чём - максимально осложнить жизнь злоумышленнику, и минимизировать потери от взлома.
Потеря это уже пароли слили и почты их. Аккаунты можно продавать, а на почты можно слать спам, а на сам хостинг или цепануть вирус или продавать ссылки или дорвеи заливать.
Поезд уже ушёл. 🍿
Согласитесь, что проще взять готовенькое, чем подбирать варианты. Затраты времени несоизмеримые, когда на каком-нибудь ресурсе тысячи юзеров, да плюс к этому они ещё и часто меняют свои пароли. Задача ведь в чём - максимально осложнить жизнь злоумышленнику, и минимизировать потери от взлома.
Для начала не мешает понять ЗАЧЕМ нужны эти акаунты.
И какой смысл в скрипте (на взломанном!!!! сервере), перехватывающем пароли через POST.
:)
Зачем нужны? Хотя бы затем, что очень многие не заморачиваются, и ставят один и то же пароль на все сервисы. Какой смысл в скрипте? Получить готовый пароль, а не пытаться подбирать пароль из, скажем, 12 знаков, через хэш и соль.
Хотя бы затем, что очень многие не заморачиваются, и ставят один и то же пароль на все сервисы
Смешно :)
Т.е. ты предполагаешь, что взломщик будет подбирать ВСЕ эти комбинации на ВСЕ доступные
(ок самые популярные/нужные) сервисы? мамадорагая..
Нет, если пофантазировать, то наверное теоретически возможно. Но если подумать о соотношении затраченные ресурсы/профит, то ИМХО взломщики будут в жестком минусе.
При том, что добравшись до базы (сайт уже вломан же), они ЛЕГКО поимеют разный профит - начиная от спам-рекламы, продажи баз и заканчивая фишинговыми письмами от тех же сервисов. (ещё тот же вопрос - зачем те акки, если это не биллинг/почта/етс)
Увы, не смешно:o. Допустим, кто-то взломал этот форум. Скачал отсюда 10000 паролей активных юзеров. Из них 1000, допустим, "на всё подряд". Значит - это пароль на почту, и может быть, не одну. И пароль на другие сайты, где, может быть этот юзер уже админ. И пароли на ящики с деньгами. Другое дело, что важные сервисы уже обложились SMS-подтверждениями и прочими приблудами, потому что в курсе про эти фокусы - но это уже второй вопрос.
Да на стороне юзера хоть пусть все вирусы мира сидят и перехватывают данные. Важнее безопасность остальных на сервере и их данных. Если у одного проблемы, это не должно касаться других. Если перехватывать, то перехватят куки и всю сессию, пароль нафиг никому не сдался.
В том то и дело, что в MITM перхватывают не на стороне юзера, а между, проксируя запросы через себя на сервер. Тут никто и не говорит о том, что хеш на клиенте == хеш пароля в базе на сервере. Представь что я сижу в кафе, и вижу пост запрос: admin;abcdefg. Или в другом случае, я вижу пост запрос: admin;78f3257f94d5fb85e397ee44914e8eb4. Даже на Android есть приложухи, позволяющие сниффить пакеты Wi-Fi, и просматривать данные. Там и пароли, и прочая веселуха, для тех, кто не по SSL данные передает.
На ко хрен им какой-то post вставлять и считывать пароли?!
На тот случай, когда хеш не md5, а какой нибудь BCrypt. Зачем расшифровывать хеш, когда можно просто собрать пароли в чистом виде?
Увы, не смешно. Допустим, кто-то взломал этот форум. Скачал отсюда 10000 паролей активных юзеров. Из них 1000, допустим, "на всё подряд". Значит - это пароль на почту, и может быть, не одну.
Всё смешнее и смешнее :) Ну серьёзно. Почта у юзера в базе указана только одна. Это раз.
Два... писал-писал, удалил. - см выше про профит. Тем более что ты понимаешь, про защиту серьёзных сервисов.
И пароль на другие сайты, где, может быть этот юзер уже админ.
Серьёзно?!! Админ будет использовать на сторонних ресурсах те же данные? А ты умеешь рассмешить :)
А ты умеешь рассмешить :)
Ну хоть что-то умею - и то приятно :).