test sikkerhed

hmmm... det kan man ikke - med mindre man kan gætte passwordet og det jo ikke noget man kan gardere sig imod...

det passer så ikke helt... man kan sagtens bryde den form for login. Hvis jeg havde det rigtige udstyr (cracker programmer :-), etc) på den computer jeg sidder ved ville jeg gerne forsøge.

Man kan sagtens klare en asp login.... men det tager sq lige noget tid hvis det ikke er det område man er i normalt....

Og jeg vir tro vi ikke må Brute Force lortet!!!

du kan selv prøve at se på Hackers.com der er programmer der kan knække din kode(r) så let som ingenting.:-)

Men selvfølgelig det er ikke muligt at gardere sig fuldstændig.

jeg tror ikke det er så smart at hacke serveren da det er brinkster.com den ligger på
men bare prøv

ikke at hacke men at komme ind

dalamar > Shut The Fuck Up !!

Hvis vi må Brute Force kan alle jo få den op det er bare et spørgsmål om tid !!!

Det pointen er i at Cracke er at man skal kunne komme ind ved hjælp af bugs i softwaren... Det gælder altså om at bruge de forskellige Exploits rigtigt.....

hirayz > Lad lige dette spørgsmål stå åben i nogle døgn.. jeg har en selv udviklet Exploits men kan kun få den til at virke på Linux og ikke WinDåse 2K men jeg prøver....

ok

hvis du poster sovsen til dit login-script, så vil det være lidt lettere at finde fejl i programmeringen...

hmm synes da ikk der står noget om cracke / hacke . men om man kan komme ind .. jeg vil sige der gælder ALLE tricks !

dt > Så kan du aldrig nogen sinde sikre et system... Man kan bare Brufe Force det !!! Det er kun et spørgsmåål om hvorlang tid det vil tage...


hirayz > Jeg vil forsøge igen når jeg er på en Linux b0x igen.....

dr.truti > jeps ..  har jeg givet udtryk for andet ? . jeg vil sige at så længe du er ONLINE er du IKKE sikker, meget mere er der vel ikk at sige om det . ok man kan så gøre meget for at mindske de \"huller\" og for øge chancen for at opdage en EVT hmm intruder ! For mig er det lidt det samme at sige til en tyv du må gerne stjæle min bil du må bare ikk bruge værktøj !

dt > Okay så er alt jo fint :)

Fedt eks. Du må gerne stjæle min bil du må bare ikk bruge værktøj !

dr.truti > jammen er det ikk det samme som at sige du ikk må bruge brute force ?

df> bruteforce er en ret langsommelig metode... det er en del lettere at undersøge, hvilke daemons, der kører på maskinen... og så derefter finde evt svagheder i disse... bruteforce kan tage evigheder...

forestil dig et password (der er godt!!!!) på 8 characters

der må benyttes tal, der må benyttes små bogstaver (a-z), og store bogstaver (A-Z)..

det giver 10+25+25 = 60 muligheder...

og med 8 characters giver det 60^8 muligheder... eller 167961600000000 muligheder... man kan derfor konkludere, at bruteforce nok er en dårlig ide... det ser lidt mystisk ud i en logfil med så mange mislykkede forsøg på at komme ind...

har fjolset, der kører services IKKE valgt et godt password (dvs noget, der kan findes i en ordbog eller bare et tal, etc) er der stadigvæk en DEL muligheder...

i ovennævnte eksempel er der ikke engang inkluderet tegn som &@-_!()/ og hvad folk ellers propper i deres password....

hirays> Som før sagt... hvis du poster sourcekoden til dit script, vil det være lidt lettere (og ikke mindst LOVLIGT), at finde fejl i dit script... jeg tror ikke brinkster.com er så glade for, at folk render og tager i deres døre...

hent den her
http://www.friserverplads.dk/hirayzlogin/hirayz.zip

I må da også gerne prøve denne javascript login, i show source finder i username og password og siden der redirigeres til, krypteret dog.

Hvis i keder jer må i godt knække username/password ;)

http://ekspert.coder.dk/jskode/

ideen er ikke at knække username/password... ideen er, at finde ud af, hvilken side, scriptet vil føre en hen til, når man har indtastet den rigtige kombination... bruteforce/kodebrydning er for langsommelig en afære, omend at det gør det lidt lettere at have source kode til implementeringen til rådighed...

Ja det er rigtigt :) Jeg mente faktisk knække passwordet - for det skal jo til for at se hvor siden fører hen!
I hvert fald finder i passwordet hvis i finder ud af hvor man bliver sparket hen :o)

Havde en underholdelde diskussion med nute i dag om javascript sikkered etc :) Se http://www.eksperten.dk/spm/133645

coderdk>der vil være måder, der er lettere at bryde dit lille script på, end at bruteforce det... hvis det er et ægte oneway pasword hash, er det jo pænt svært at regne sig frem til koden...

men siden, du prøver at beskytte ligger stadig frit fremme et sted... det du bruger er ikke sikkerhed vha af kryptering, men sikkerhed vha obskuring... du har sådan set bare gemt siden og så må man bare ud at lede...

desuden er din metode aldeles åben for diverse simple man-in-the-middle angreb og alle former for  sniffing... ja selv ved et kig i din history kan man finde frem til din side...

så spørgsmålet er ikke om dit javascript eller din implementation er god... spørgsmålet er om metoden er noget værd i praksis....

... og det kommer jo helt an på, hvad du skal bruge det til... personligt ville jeg ikke bruge dit script til validering af noget som helst vigtigt...

thomasleddet> som jeg også sagde til nute - javascript er en dårlig måde at gøre det på ja, men hvis det passer til formålet er det jo ok :)

Jeg sagde også at hvis man ville lave noget ordentligt burde siden laves med f.eks. php og fobindelsen SSL krypteres...

Jeg har skam heller ikke selv tænkt mig at bruge den - jeg ville bare demonstrere noget!

Der er een ting der kunne bruges ved det - man kan bruge som supplement til f.eks. en asp eller php login - som du jo ved poster man jo i klar tekst... Nu kan du poste password krypteret :)

thomasledet > joo det har du da ret i, det har aldrig været minpointe om brute force var hurtigt eller ej . ej heller om det er godt at bruge om du må etc .. det MIN pointe var at dr.truti sagde Det pointen er i at Cracke er at man skal kunne komme ind ved hjælp af bugs i softwaren... Det gælder altså om at bruge de forskellige Exploits rigtigt.....
og min kommentar til der .. WEEE .. og at det var det samme som at sige du må gerne stjæle min bil du må bare ikk bruge værktøj

bruteforce er et værktøj, exploits er et værktøj, prøver at snyde systemet på andre måder er et værktøj... social engineering er et værktøj... eavesdropping er et værktøj... sniffing er et værktøj... og jeg kunne blive ved... alt er da et værktøj, når det kommer til stykket... hvad er det for noget at kaste med mudder over?? og exploits finder og skriver man da forøvrigt selv... og sender pr. mail og evt anbefalet brev til firmaet/personen/whatever et par uger før man ellers gør noget som helst andet med det...

thomasledet > det her er jo lige som at høre på polle på tv !! det enste jeg ga en kommentar var dette :

Det pointen er i at Cracke er at man skal kunne komme ind ved hjælp af bugs i softwaren... Det gælder altså om at bruge de forskellige Exploits rigtigt.....dr.truti

det var jeg uenig i .. That All !!!

ups .. skal vist lige skære dette helt ud i pap . jeg vil gi dr.truti ret et langt stykke af vejen . men her spurgte man om vil TESTE SIKKERHEDEN ! hvad har det med nobel hacking at gøre ?

intet... andet end at man umuligt kan teste sikkerheden 100%, når skidtet ligger på en server, som ikke er hans... brinkster.com bliver nok ikke tilfredse med at en hel flok danskere, der tror de er smarte render og roder rundt med deres maskine...

nå der var ingen der kunne

LMAO gess so .. der gik jo politik iden :)