WN
Sidan 5 av 9 « Första 34 5 67 Sista »
Visa 40 inlägg från det här ämnet på en sida

WN (https://www.wn.se/forum/index.php)
-   Nyheter (https://www.wn.se/forum/forumdisplay.php?f=3)
-   -   Bloggtopppen.se och SQL injection - Fin fil med alla users (https://www.wn.se/forum/showthread.php?t=1050616)

klein 2011-10-26 13:36
http://www.polisen.se/Utsatt-for-bro...-via-Internet/

Som kungen säger , land skall med lag byggas.

Citat:
Ursprungligen postat av Timofey (Inlägg 20421569)
Ni skulle ha skickat till alla era medlemmar istället för att joina på en (stulen) databas från en konkurrerande verksamhet.

Ni har skickat detta obeställda e-postmeddelande (spam) till mig i egenskap av enskild firma. Det är förbjudet att skicka obeställd e-postreklam till privatpersoner och enskilda firmor enligt http://www.konsumentverket.se/sv/int.../Anmala-spam1/
Jag betraktar ert utskick enbart som spam. Ni bryter alltså mot lagen.

Hur många är några tusen (som matchades felaktigt)? Tror det är många!

Captain Thailand 2011-10-26 13:48
Hej,

Förhoppningsvis utmynnar denna soppa i två läxor för framtiden:

1. Användarna skärper till sig beträffande sina lösenord

2. Sajtägare (med populära webbplatser) skärper till sig beträffande säkerheten

...och så levde alla lyckliga i alla sina dagar.

BarateaU 2011-10-26 14:18
Testade precis IDG's "sökmotor" för den hackade db'n.
http://computersweden.idg.se/2.21695

Men den hitta inte min adress som fanns med i filen, hmm.

FredrikMH 2011-10-26 15:33
Jag är lite sugen på att förbättra säkerheten på några gamla webbplatser som endast kör MD5. Någon som har ett bra förslag på vad man ska göra om man bara har tillgång till MD5-strängen? Det går ju att bygga vidare på det och fixa en ny hash-tagg med salt från MD5, eller skicka ut nya lösenord till alla medlemmar. Sista alternativet känns inte jätte roligt.

Jan Eriksson 2011-10-26 15:41
Citat:
Ursprungligen postat av FredrikMH (Inlägg 20421648)
Jag är lite sugen på att förbättra säkerheten på några gamla webbplatser som endast kör MD5. Någon som har ett bra förslag på vad man ska göra om man bara har tillgång till MD5-strängen? Det går ju att bygga vidare på det och fixa en ny hash-tagg med salt från MD5, eller skicka ut nya lösenord till alla medlemmar. Sista alternativet känns inte jätte roligt.
För att inte störa användarna så är en tanke att när de loggar in nästa gång, kontrollera lösenordet och stämmer det så skapa en nya hash-tagg med salt och radera det gamla. Efter en viss tid så tvingar du de användare som ännu inte har loggat in.

En tank?

FredrikMH 2011-10-26 15:48
Citat:
Ursprungligen postat av Jan Eriksson (Inlägg 20421650)
För att inte störa användarna så är en tanke att när de loggar in nästa gång, kontrollera lösenordet och stämmer det så skapa en nya hash-tagg med salt och radera det gamla. Efter en viss tid så tvingar du de användare som ännu inte har loggat in.

En tank?
Ja fungerar fast inaktiva medlemmar måste man då sortera ut :) Men jag har nog en lösning att köra på så dumt av mig att gå OT här :)

SimonP 2011-10-26 15:50
Citat:
Ursprungligen postat av FredrikMH (Inlägg 20421648)
Jag är lite sugen på att förbättra säkerheten på några gamla webbplatser som endast kör MD5. Någon som har ett bra förslag på vad man ska göra om man bara har tillgång till MD5-strängen? Det går ju att bygga vidare på det och fixa en ny hash-tagg med salt från MD5, eller skicka ut nya lösenord till alla medlemmar. Sista alternativet känns inte jätte roligt.
Det bästa är att konvertera när de loggar in, vid korrekt inloggning konverterar du till det "nyare" formatet. Ett enkel lösning är att lägga till salt och ev. byta hashalgoritm, tex. SHA256(Md5hash + salt). Genom att kolla på längden på hashen i databasen så ser man om användaren är konverterad eller ej

Captain Thailand 2011-10-26 15:51
Fredrik,

Bra tycker jag. Det kan säkert inspirera och informera andra som är inne på motsvarande säkerhetsförbättringar. Suveränt att du handlar för övrigt.

FredrikMH 2011-10-26 15:57
Citat:
Ursprungligen postat av Captain Thailand (Inlägg 20421653)
Fredrik,

Bra tycker jag. Det kan säkert inspirera och informera andra som är inne på motsvarande säkerhetsförbättringar. Suveränt att du handlar för övrigt.
Tack. Men jag borde gjort detta tidigare :( Det är inte först nu som jag insett att MD5 är dåligt, jag har bara varit för lat för att ändra det.

@SimonP Det kommer nog bli något liknande det andra alternativet.

Jim_Westergren 2011-10-26 16:12
Fredrik,

Bra att du agerar. Jag har precis gjort samma sak själv idag där jag såg att en sajt med ett skript som jag inte kodat själv endast använde md5 utan salt. Jag använder givetvis salt när jag själv kodar (N.nu har alltid haft salt + mycket mer).

Jag rekommendera denna med det bästa svaret där:
http://stackoverflow.com/questions/1...assword-hashes

Precis infört det själv.


Alla tider är GMT +2. Klockan är nu 20:37.
Sidan 5 av 9 « Första 34 5 67 Sista »
Visa 40 inlägg från det här ämnet på en sida

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson