Bloggtopppen.se och SQL injection - Fin fil med alla users

klein · 2011-10-27, 16:37

Medias hysteri kring det här intrången är katastroft dåligt gjort.. Verka som hela Svenska journalistkåren har Aftonhoran som någon förebild, att alla skall producera lika dålig journalistisk som Aftonhoran numera.

Fick en gamla domän uthängd ( Som jag inte äger ) , det visar sej vara en kundweb som hade blevit hackad för länge sedan Har personligen ingen anknytning till den verksamheten längre, men tycker ändå dåligt av media. När det skall skyddas brottslingar, så är man jättenoga med tom vitpixlar bilder, men här behövdes ingen efterforskning alls eller faktakoll alls utan bara ut med skiten, utan nyanser....

Citat:

Ursprungligen postat av Clarence

Tycker det är en rätt bra artikel, eller den fyller ett syfte iallafall. Uppenbarligen behöver väldigt många höra det då och då på bebisnivå. Även journalister och bloggare. Lite synd bara att man vid snabb läsning kan få intrycket att man hade varit säker om man använt ett "säkert lösenord".

Captain Thailand · 2011-10-26, 13:48

Hej,

Förhoppningsvis utmynnar denna soppa i två läxor för framtiden:

1. Användarna skärper till sig beträffande sina lösenord

2. Sajtägare (med populära webbplatser) skärper till sig beträffande säkerheten

...och så levde alla lyckliga i alla sina dagar.

BarateaU · 2011-10-26, 14:18

Testade precis IDG's "sökmotor" för den hackade db'n.
http://computersweden.idg.se/2.21695

Men den hitta inte min adress som fanns med i filen, hmm.

FredrikMH · 2011-10-26, 15:33

Jag är lite sugen på att förbättra säkerheten på några gamla webbplatser som endast kör MD5. Någon som har ett bra förslag på vad man ska göra om man bara har tillgång till MD5-strängen? Det går ju att bygga vidare på det och fixa en ny hash-tagg med salt från MD5, eller skicka ut nya lösenord till alla medlemmar. Sista alternativet känns inte jätte roligt.

Jan Eriksson · 2011-10-26, 15:41

Citat:

Ursprungligen postat av FredrikMH

Jag är lite sugen på att förbättra säkerheten på några gamla webbplatser som endast kör MD5. Någon som har ett bra förslag på vad man ska göra om man bara har tillgång till MD5-strängen? Det går ju att bygga vidare på det och fixa en ny hash-tagg med salt från MD5, eller skicka ut nya lösenord till alla medlemmar. Sista alternativet känns inte jätte roligt.

För att inte störa användarna så är en tanke att när de loggar in nästa gång, kontrollera lösenordet och stämmer det så skapa en nya hash-tagg med salt och radera det gamla. Efter en viss tid så tvingar du de användare som ännu inte har loggat in.

En tank?

FredrikMH · 2011-10-26, 15:48

Citat:

Ursprungligen postat av Jan Eriksson

För att inte störa användarna så är en tanke att när de loggar in nästa gång, kontrollera lösenordet och stämmer det så skapa en nya hash-tagg med salt och radera det gamla. Efter en viss tid så tvingar du de användare som ännu inte har loggat in.

En tank?

Ja fungerar fast inaktiva medlemmar måste man då sortera ut

Men jag har nog en lösning att köra på så dumt av mig att gå OT här

SimonP · 2011-10-26, 15:50

Citat:

Ursprungligen postat av FredrikMH

Jag är lite sugen på att förbättra säkerheten på några gamla webbplatser som endast kör MD5. Någon som har ett bra förslag på vad man ska göra om man bara har tillgång till MD5-strängen? Det går ju att bygga vidare på det och fixa en ny hash-tagg med salt från MD5, eller skicka ut nya lösenord till alla medlemmar. Sista alternativet känns inte jätte roligt.

Det bästa är att konvertera när de loggar in, vid korrekt inloggning konverterar du till det "nyare" formatet. Ett enkel lösning är att lägga till salt och ev. byta hashalgoritm, tex. SHA256(Md5hash + salt). Genom att kolla på längden på hashen i databasen så ser man om användaren är konverterad eller ej

Captain Thailand · 2011-10-26, 15:51

Fredrik,

Bra tycker jag. Det kan säkert inspirera och informera andra som är inne på motsvarande säkerhetsförbättringar. Suveränt att du handlar för övrigt.

FredrikMH · 2011-10-26, 15:57

Citat:

Ursprungligen postat av Captain Thailand

Fredrik,

Bra tycker jag. Det kan säkert inspirera och informera andra som är inne på motsvarande säkerhetsförbättringar. Suveränt att du handlar för övrigt.

Tack. Men jag borde gjort detta tidigare

Det är inte först nu som jag insett att MD5 är dåligt, jag har bara varit för lat för att ändra det.

@SimonP Det kommer nog bli något liknande det andra alternativet.

Jim_Westergren · 2011-10-26, 16:12

Fredrik,

Bra att du agerar. Jag har precis gjort samma sak själv idag där jag såg att en sajt med ett skript som jag inte kodat själv endast använde md5 utan salt. Jag använder givetvis salt när jag själv kodar (N.nu har alltid haft salt + mycket mer).

Jag rekommendera denna med det bästa svaret där:
http://stackoverflow.com/questions/1...assword-hashes

Precis infört det själv.

Aktiva användare som för närvarande tittar på det här ämnet: 1 (0 medlemmar och 1 gäster)

Menu

Bloggtopppen.se och SQL injection - Fin fil med alla users