Форум Радиолюбителей

Интерфейс

284534 просмотров, 226 ответов — стр. 8 из 16

Игорь 2
Сообщений: 21288
5 сентября 2022 г. в 05:05#106
Цитата: SYN
за Игорем окончательное слово конечно.


Вообще на эту тему пока что не думал...
SYN
Сообщений: 1587
5 сентября 2022 г. в 05:33#107
Цитата: ra0ahc
На сколько мне известно, что хэшки с солью не ломаются (но слабо в это верю)

Да там суть в поиске одинаковых паролей. Людям свойственно задавать слабые пароли, потому они нередко могут совпадать (или одинаковые на разных ресурсах у одного человека). Сам по себе хеш не взломать, а вот поиск одинаковых хешей без соли сразу дает массовый взлом.

Пусть есть 10 пользователей, которые задали одинаковый пароль к своему аккаунту, типа 123456, хеш будет у всех одинаковый


work@usr1-P5K-E:~$ printf "123456" | sha1sum
7c4a8d09ca3762af61e59520943dc26494f8941b - вот такой


Значит взломав один аккаунт и прошерстив все хеши (в т.ч. на каких-то других серверах) атакующий найдет аналогичные строки и сразу поймет, что у этих пользователей тот же пароль. Они взломаны автоматически, без усилий. Если добавить соль ситуация изменится


work@usr1-P5K-E:~$ printf "salt1_123456" | sha1sum
6217dfb5d7a4c769d810da5235220dbdceaa4786 - уже другое значение

work@usr1-P5K-E:~$ printf "salt2_123456" | sha1sum
8a4c95b416e934661032a3ef5ad2d13112b84d96 - опять другое

Только соль нужна разная.
ra0ahcra0ahc
Сообщений: 4868
5 сентября 2022 г. в 06:38#108
Это фотка появляется один раз при перезапуске главной страницы держится 2с и плавно исчезает. И даже потом если вернуться при сёрфинге на эту страницу то картинки не будет. Только если принудительно рестарт сайта сделать или вернуться с другого сайта, что тоже будет фактически рестартом. А так, я проверил на телефоне - все ок! И не напряжно.
Завтра базу обновлю на сервере (пока локально делал) и сами посмотрите.
ra0ahcra0ahc
Сообщений: 4868
5 сентября 2022 г. в 06:42#109
Это вообще все тестовое ещё
Я просто пострел как цветовая гамма смотрится и какая читабельность на телефоне. Пока нормально, но потом сервис будет усложнять экран и там начнётся самое интересное. Пока алиэксроесс на телефоне самая продвинутая программа.
Re: Интерфейс
Сообщений: 24
5 сентября 2022 г. в 10:59#110
Цитата: SYN
На сколько мне известно, что хэшки с солью не ломаются (но слабо в это верю)
Да там суть в поиске одинаковых паролей. Людям свойственно задавать слабые пароли, потому они нередко могут совпадать (или одинаковые на разных ресурсах у одного человека). Сам по себе хеш не взломать, а вот поиск одинаковых хешей без соли сразу дает массовый взлом.


Ну и еще возможна атака перебором с применением словаря. sha1 и sha2 на современном игровом GPU считаются быстро, с хорошими словарями есть неплохой шанс подбора слабых паролей.

Я немного погорячился, написав ранее что наши пароли сейчас передаются в открытом виде. Признаю ошибку.
Посмотрел я html, скрипты и взглянул в WireShark реальный обмен данными. Скрипт в браузере вычисляет хэш sha1 от пароля с добавлением id текущей сессии (соль).
Тем не менее и хэш и соль передаются в открытом виде по HTTP. При возможности перехвата пакетов потенциальный злоумышленник может попробовать атаку со словарем.
Так что если администраторы упорно не хотят использовать TLS (HTTPS), то обычным пользователям остается только использовать сложные длинные пароли и менять их почаще.
Хотя это всегда полезно.

Возможно в новом форуме будет что-то более надежное. Надеюсь, Сергей не подведет
ra0ahcra0ahc
Сообщений: 4868
5 сентября 2022 г. в 11:19#111
Ха! я сделал парсер!
одной кнопкой я залил себе в базу 49к сообщение с этого форума за несколько секунд.

SYN
Сообщений: 1587
6 сентября 2022 г. в 02:18#112
Цитата: Олег
sha1 и sha2 на современном игровом GPU считаются быстро,

GPU для этого вряд ли нужен. Вычисление хешей, да и шифрование то же, это совсем не требовательные операции с точки зрения отбираемых ресурсов. Попробуйте вычислить хеш жесткого диска целиком и увидите, что на это уйдет не так много времени.
SYN
Сообщений: 1587
6 сентября 2022 г. в 12:12#113
Ну и если импортозамещаться, то шрифт то же нужен свободный для нового форума, а еще лучше если не просто свободный, а православный российский, например PT Astra Sans, вполне себе не чуть не хуже буржуйского calibri.
ra0ahcra0ahc
Сообщений: 4868
6 сентября 2022 г. в 12:37#114
Шрифт грузится вместе с форумом. Он у меня на диске лежит. Его не надо имп.замещать.

Сконвертировал каталоги и темы себе в базу, теперь хоть каждый день заливай всё одной кнопкой делается. Все сообщения еще вчера залил себе. С фотками сложный вопрос - доступа к фоткам нет имена есть файлов, а доступ php файл дает и просто так не получится спереть их cr123.
ra0ahcra0ahc
Сообщений: 4868
6 сентября 2022 г. в 01:11#115
А вот так возможно получится копирнуть все файлы с форума без привлечения админов

SYN
Сообщений: 1587
6 сентября 2022 г. в 02:20#116
Ну а wget ом нельзя картинки выкачать? Он в маке у вас должен быть. Им весь сайт выкачать можно.
Re: Интерфейс
Сообщений: 24
6 сентября 2022 г. в 03:34#117
Цитата: SYN
GPU для этого вряд ли нужен. Вычисление хешей, да и шифрование то же, это совсем не требовательные операции с точки зрения отбираемых ресурсов. Попробуйте вычислить хеш жесткого диска целиком и увидите, что на это уйдет не так много времени.


Полностью с Вами согласен. Я неточно выразил свою мысль.
Вычисление одного хэша совершенно не требует GPU, однако при переборе вариантов по словарю или просто методом "грубой силы" требуется вычисление очень большого количества хэшей. В этом случае задачи хэширования хорошо распараллеливаются на GPU, что обычно и дает существенный прирост производительности.

Вот пример для hashcat

Это CPU i5-8400
-------------------
* Hash-Mode 0 (MD5)
-------------------
Speed.#2.........: 660.8 MH/s (4.67ms) @ Accel:512 Loops:1024 Thr:1 Vec:8
----------------------
* Hash-Mode 100 (SHA1)
----------------------
Speed.#2.........: 447.4 MH/s (6.91ms) @ Accel:512 Loops:1024 Thr:1 Vec:8

А это GPU GeForce GTX 1070
-------------------
* Hash-Mode 0 (MD5)
-------------------
Speed.#1.........: 20129.7 MH/s (49.61ms) @ Accel:256 Loops:1024 Thr:256 Vec:8
----------------------
* Hash-Mode 100 (SHA1)
----------------------
Speed.#1.........: 6678.8 MH/s (74.92ms) @ Accel:128 Loops:1024 Thr:256 Vec:1
SYN
Сообщений: 1587
6 сентября 2022 г. в 04:00#118
Да просто такие таблицы на мой взгляд готовятся заранее, а скорость "проверки" не так высока, когда это происходит в сети. При этом вполне приличная база вряд ли будет весить слишком уж много, это же обычная текстовая белибердень. Впрочем не буду спорить, я экспериментов не проводил.
Re: Интерфейс
Сообщений: 24
6 сентября 2022 г. в 05:36#119
Цитата: SYN
Да просто такие таблицы на мой взгляд готовятся заранее, а скорость "проверки" не так высока, когда это происходит в сети. При этом вполне приличная база вряд ли будет весить слишком уж много, это же обычная текстовая белибердень.


Не совсем понял, что имелось в виду. Тем не менее прокомментирую.

Hashcat - это совершенно рабочий инструмент для подбора паролей по имеющемуся хэшу, который был заранее перехвачен и сохранен.
"По сети" он не работает. Подход несколько иной.

Берется хэш, скажем "подслушанный" 4-ways handshake при авторизации WPA2, или скопированный из базы данных или еще какой-то вариант. Это не важно, главное, что хэш уже каким-то образом получен.
Далее задача - перебирать возможные варианты паролей и вычислять их хэши. Если вычисленный хэш совпал с имеющимся образцом - задача выполнена, пароль найден.
Дабы не перебирать миллиарды комбинаций, берем не очень большой "словарь" где-нибудь миллионов на 10 или на 100 возможных паролей и используем для поиска возможного варианта пароля.
Это - один из вариантов, есть стратегии посложнее да и количество возможных вариантов паролей бывает побольше.
Так что все считается "оффлайн".

Насчет "заготовленных" таблиц - не соглашусь. Честно вычисляются хэши (кстати, там есть где-то 320 разных поддерживаемых алгоритмов). Это ведь делается не для рекламных целей (программа-то бесплатная), а для понимания реальной производительности железа, на котором используется программа и для тонкой настройки параметров (если надо).
То что я привел ранее - это "прогон" hashcat на компьютере сегодня утром, а не "заготовленные таблицы".

Посчитать миллионов 100 хэшей можно, конечно, и на CPU, но на GPU обычно получается ощутимо быстрее.
SYN
Сообщений: 1587
6 сентября 2022 г. в 06:26#120
Вот по этому SSL/TLS все таки нужен (ну ладно, пусть не нам), кстати по моему гугл теперь занижает популярность сайтов без этой штуковыны. Как с этим обходится Яндекс не знаю.