Czy moderacja zna moje hasło?
Autor |
Wiadomość |
kaloryfer
Dołączył(a): So lut 21, 2009 13:54 Posty: 326
|
Czy moderacja zna moje hasło?
Mam pytanie z ciekawości o kompetencje moderacji - chyba proste - czy w związku z tym że moderator może kasować, przenosić posty, zmieniac podpisy. Czy moderatorzy mają również dostęp do mojego hasła?
Pozdrawiam.
|
Pn lip 13, 2009 21:33 |
|
|
|
|
saxon
Dołączył(a): Pn cze 01, 2009 10:00 Posty: 5103
|
nie mają - administrator też nie
a zmieniać podpisów moderatorzy nie mogą - tylko admin
|
Pn lip 13, 2009 21:38 |
|
|
Anonim (konto usunięte)
|
Eeee... saxon, nie wiem jak stoisz z phpBB ale nie jest tak do końca.
Administrator forum w opcji ogólnej nie ma dostępu do hasła. Natomiast istnieje X modyfikacji, które mogą pozwolić na:
- zmianę hasła bez zobaczenia poprzedniego;
- sprawdzenie hasła;
- zobaczenie i zmianę hasła.
Do tego zawsze, ale to zawsze do hasła ma administrator konta. Jest zapisane w bazie SQL.
Generalnie jednak zawsze rejestrując się w danym serwisie musisz mieć świadomość, że istnieje grupa osób z dostępem do Twojego hasła.
Crosis
|
Wt lip 14, 2009 8:17 |
|
|
|
|
Mroczny Pasażer
Dołączył(a): Cz gru 07, 2006 8:54 Posty: 3956
|
Crosis, ale to phpBB na naszym forum jest z czasów Mieszka I, nie oczekuj po nim za wiele. ;]
_________________ "Problem z cytatami w internecie jest taki, że każdy od razu automatycznie wierzy w ich prawdziwość" - Abraham Lincoln
|
Wt lip 14, 2009 8:22 |
|
|
SweetChild
Dołączył(a): Cz cze 09, 2005 16:37 Posty: 10694
|
Crosis napisał(a): Do tego zawsze, ale to zawsze do hasła ma administrator konta. Jest zapisane w bazie SQL.
Zawsze, jak rozumiem, dotyczy phpBB? Bo w poważnych aplikacjach hasło nigdy nie jest zapisane w bazie SQL (w sposób umożliwiający administratorowi jego zobaczenie). Jeśli w phpBB tak jest, to tylko źle świadczy o phpBB.
|
Wt lip 14, 2009 9:15 |
|
|
|
|
Anonim (konto usunięte)
|
Sweet, zdefiniuj przypadek kiedy właściciel bazy danych nie ma możliwości podejrzenia zawartości danego rekordu tej bazy.
Crosis
|
Wt lip 14, 2009 11:22 |
|
|
SweetChild
Dołączył(a): Cz cze 09, 2005 16:37 Posty: 10694
|
Nie twierdziłem, że właściciel bazy danych nie ma możliwości podejrzenia zawartości danego rekordu tej bazy. Ma możliwość, ale nie zobaczy w nim hasła użytkownika.
Jednym z najprostszych sposobów jest zastosowanie funkcji haszującej, czyli np. przy moim nicku zapisana jest wartość f("MojeHaslo")="0123456789ABCDEF". Tę wartość ("0123456789ABCDEF") zobaczy administrator, ale na jej podstawie nie może odtworzyć oryginalnego hasła ("MojeHaslo"), bo nieznana jest funkcja odwrotna do f.
Nie znam phpBB, ale gotów byłbym się założyć, że przynajmniej takie proste zabezpieczenie znajduje tam zastosowanie (choćby opcjonalnie).
|
Wt lip 14, 2009 11:49 |
|
|
SweetChild
Dołączył(a): Cz cze 09, 2005 16:37 Posty: 10694
|
Ryzyko ewentualnego zakładu nie dawało mi spokoju, więc trochę przyjrzałem się tabeli, w której zapisywane są dane użytkowników w phpBB:
Tables — Table Structure: phpbb_users
a w niej opis pola zawierającego hasło (user_password):
Cytuj: A 32 character string resulting from the md5() hash of the user password string. The md5() hash is not reversible; the only means of getting a password are to know it, to guess it, or to brute-force crack it.
Tak więc nie znajduję podstaw, aby zarzucać phpBB lekkomyślne udostępnianie adminowi haseł użytkowników
|
Wt lip 14, 2009 13:01 |
|
|
Anonim (konto usunięte)
|
Myk jest taki, że bazę możesz sobie ustawić sam. A więc całe to hashowanie hasła jest... cokolwiek niewiele dające - o ile admin to wyłączy i założy jakiekolwiek inne kodowanie.
Co do samego hashowania md5 bez soli, to rainbowtables sobie doskonale radzą. Ćwiczyłem ten algorytm kiedyś na własnym phpBB, kiedy zablokowałem sobie forum. Zrobiłem to łatwo. Zapomniałem jedynego hasła na superadmina, nie mogłem więc nic zrobić (panel był zablokowany odpowiednią modyfikacją). Hasło poszło w 3 minutki
Ale reasumując: wielu administratorów zmienia sposób hashowania haseł, choćby do tego, żeby móc dane hasło przypomnieć
Poza tym, wiele systemów ma hasła zakodowane metodą dwukierunkową, co umożliwia na przykład: odesłanie hasła na maila Również phpbb2 ma moda dającego taką funkcjonalność. A żeby hasło odesłać, należy je przecież... odhashować;)
Crosis
|
Wt lip 14, 2009 15:41 |
|
|
paul1205
Dołączył(a): Śr mar 18, 2009 19:20 Posty: 111
|
Nie, administrator nie widzi twojego hasła, natomiast ma możliwość jego zmiany bez używania poprzedniego. Może też ingerować we wszelkie ustawienia Twojego profilu itd. Jednym słowem Admin może wszystko i wcale nie jest mu potrzebne do tego Twoje hasło
|
Wt lip 14, 2009 15:42 |
|
|
paul1205
Dołączył(a): Śr mar 18, 2009 19:20 Posty: 111
|
A jeśli chodzi o moderatorów to wszystko zależy od tego jakie prawa zostały im nadane przez admina
|
Wt lip 14, 2009 15:43 |
|
|
SweetChild
Dołączył(a): Cz cze 09, 2005 16:37 Posty: 10694
|
Crosis napisał(a): Myk jest taki, że bazę możesz sobie ustawić sam. A więc całe to hashowanie hasła jest... cokolwiek niewiele dające - o ile admin to wyłączy i założy jakiekolwiek inne kodowanie. "O ile admin to wyłączy" to nie to samo co "zawsze". Crosis napisał(a): Co do samego hashowania md5 bez soli, to rainbowtables sobie doskonale radzą. Ćwiczyłem ten algorytm kiedyś na własnym phpBB, kiedy zablokowałem sobie forum. Zrobiłem to łatwo. Zapomniałem jedynego hasła na superadmina, nie mogłem więc nic zrobić (panel był zablokowany odpowiednią modyfikacją). Hasło poszło w 3 minutki Co nie zmienia faktu, że admin nie ma dostępu do hasła użytkowników. paul1205 napisał(a): Jednym słowem Admin może wszystko i wcale nie jest mu potrzebne do tego Twoje hasło Jak najbardziej, ale pytanie w pierwszym poście brzmiało: kaloryfer napisał(a): Czy moderatorzy mają również dostęp do mojego hasła?
|
Wt lip 14, 2009 16:09 |
|
|
paul1205
Dołączył(a): Śr mar 18, 2009 19:20 Posty: 111
|
Nie, moderatorzy nie mają dostępu do hasła... ale mogą mieć nadane prawo edycji kont, ustawień czy zmiany haseł
|
Wt lip 14, 2009 16:12 |
|
|
SweetChild
Dołączył(a): Cz cze 09, 2005 16:37 Posty: 10694
|
paul1205 napisał(a): Nie, moderatorzy nie mają dostępu do hasła...(...)
Faktycznie, pytanie było tylko o moderatorów, admina saxon dodał w kolejnym poście. Dlatego dodam, że ani moderatorzy ani admin nie mają dostępu do hasła, ewentualnie poza jakimiś szczególnymi przypadkami specjalnej konfiguracji.
|
Wt lip 14, 2009 16:22 |
|
|
SweetChild
Dołączył(a): Cz cze 09, 2005 16:37 Posty: 10694
|
Crosis napisał(a): Co do samego hashowania md5 bez soli, to rainbowtables sobie doskonale radzą. Ćwiczyłem ten algorytm kiedyś na własnym phpBB, kiedy zablokowałem sobie forum. Zrobiłem to łatwo. Zapomniałem jedynego hasła na superadmina, nie mogłem więc nic zrobić (panel był zablokowany odpowiednią modyfikacją). Hasło poszło w 3 minutki
Tak na marginesie, jako że zawsze ciekawiła mnie skuteczność "rainbow tables". Skoro łatwo Ci poszło odzyskanie hasła, to czy mógłbyś "dla sportu" odzyskać hasła z następujących wartości MD5-hash (bez soli):
Kod: bfeb33bfa78b7dce5e95cd106642c794 031cbcccd3ba6bd4d1556330995b8d08 2ff1420e10f8d966d7600758bad71e7f
Te trzy wartości odpowiadają trzem hasłom o różnej sile, od najprostszego poprzez średnio złożone do najbardziej złożonego.
Oczywiście to prośba zupełnie niezobowiązująca, tym bardziej gdyby odzyskanie haseł wymagało większych nakładów pracy niż kilka minut albo jakiś nakładów finansowych (rejestracja w płatnym serwisie).
|
Śr lip 15, 2009 10:06 |
|
|
|
Nie możesz rozpoczynać nowych wątków Nie możesz odpowiadać w wątkach Nie możesz edytować swoich postów Nie możesz usuwać swoich postów Nie możesz dodawać załączników
|
|