Защита файлов и авторизация

[Tarasenko]

Что именно? То что я написал или то,ч то написанно там, куда ведет ссылка...
Если вы про то,ч то я написал - то все просто. Очень просто узнать пароль и логин... Разкриптоваь их - раз плюнуть...

[Tarasenko]

Кстати, а не отвлеклись мы от темы? Если вам интересны мои статьи - могу написать несколько... Если просто хотите пообсуждать - можим создать новый топик....

[Tarasenko]

NeoNox, блин, я на экзамене?

[NeoNox]

Да нет. Ты просто так утверждаешь, что это как два байта об асфальт... Вот я и спросил. У меня такого опыта нет - вот и все.

[Tarasenko]

Это вполне реально, я подписываюсь под своими словами. Но муторно.
А выцепить... Тот же Perl позволяет полностью обробатывать и создавать HTTP. И все данные и цепляю из него.
Делать не буду - вопрос решенный. Я не собираюсь доказывать свою состоятельность. И не требую присвоения мне статуса главного хакера, ибо он будет ошибочен. Просто предупредил, что такие возможности существуют...

[Tarasenko]

NeoNox, далее не всякий ssl помогаю спать спокойно.
А криптуется пароль обычным стандартным апачевским криптованием. На пвп-лаб есть бесплатный скрипт, позволяющий при помощи базоваой авторизации криптовать пароли. Что мешает поступить наоборот? Правильно - сессии. А зачем пароль раскриптовывать, если можно его передать в HTTP запрос уже закриптованным? Да я не буду знать явно пароль, но использовать я его смогу... Даже если криптование будет основанно на сессиях, не апачавских, как на последних коммерческих web-серверах...

[ThE0ReTiC]

Tarasenko
Кстати. Коль я пока не закрыл тему - а не подскажешь ли какой алгоритм шифрования использует Apache для генерации файла паролей?

[Tarasenko]

Юморист... блин.
Ну-ну...

[ThE0ReTiC]

Tarasenko
1. Дубляж постов карается баном.
2. Да. Что выросло, то выросло
3. На вопрос-то ответь. Просто очень инстересно как можно кроме прямого перебора его сломать

[Tarasenko]

ThE0ReTiC,

Хорошо. А вы не видели ни где исходников того же апача?
Я видел... Правда вглубь не заглядывал. Так вот, если логически думать...
Кстати, если я в чем-то ошибаюсь, поступите просто - переубедите меня. А не грозите баном и попытками опустить за понты и неверные знания. Понтов нет, есть уверенность. Однако я человек - следовательно я имею право на ошибки

[NeoNox]

Tarasenko
А вы видели алгоритмы аутентификации RSA или DSA?
Я видел. Правда вглубь не заглядывал. Ну и что? Или это есть повод OpenSSH перевести на сесии? (блин, самому смешно)

[Xander]

Тут уж что-нибудь одно - либо уверенность, либо право на ошибки.
Либо успешный опыт взлома по описанным методикам, либо disclaimer типа: "я сам не пробовал, но мне кажется, что можно сделать так: ...".

[vicky2001]

Спасибо всем большое! Свои проблемы решила

Особенное спасибо г-ну Tarasenko за науку!

Сейчас пишу авторизацию к менеджеру без .htaccess

А может кто-нить поподробнее рассказать про SSL - в смысле как его через Перл юзать иль ссылку какую добрую даст?

[Stas]

SSL tebe nado v Apache vkliuchit\'.. toest\' u tebia dolzhen byt\' otdel\'nyi Virtual server pod portom 443..

Ssylka : http://www.modssl.org

Tarasenko , esli po tvoemu tak legko slomat\' apachevskii crypt htpasswd fileov, a 128bit shifrovka SSL, eto po tvoemu tozhe mozhno legko vzlomat\' ?

Vopros na zasypku... Napishi formulu prostyh chisel !! Mozhet tebe za eto premiu nobelia dadut...

[ThE0ReTiC]

Tarasenko
Более того.
Открою тебе ТАЙНУ...
Они у меня есть, практически всех релизов, начиная с 1.3.12
Ты бы во первых заглянул внутрь, п во-вторых почитал бы чего-нить про MD5 и криптоустойчивость современных алгоритмов шифрования.
Логически думать - это конечно вешь нужная. Главное не переусердствовать. И иногда заглядывать в исходники.