eGospodarka.pl
eGospodarka.pl poleca

eGospodarka.plFinanseGrupypl.biznes.bankimBank - zablokowany dostęp
Ilość wypowiedzi w tym wątku: 122

  • 41. Data: 2020-06-05 13:40:09
    Temat: Re: mBank - zablokowany dostęp
    Od: Piotr Gałka <p...@c...pl>

    W dniu 2020-06-05 o 13:13, J.F. pisze:

    > No ... dawniej to sie troche klocilo z idea www.

    Nie znam idei www. Myślałem, że jak przeglądarka ma tryb z kłódeczką to
    znaczy, że takie podstawowe rzeczy też ma w sobie.

    > W dodatku ... jedno haslo do wszystkiego, i moze nawet jeden login ...
    > myslisz sobie, ze zrobili to poprawnie tak jak wyzej, a jeden serwer
    > wcale nie, hackerzy go przejmuja i lezysz na calej linii.

    Dlaczego?
    Przy założeniu, że przeglądarka jest tak zrobiona, że nie wypuści hasła.

    > Albo nie przejmuja, tylko zakladaja :-)

    Co im to da, jeśli przeglądarka nie wypuści hasła.
    P.G.


  • 42. Data: 2020-06-05 13:44:31
    Temat: Re: mBank - zablokowany dostęp
    Od: Piotr Gałka <p...@c...pl>

    W dniu 2020-06-05 o 13:21, J.F. pisze:

    > No widzisz - DES z Unixa wydawal sie bezpieczny, a juz od dawna nie jest.

    W systemach należy stosować algorytmy, dla których przewiduje się, że
    będą bezpieczne przez przewidywany czas użytkowania systemu - czyli
    rzędu następne 10..20 lat.

    >>>> Atak na jednego użytkownika nie naruszałby bezpieczeństwa pozostałych.
    >>
    >>> W zasadzie nie narusza.
    >
    >> Ja pisałem o tym, że wtedy daje się zaatakować tylko pojedynczego
    >> użytkownika (na jego klawiaturze) i 'nie naruszałby' należało rozumieć
    >> jako 'nie narusza', ale użyłem takiej formy bo pisałem o hipotetycznym
    >> zdarzeniu, a nie faktycznie mającym miejsce.
    >
    > Ale chodzi mi o to, ze atak na jednego uzytkownika, np podsluchanie
    > klawiatury, nie narusza innych uzytkownikow.
    > Bo co z tego, ze mozesz sie zalogowac na tego uzytkownika do sklepu ?

    Obaj piszemy o tym samym.

    >>> Chyba, ze blokuja IP z ktorego jest za duzo pomylek ...
    >
    >> Pozostaje bezpieczne pod warunkiem ograniczenia 'pasma ataku'.
    >> Zablokowanie konta po 3 nieudanych próbach to takie ograniczenie.
    >
    > Ale nie bede probowal 3 razy. Sprawdze raz i odloze na miesiac.
    > A w miedzyczasie sprawdze milion innych uzytkownikow.
    > I gdzies trafie ..

    Masz rację - powinni wykrywać i blokować IP.
    P.G.


  • 43. Data: 2020-06-05 13:53:55
    Temat: Re: mBank - zablokowany dostęp
    Od: k...@p...onet.pl (Kamil Jońca)

    Piotr Gałka <p...@c...pl> writes:

    > W dniu 2020-06-05 o 13:21, J.F. pisze:
    >
    >> No widzisz - DES z Unixa wydawal sie bezpieczny, a juz od dawna nie jest.
    >
    > W systemach należy stosować algorytmy, dla których przewiduje się, że
    > będą bezpieczne przez przewidywany czas użytkowania systemu - czyli
    > rzędu następne 10..20 lat.
    Taaa. Jasne. I oczywiście przewidzisz, że nikt Twojego super-duper
    bezpiecznego algorytmu nie złamie.
    [...]
    >>
    >>> Pozostaje bezpieczne pod warunkiem ograniczenia 'pasma
    >>> ataku'. Zablokowanie konta po 3 nieudanych próbach to takie
    >>> ograniczenie.
    >>
    >> Ale nie bede probowal 3 razy. Sprawdze raz i odloze na miesiac.
    >> A w miedzyczasie sprawdze milion innych uzytkownikow.
    >> I gdzies trafie ..
    >
    > Masz rację - powinni wykrywać i blokować IP.

    W dobie vpc za $5/mon, tworzonych automatycznie w mniej niż 10min?
    Co ci to da?
    KJ

    --
    http://stopstopnop.pl/stop_stopnop.pl_o_nas.html


  • 44. Data: 2020-06-05 14:33:22
    Temat: Re: mBank - zablokowany dostęp
    Od: "J.F." <j...@p...onet.pl>

    Użytkownik "Piotr Gałka" napisał w wiadomości grup
    dyskusyjnych:rbdb6r$meb$1$P...@n...chmurka.ne
    t...
    W dniu 2020-06-05 o 13:21, J.F. pisze:
    >> No widzisz - DES z Unixa wydawal sie bezpieczny, a juz od dawna nie
    >> jest.
    >W systemach należy stosować algorytmy, dla których przewiduje się, że
    >będą bezpieczne przez przewidywany czas użytkowania systemu - czyli
    >rzędu następne 10..20 lat.

    A za 10 lat co ? System nadal dziala, to ulepszamy algorytm ?
    A jak nie ulepsza i hackerzy sie dorwa do Twoich hasel ?

    >>>>> Atak na jednego użytkownika nie naruszałby bezpieczeństwa
    >>>>> pozostałych.
    >>>> W zasadzie nie narusza.
    >
    >>> Ja pisałem o tym, że wtedy daje się zaatakować tylko pojedynczego
    >>> użytkownika (na jego klawiaturze) i 'nie naruszałby' należało
    >>> rozumieć jako 'nie narusza', ale użyłem takiej formy bo pisałem o
    >>> hipotetycznym zdarzeniu, a nie faktycznie mającym miejsce.
    >
    >> Ale chodzi mi o to, ze atak na jednego uzytkownika, np podsluchanie
    >> klawiatury, nie narusza innych uzytkownikow.
    >> Bo co z tego, ze mozesz sie zalogowac na tego uzytkownika do sklepu
    >> ?

    >Obaj piszemy o tym samym.

    No to w starym unixie naruszal, bo mogac sie zalogowac do systemu
    mozna odczytac zahaszowane hasla wszystkich,
    ale w wiekszosc wspolczesnych systemow juz niewiele da - dostap do
    jednego uzytkownika w sklepie, banku, poczcie, grze - innych nie
    naraza.

    >>>> Chyba, ze blokuja IP z ktorego jest za duzo pomylek ...
    >
    >>> Pozostaje bezpieczne pod warunkiem ograniczenia 'pasma ataku'.
    >>> Zablokowanie konta po 3 nieudanych próbach to takie ograniczenie.
    >
    >> Ale nie bede probowal 3 razy. Sprawdze raz i odloze na miesiac.
    >> A w miedzyczasie sprawdze milion innych uzytkownikow.
    >> I gdzies trafie ..

    >Masz rację - powinni wykrywać i blokować IP.

    Gorzej, jak to jakis zbiorczy, z Plusa czy Orange :-(

    J.



  • 45. Data: 2020-06-05 14:37:13
    Temat: Re: mBank - zablokowany dostęp
    Od: "J.F." <j...@p...onet.pl>

    Użytkownik "Piotr Gałka" napisał w wiadomości grup
    dyskusyjnych:rbdaul$mbd$1$P...@n...chmurka.ne
    t...
    W dniu 2020-06-05 o 13:13, J.F. pisze:
    >> No ... dawniej to sie troche klocilo z idea www.

    >Nie znam idei www. Myślałem, że jak przeglądarka ma tryb z kłódeczką
    >to znaczy, że takie podstawowe rzeczy też ma w sobie.

    >> W dodatku ... jedno haslo do wszystkiego, i moze nawet jeden login
    >> ... myslisz sobie, ze zrobili to poprawnie tak jak wyzej, a jeden
    >> serwer wcale nie, hackerzy go przejmuja i lezysz na calej linii.

    >Dlaczego?
    >Przy założeniu, że przeglądarka jest tak zrobiona, że nie wypuści
    >hasła.

    Ale nie jest ... choc istotnie mogla by byc.

    >> Albo nie przejmuja, tylko zakladaja :-)

    >Co im to da, jeśli przeglądarka nie wypuści hasła.

    No, beda mogli sobie zgromadzic wiele odpowiedzi na rozne salty.
    i moze podpasuje im do jakiegos innego systemu ... choc jak salt
    bedzie dlugi, to moze byc wystarczajaco niemozliwe.

    J.



  • 46. Data: 2020-06-05 15:38:50
    Temat: Re: mBank - zablokowany dostęp
    Od: Piotr Gałka <p...@c...pl>

    W dniu 2020-06-05 o 13:53, Kamil Jońca pisze:

    >> W systemach należy stosować algorytmy, dla których przewiduje się, że
    >> będą bezpieczne przez przewidywany czas użytkowania systemu - czyli
    >> rzędu następne 10..20 lat.
    > Taaa. Jasne. I oczywiście przewidzisz, że nikt Twojego super-duper
    > bezpiecznego algorytmu nie złamie.

    Nie mojego, tylko jakiegoś opracowanego i sprawdzonego przez znających
    się na tym i umiejących oszacować ich bezpieczeństwo.
    Nie mam na myśli złamania na skutek błędu w algorytmie tylko złamanie
    siłowe na skutek rozwoju możliwości komputerów.
    Oczywiście jak odkryty zostałby błąd w algorytmie to byłby problem, ale
    jeśli znający się na tym szukają od lat błędów w znanych algorytmach i
    nic nie znajdują to mogę jedynie ufać, że jest też duża szansa, że w
    najbliższych latach nie znajdą.

    >> Masz rację - powinni wykrywać i blokować IP.
    >
    > W dobie vpc za $5/mon, tworzonych automatycznie w mniej niż 10min?
    > Co ci to da?

    Na tym się nie znam i nie za dokładnie wiem o czym piszesz. Ale jeśli to
    oznacza, że każdy kolejny atak (czy kilka po których nastąpi
    zablokowanie) można przeprowadzić co 10 minut to jednak jest to bardzo
    istotne ograniczenie pasma ataku.
    P.G.


  • 47. Data: 2020-06-05 15:41:56
    Temat: Re: mBank - zablokowany dostęp
    Od: Piotr Gałka <p...@c...pl>

    W dniu 2020-06-05 o 14:33, J.F. pisze:

    >> W systemach należy stosować algorytmy, dla których przewiduje się, że
    >> będą bezpieczne przez przewidywany czas użytkowania systemu - czyli
    >> rzędu następne 10..20 lat.
    >
    > A za 10 lat co ? System nadal dziala, to ulepszamy algorytm ?

    Tak. np. wydłużamy klucze.

    > A jak nie ulepsza i hackerzy sie dorwa do Twoich hasel ?

    Każdym systemem ktoś zarządza - powinien mieć określone obowiązki i się
    z nich wywiązywać.
    P.G.


  • 48. Data: 2020-06-05 15:48:30
    Temat: Re: mBank - zablokowany dostęp
    Od: k...@p...onet.pl (Kamil Jońca)

    Piotr Gałka <p...@c...pl> writes:

    > W dniu 2020-06-05 o 13:53, Kamil Jońca pisze:
    >
    >>> W systemach należy stosować algorytmy, dla których przewiduje się, że
    >>> będą bezpieczne przez przewidywany czas użytkowania systemu - czyli
    >>> rzędu następne 10..20 lat.
    >> Taaa. Jasne. I oczywiście przewidzisz, że nikt Twojego super-duper
    >> bezpiecznego algorytmu nie złamie.
    >
    > Nie mojego, tylko jakiegoś opracowanego i sprawdzonego przez znających
    > się na tym i umiejących oszacować ich bezpieczeństwo.
    > Nie mam na myśli złamania na skutek błędu w algorytmie tylko złamanie
    > siłowe na skutek rozwoju możliwości komputerów.
    > Oczywiście jak odkryty zostałby błąd w algorytmie to byłby problem,
    > ale jeśli znający się na tym szukają od lat błędów w znanych
    > algorytmach i nic nie znajdują to mogę jedynie ufać, że jest też duża
    > szansa, że w najbliższych latach nie znajdą.

    sha-1, md5 też były opracowane przez "znających się". I co? A może
    myślisz, że ludzie od SSL v3 celowo zrobili go słabym i podatnym na
    złamanie?


    >
    >>> Masz rację - powinni wykrywać i blokować IP.
    >>
    >> W dobie vpc za $5/mon, tworzonych automatycznie w mniej niż 10min?
    >> Co ci to da?
    >
    > Na tym się nie znam i nie za dokładnie wiem o czym piszesz. Ale jeśli
    > to oznacza, że każdy kolejny atak (czy kilka po których nastąpi
    > zablokowanie) można przeprowadzić co 10 minut to jednak jest to bardzo
    > istotne ograniczenie pasma ataku.

    Nie, to tego nie oznacza. Oznacza, to tyle, że każdy, mający trochę[1]
    wiedzy może szybko stać się zarządcą sieci wielu IP. Już pomijam
    możliwość stworzenia botnetu.

    KJ

    [1] naprawdę trochę, wcale nie tak dużo.

    --
    http://stopstopnop.pl/stop_stopnop.pl_o_nas.html


  • 49. Data: 2020-06-05 15:49:39
    Temat: Re: mBank - zablokowany dostęp
    Od: Piotr Gałka <p...@c...pl>

    W dniu 2020-06-05 o 14:37, J.F. pisze:

    >> Dlaczego?
    >> Przy założeniu, że przeglądarka jest tak zrobiona, że nie wypuści hasła.
    >
    > Ale nie jest ... choc istotnie mogla by byc.

    Ja po prostu nie znam się na tym. Zakładałem, że takie dostępne ogółowi
    ludzi rzeczy są zrobione 'dobrze' i jakby były zrobione 'źle' to byłoby
    o tym głośno.

    To, że hasło nie wychodzi poza mój komputer wydawało mi się oczywistą
    oczywistością i dlatego nie przyszło mi nawet do głowy poddać to w
    wątpliwość.

    Pierwsze wątpliwości pojawiły się jak spotkałem się z hasłem maskowanym,
    ale wtedy to już chyba miałem konta w prawie wszystkich tych sklepach w
    których mam teraz (nie ma tego dużo) i jakoś nie chciało mi się zmieniać.

    >
    >>> Albo nie przejmuja, tylko zakladaja :-)
    >
    >> Co im to da, jeśli przeglądarka nie wypuści hasła.
    >
    > No, beda mogli sobie zgromadzic wiele odpowiedzi na rozne salty.
    > i moze podpasuje im do jakiegos innego systemu ... choc jak salt bedzie
    > dlugi, to moze byc wystarczajaco niemozliwe.

    Powinno być wystarczająco niemożliwe. Poza tym salt może też być dla
    każdego klienta inny, generowany na podstawie jakichś danych danego
    sklepu i jawnego loginu klienta.
    P.G.


  • 50. Data: 2020-06-05 16:33:13
    Temat: Re: mBank - zablokowany dostęp
    Od: "J.F." <j...@p...onet.pl>

    Użytkownik "Piotr Gałka" napisał w wiadomości grup
    dyskusyjnych:rbdihf$qt8$1$P...@n...chmurka.ne
    t...
    W dniu 2020-06-05 o 14:37, J.F. pisze:
    >>> Dlaczego?
    >>> Przy założeniu, że przeglądarka jest tak zrobiona, że nie wypuści
    >>> hasła.
    >
    >> Ale nie jest ... choc istotnie mogla by byc.

    >Ja po prostu nie znam się na tym. Zakładałem, że takie dostępne
    >ogółowi ludzi rzeczy są zrobione 'dobrze' i jakby były zrobione 'źle'
    >to byłoby o tym głośno.
    >To, że hasło nie wychodzi poza mój komputer wydawało mi się oczywistą
    >oczywistością i dlatego nie przyszło mi nawet do głowy poddać to w
    >wątpliwość.

    A tymczasem "password" w takim podstawowym HTML oznacza jedynie, ze w
    czasie wpisywania znaki sie nie pokazuja
    https://www.w3schools.com/tags/att_input_type_passwo
    rd.asp

    No i przegladarka przechowuje te hasla, i wcale nie zahaszowane
    jednostronnie, wiec masz kolejna dziure w bezpiecenstwie.

    >>>> Albo nie przejmuja, tylko zakladaja :-)
    >>> Co im to da, jeśli przeglądarka nie wypuści hasła.
    >> No, beda mogli sobie zgromadzic wiele odpowiedzi na rozne salty.
    >> i moze podpasuje im do jakiegos innego systemu ... choc jak salt
    >> bedzie dlugi, to moze byc wystarczajaco niemozliwe.

    >Powinno być wystarczająco niemożliwe. Poza tym salt może też być dla
    >każdego klienta inny, generowany na podstawie jakichś danych danego
    >sklepu i jawnego loginu klienta.

    Tylko, zeby sie nie okazalo, ze zawsze taki sam, to mozna podsluchac i
    uzyc w przyszlosci.

    Dodatkowe szyfrowanie przez HTTPS powinno temu zapobiec ...

    J.

strony : 1 ... 4 . [ 5 ] . 6 ... 13


Szukaj w grupach

Szukaj w grupach

Eksperci egospodarka.pl

1 1 1