The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Взломан сайт проекта phpBB, захвачено 400 тыс. аккаунтов пользователей

05.02.2009 15:25

Сообщается о взломе инфраструктуры проекта phpBB, сайт которого остается заблокированным с воскресенья. Используя брешь в безопасности модуля PHPList злоумышленникам удалось перехватить базу в 400 тысяч аккаунтов пользователей форума. Атаковавшим удалось восстановить из MD5 хешей около 28 тыс. паролей, которые в последующем были опубликованы в сети, вместе адресами электронной почты и персональными данными пользователей.

Команда разработчиков сообщает, что в самом коде форума phpBB неисправленные уязвимости отсутствуют и проблема касается только приложения PHPList, используемого в проекте для работы с почтовой рассылкой.

  1. Главная ссылка к новости (http://www.theregister.co.uk/2...)
  2. Подробности о технике методе взлома сайта phpbb.com
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/20129-phpbb
Ключевые слова: phpbb
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (107) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.3, Аноним (3), 15:44, 05/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мдя. Просто удивительно, что за столько лет авторы phpBB так и не научились программировать.
     
     
  • 2.5, аноним (?), 16:02, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Мдя. Просто удивительно, что за столько лет авторы phpBB так и не
    >научились программировать.

    да уж. и до сих пор "защищают" пароли MD5

     
     
  • 3.37, User294 (??), 19:33, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >да уж. и до сих пор "защищают" пароли MD5

    А вы так вот запросто научились из md5 пароли восстанавливать?Нет, md5-ому конечно досталось, но слом нетривиальных паролей даже зная хэш до сих пор представляет из себя некоторую проблему.Или я что-то пропустил?Про радужные таблицы - знаю, но для длинного сложного пароля их размер быстро достигает нереальных величин.

     
     
  • 4.50, parad (ok), 22:06, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    дина пароля не важна - тк длина хеша фиксирована. востановить можно и не тот пароль, но подходить он будет.
     
     
  • 5.58, User294 (??), 23:43, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >востановить можно и не тот пароль, но подходить он будет.

    В теории это возможно, при том - с любым алгоритмом хэшироавния т.е. если найдется коллизия.И ежу понятно что если длина пароля более длины хэша - среди них гарантированно существует более одного пароля дающих одинаковые хэши.

    На практике - а это за *разумный* срок реально вообще?Собственно у криптографов требование простое как топор в этом плане - коллизию должно быть трудно найти и для этого должен требоваться перебор сравнимый с полным перебором всех значений хэша (что конечно же нереально - даже 2^128 значений перебрать на практике по сути нереально).Есть ли для md5 алгоритмы вычисляющие подходящий пароль для данного хэша за разумное время?

     
     
  • 6.68, simonvu.spb.ru (?), 10:08, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/

    >На практике - а это за *разумный* срок реально вообще?Собственно у криптографов
    >требование простое как топор в этом плане - коллизию должно быть
    >трудно найти и для этого должен требоваться перебор сравнимый с полным
    >перебором всех значений хэша (что конечно же нереально - даже 2^128
    >значений перебрать на практике по сути нереально).Есть ли для md5 алгоритмы
    >вычисляющие подходящий пароль для данного хэша за разумное время?

    на практике никто не вычисляет. Есть база данных в интернете с коллекцие md5 хэшей. Так что проверьте md5 хэши своих паролей на наличие в базе данных.

     
     
  • 7.94, User294 (??), 13:33, 07/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >на практике никто не вычисляет. Есть база данных в интернете с коллекцие
    >md5 хэшей.

    Ну, это скорее всего просто словарная атака, помогает только против простых паролей а вот пароли типа Dv3Nc:\&5tG7cJ таким манером не восстановишь (нет такого слова).А база на 2^128 значений (все возможные md5) будет весить мягко говоря невъ...нно и ни на какой жесткий диск не уместится.

    >Так что проверьте md5 хэши своих паролей на наличие в базе данных.

    Вы забыли сущую фигню - пруфлинк с этой базой.Хотя собссно сгенерить по словарю дело нехитрое, но опять же - поможет только против простых паролей.Rainbow tables помогают и против более сложных, но они с ростом длины и сложности пароля тоже начинают весить невъ...нно.

     
     
  • 8.114, kost BebiX (?), 14:02, 09/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Поэтому нормальные люди делают перед md5 примерно такое pass фыва pass ... текст свёрнут, показать
     
     
  • 9.122, roveek (?), 11:43, 11/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо рассчитывать на то, что код не достанут Просто комбинировать широкодо... текст свёрнут, показать
     
     
  • 10.125, User294 (??), 17:49, 18/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати вполне себе вариант Единственное что мне не очень нравится идея раздувать... большой текст свёрнут, показать
     
  • 6.69, simonvu.spb.ru (?), 10:10, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    а md5 можно реализовать на ПЛИСе. Тогда эффективность перебора в тысячи раз увеличивается
     
     
  • 7.72, Щекн Итрч (ok), 11:17, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >а md5 можно реализовать на ПЛИСе. Тогда эффективность перебора в тысячи раз
    >увеличивается

    У меня "уязвимая" версия PHPList, ниуа этот эксплойт против установки "из коробки" не действует - нечего тырить. Атака состоялась только потому, что админ PHPbb щедро разложил неисполнимые файлы с данными по директориям проекта.

     
  • 7.95, User294 (??), 14:15, 07/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >а md5 можно реализовать на ПЛИСе. Тогда эффективность перебора в тысячи раз
    >увеличивается

    Хоть на кластере из cell, 2^128 значений в любом случае заколебетесь перебирать.

     
  • 3.38, Аноним (3), 19:39, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ну наверное, и ежу понятно, что не колизии MD5 были задействованны, а радужные б... большой текст свёрнут, показать
     
     
  • 4.66, Kaiser (ok), 06:37, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну и защитничкам PHPBB, уязвимосетей там навалом, что во второй, что в
    >третей версии, проблема системная от убогости проектирования PHP и патчами ее
    >не закрыть, если кажый разработчик остается один на один с SQL-injection,
    >XSS и т.п. и фильтрует ввод своими силами, да еще и
    >в функциях PHP используемых при фильтрации уязвимости (htmlspecialchars к примеру) ---
    >дырки в веб-приложениях PHP неизбежность.

    PHP - не лучший язык, но не все так плохо. Для взаимодействия с базами данных используется PDO, который сам экранирует символы и защищает от SQL-injection, к примеру.

    А по поводу PHPBB: Mediawiki тоже на PHP. Так у Wikipedia же базу данных пользователей не уводят.

     
     
  • 5.100, Аноним (3), 20:44, 07/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А по поводу PHPBB: Mediawiki тоже на PHP. Так у Wikipedia же базу данных пользователей не уводят.

    А слабо по гуглю сделать запрос "mediawiki уязвимость" ?

    Если вы про википедию, то прокси к веб-серверу типа mod_security конечно пока ее еще спасает, но это ведь не прибавляет достоинств php.

     
  • 5.104, Аноним (3), 17:52, 08/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >>XSS и т.п. и фильтрует ввод своими силами, да еще и
    >>в функциях PHP используемых при фильтрации уязвимости (htmlspecialchars к примеру) ---
    >>дырки в веб-приложениях PHP неизбежность.
    >
    >PHP - не лучший язык, но не все так плохо. Для взаимодействия
    >с базами данных используется PDO, который сам экранирует символы и защищает
    >от SQL-injection, к примеру.
    >
    >А по поводу PHPBB: Mediawiki тоже на PHP. Так у Wikipedia же
    >базу данных пользователей не уводят.

    Ну вот взломали сайт Общественной палаты (интересно сколько бабла налогоплатильщиков вбухано в этот сайт).
    И вы по прежнему считаете PHP досточно безопасным для использования? А сайт общественной палаты по вашему писали быдлокодеры

     
     
  • 6.105, Kaiser (ok), 18:27, 08/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну вот взломали сайт Общественной палаты (интересно сколько бабла налогоплатильщиков
    > вбухано в этот сайт).

    В случае гос заказа (так же во многих других случаях) я не считаю бабло показателем качества.

    > И вы по прежнему считаете PHP досточно безопасным для использования?

    Я вообще считаю PHP достаточно безопасным для использования. Хотя предпочитаю java и python. Просто использование PHP может быть экономически более оправданным.

    С PHP у меня было много плохого опыта. Но тем не менее, некоторые проекты на python по качеству были гораздо хуже некоторых проектов на PHP.

    > А сайт общественной палаты по вашему писали быдлокодеры.

    Я вообще верю в нашу партию и правительство. И обсуждать подобные вещи не желаю.


     
     
  • 7.106, Аноним (3), 20:17, 08/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Просто использование PHP может быть экономически более оправданным.

    А вот это уже интересно, покажите как оно дешевле, в смысле дешевых пхп-кодеров больше или что-то иное?

     
     
  • 8.108, Kaiser (ok), 20:37, 08/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее не дешевые, а проще найти Уже есть наработки на php как свои, так и сто... текст свёрнут, показать
     
  • 7.107, Я (??), 20:29, 08/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >С PHP у меня было много плохого опыта. Но тем не менее,
    >некоторые проекты на python по качеству были гораздо хуже некоторых проектов
    >на PHP.

    Чой-то не верится  про "некоторые проекты", да и не говорят так веб-проект на python, обычно на джанге, вебпи и т.п.


    >> А сайт общественной палаты по вашему писали быдлокодеры.
    >
    >Я вообще верю в нашу партию и правительство. И обсуждать подобные вещи
    >не желаю.

    Вы тоже из Хайфы?

     
     
  • 8.109, Kaiser (ok), 20:38, 08/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А почему не говорят Тем более, что не вебом единым ... текст свёрнут, показать
     
     
  • 9.115, Аноним (3), 22:17, 09/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ну не cgi же вы использовали, а фреймворки уж больно разные, чтобы выделять язык... текст свёрнут, показать
     
  • 6.111, ntimmy (??), 09:45, 09/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >>с базами данных используется PDO, который сам экранирует символы и защищает
    >>от SQL-injection, к примеру.
    >>
    >>А по поводу PHPBB: Mediawiki тоже на PHP. Так у Wikipedia же
    >>базу данных пользователей не уводят.
    >
    >Ну вот взломали сайт Общественной палаты (интересно сколько бабла налогоплатильщиков вбухано в
    >этот сайт).
    >И вы по прежнему считаете PHP досточно безопасным для использования? А сайт
    >общественной палаты по вашему писали быдлокодеры

    Предположу по сайту писали студенты за степендию и зачет. А бабки списали на контору которая якобы писала этот сайт. Потом поделили чтобы никому не было обидно. Известная схема.

     
  • 4.123, User294 (??), 16:54, 18/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Пруфлинк для третьей версии не затруднит На что-нибудь свежее и злое А то скольк... большой текст свёрнут, показать
     
  • 2.9, RageLT (??), 16:10, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Мдя. Просто удивительно, что за столько лет авторы phpBB так и не
    >научились программировать.

    Причём тут авторы phpBB? Написано же phplist.
    Да были времена когда phpbb была сплошной дырой, но это прошлый век. сейчас же это достойный продукт, среди опенсорса.

     
     
  • 3.13, Аноним (-), 16:28, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Michiel Dethmers, автор PHPlist по совместительству является разработчиком PHPbb.
     
  • 3.59, terr0rist (ok), 23:49, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Мдя. Просто удивительно, что за столько лет авторы phpBB так и не
    >>научились программировать.
    >
    >Причём тут авторы phpBB? Написано же phplist.
    >Да были времена когда phpbb была сплошной дырой, но это прошлый век.
    >сейчас же это достойный продукт, среди опенсорса.

    Хахаха, умные разработчики пхпбб без всякой проверки используют любой софт, который им подсунут. Даже если он написан прямо в GET-запросе. =)))

     
  • 2.24, User294 (??), 17:29, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Мдя. Просто удивительно, что за столько лет авторы phpBB так и не
    >научились программировать.

    А вы за слова ответить то сможете?Покажите дырки в phpbb3 собственно который они пишут?Слабо?Я вот слежу за его развитием и что-то дыр то и не видно.Похоже они неплохо учатся на своих ошибках и не только (phpbb2 и правда был дырявый).

    А когда у вас будет 400 000 аккаунтов при том не дутиков а реально живых и нтересных - посмотрим как вы справитесь с защитой от хакеров.

     
     
  • 3.39, Аноним (3), 19:46, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А вы за слова ответить то сможете?Покажите дырки в phpbb3 собственно который они пишут?Слабо?Я вот слежу за его развитием и что-то дыр то и не видно.Похоже они неплохо учатся на своих ошибках и не только (phpbb2 и правда был дырявый).

    А можно я за него отвечу.

    Из избраного:

    http://milw0rm.com/exploits/7386

    Из вчерашнего:

    http://milw0rm.com/exploits/7980

    На сим прощаюсь, и еще раз повторюсь, PHP это одна огромная дыра.

     
     
  • 4.92, Oles (?), 12:57, 07/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >На сим прощаюсь, и еще раз повторюсь, PHP это одна огромная дыра.

    У тебя "PHP" == "PHPBB" приравнивается в true, а вот это не просто дыра, а диагноз куда покруче.

     
     
  • 5.98, Аноним (3), 19:57, 07/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >У тебя "PHP" == "PHPBB" приравнивается в true, а вот это не просто дыра, а диагноз куда покруче.

    А какая разница пэхапэбиби это или джумла или еще что-нибудь на пэхапэ, дырявые они все, понимаешь? Нет в пэхапэ защиты никакой, и каждый разработчик один на один с граблей, на которую обязательно наступит да не по разу.

    А нести бредоносные речи, что мол все зависит от программиста, его отпыта и интелекта --- да херня все это.

    Одних только классифицируемых разновидностей уязвимостей для веба насчитывается более двух тысяч --- все предусмотреть невозможно.

    Это как по миному полю бегать, добежал --- удача, навернулся --- закономерность.

    А не видеть это и отстаивать очевидную глупость, это действительно диагноз.

     
     
  • 6.126, User294 (??), 18:18, 18/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вот для этих двух пруфлинки на чтонить серьезное плиз И не надо на левые сторонн... большой текст свёрнут, показать
     
  • 4.124, User294 (??), 17:31, 18/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Это чо, оно требует какой-то левый мод пыхпббы В сад Или даже в зад Вы стоковый ... большой текст свёрнут, показать
     
  • 3.60, terr0rist (ok), 23:51, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    > Похоже они неплохо учатся на своих ошибках

    Для начала обычно умные люди учатся на чужих ошибках: читают маны и факи по безопасности, уж тем более ПХП, про который столько всего понаписано и про SQL-injection, и про include любого файла...

     
  • 3.70, Щекн Итрч (ok), 11:04, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Мдя. Просто удивительно, что за столько лет авторы phpBB так и не
    >>научились программировать.
    >
    >А вы за слова ответить то сможете?Покажите дырки в phpbb3 собственно который
    >они пишут?Слабо?Я вот слежу за его развитием и что-то дыр то
    >и не видно.

    "Зеродей" - ведомо вам такое понятие? :)
    У меня есть мой личный зеродей против одного недруга :)
    Но вы о нем ничего не услышите :) Пока он не выстрелит :)
    Если только не купите, конечно :) Сумма сделки и вас тоже заставит помалкивать :)

     
     
  • 4.80, AntiDot (?), 16:06, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >>А вы за слова ответить то сможете?Покажите дырки в phpbb3 собственно который
    >>они пишут?Слабо?Я вот слежу за его развитием и что-то дыр то
    >>и не видно.
    >
    >"Зеродей" - ведомо вам такое понятие? :)
    >У меня есть мой личный зеродей против одного недруга :)
    >Но вы о нем ничего не услышите :) Пока он не выстрелит
    >:)
    >Если только не купите, конечно :) Сумма сделки и вас тоже заставит
    >помалкивать :)

    "У нас есть такие приборы, но мы вам про них не раскажем!" (С) Манго-Манго
    Как говорят в инете - кол-во смайликов обратно пропорционально возрасту писавшего.

     
  • 2.91, Oles (?), 12:54, 07/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Мдя. Просто удивительно, что за столько лет авторы phpBB так и не
    >научились программировать.

    Видимо там также сидят те, кто благодаря идиотизму не умеют читать даже такую простую вещь как эту новость на пару параграфов. Ты, кулхакер, хоть понял о чём тут вообще говорится?

     
     
  • 3.96, Аноним (3), 19:31, 07/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Видимо там также сидят те, кто благодаря идиотизму не умеют читать даже такую простую вещь как эту новость на пару параграфов. Ты, кулхакер, хоть понял о чём тут вообще говорится?

    Тут говорится, что PHP это сплошная дырка в безопасности.

     
     
  • 4.97, Oles (?), 19:41, 07/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Тут говорится, что PHP это сплошная дырка в безопасности.

    Молодца! Так скоро индуские программеры превысят по IQ местных. В этой новости даже слово "php" ни разу небыло употреблено.


     
     
  • 5.99, Аноним (3), 20:26, 07/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Молодца! Так скоро индуские программеры превысят по IQ местных. В этой новости даже слово "php" ни разу небыло употреблено.

    Ну да, индуский кодер, phpbb, phplist они же на точканете написаны, только мы с тобой об этом знаем, ты никому не рассказывай.

     
     
  • 6.101, Oles (?), 21:12, 07/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну да, индуский кодер, phpbb, phplist они же на точканете написаны, только
    >мы с тобой об этом знаем, ты никому не рассказывай.

    И? Я могу сделать говно на любом языке, было бы желание.

     

  • 1.11, Аноним (3), 16:19, 05/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Надеюсь тех уродов найдут и посадят
     
     
  • 2.12, wertik (ok), 16:27, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Надеюсь тех уродов найдут и посадят

    ЭЭ а вот этого не надо , благодаря этим уродам как вы говорите, они показывают слабые стороны того или иного программного продукта.
    Не все можно выведать при покупке...

     
     
  • 3.14, Аноним (3), 16:31, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Показать слабые стороны проекта можно и с мЕньшим количеством пострадавших пользователей.. не так ли?
     
     
  • 4.16, wertik (ok), 16:34, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Показать слабые стороны проекта можно и с мЕньшим количеством пострадавших пользователей.. не
    >так ли?

    Кто на что горазд.

    Не вижу разницы.

     
     
  • 5.35, User294 (??), 19:09, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Не вижу разницы.

    Зато я вижу.Порядочный хакер найдя дыру вообще-то сообщает админу и только потом, когда ее починят - ALLу. И делает это из интереса к устройству системы, изучая слабые места. А не для того чтобы базу на 400k юзеров умыкнуть. Сракеры всякие по которым тюрьма плачет - ровно наоборот: тырят все что можно и разводят срач, никому ничего не сообщая. Вот таких сажать явно не лишне. Геморрой 400 000 пиплов - хороший повод упечь в кутузку. Минимум годков на 5, чтобы было время подумать над поведением. А при рецидиве такой деструктивной и общественно опасной деятельности вообще лет 20 нафиг впаивать, без права юзать даже калькулятор.Чтобы реально так пронимало.

     
     
  • 6.47, ы 0 (?), 21:15, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, даём вам 30 секунд - мы благородные пираты.

    ИМХО так - даже хуже.
    Пока пользователи не поймут, ПОЧЕМУ им важны некие эфемерные инклюдинги, хэш-алгоритмы, и прочие умно-шаманские слова, они будут оставаться в неведении.
    Ложное чувство безопасности опаснее похищенного пароля от форума.

     
  • 6.49, cray (??), 22:04, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Минимум годков на 5

    )) к примеру, найду тебя или того кто тебе дорого, и совершу "убийство без отягчающих обстоятельствах".. Отсижу 8 лет, а паренёк этот столько же.. Это справедливо?

     
  • 6.57, terr0rist (??), 23:35, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Может вообще сажать разработчиков за то, что не умеют программить и оставляют дыры?
     
  • 4.30, spamtrap (ok), 18:36, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Показать слабые стороны проекта можно и с мЕньшим количеством пострадавших пользователей.. не
    >так ли?

    а скольким пользователям ихнего сайта это доставило страдания? поделитесь информацией?

     
     
  • 5.53, cray (??), 22:38, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    и какой тяжести еще.. плюс пригласить психолога чтоб провел психоанализ со всеми 400 000 душ.
     
  • 3.15, Aleksey (??), 16:33, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А можно ограбить вашу квартиру, а вы в милицию не заявляйте, т.к. вам показали все недостатки вашей двери.
     
     
  • 4.17, wertik (ok), 16:38, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А можно ограбить вашу квартиру, а вы в милицию не заявляйте, т.к.
    >вам показали все недостатки вашей двери.

    Вы не путайте, а то еще про солонку щас баян припомню.

    IT не тот сектор.  Аккаунты насколько я понимаю , регистрировались данными пользователями

    на том ресурсе ,на добровольной основе. А не на коммерческой основе.


    Дальше мысль развивать я думаю не стоит?)))

     
     
  • 5.19, Sem (ok), 16:54, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Какая разница?

    Если вам так угодно, пусть это будет не квартира, а ваш домик, построенный из срубленного вами дерева. Это повод его взламывать? Даже если у вас нет опыта в строительстве и домик получился кривоватым, это не оправдание грабителям.

    Аналогия вполне достойная. Вор должен сидеть.

     
     
  • 6.21, wertik (ok), 17:02, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Какая разница?
    >
    >Если вам так угодно, пусть это будет не квартира, а ваш домик,
    >построенный из срубленного вами дерева. Это повод его взламывать? Даже если
    >у вас нет опыта в строительстве и домик получился кривоватым, это
    >не оправдание грабителям.
    >
    >Аналогия вполне достойная. Вор должен сидеть.

    В таком случае начинайте с низа.
    Ответственность с производителей жестких дисков выбивайте о нормальной сохранности данных.
    Так же с windows.
    Так же с linux.
    Так же с производителей иного ПО.
    Нет тут никакой аналогии.
    если на данных уровнях ответственности нет, то почему воры ?
    Где аналогия?
    ЖКХ и иное сюда не приписывайте.

    p.s не было бы воров, не было бы и соответствующих структур.

     
     
  • 7.31, Аноним (3), 18:38, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Аналогия неуместна, все эти производители предупреждают пользователя заранее в лицензии.
     
     
  • 8.81, none (??), 17:25, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    а когда ты дверь покупал себе в квартиру там тоже был такой пунктик вы исполь... текст свёрнут, показать
     
     
  • 9.113, Abstractioneer (?), 12:33, 09/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    То есть, если дверь взломали - садить не воров, а тех, кто дверь сделал ... текст свёрнут, показать
     
  • 6.56, Вася (??), 23:20, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Какая разница?
    >
    >Если вам так угодно, пусть это будет не квартира, а ваш домик,
    >построенный из срубленного вами дерева. Это повод его взламывать? Даже если
    >у вас нет опыта в строительстве и домик получился кривоватым, это
    >не оправдание грабителям.
    >
    >Аналогия вполне достойная. Вор должен сидеть.

    А если он в домик залез, посмотрел ТВ, полистал журналы, скопировал из свежего плейбоя мисс январь на фотик в сотовом и ушел. Его тоже надо посадить?
    Ну украли какие-то аккаунты и что? Надо смотреть был ли ущерб, был ли злой умысел, а потом уже пыхтеть и доказывать что вор должен сидеть в тюрьме. Если такой правильный, то к любому так можно дое**ться и посадить.

     
     
  • 7.73, Аноним (3), 12:37, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Разумеется. Нарушена неприкосновенность жилища.
     
  • 7.88, GoSha (?), 11:02, 07/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо лезть своими грязными руками другому в штаны, даже если он забыл застегнуть шириньку. Вы немного путаете мораль с детской игрой "казаки-разбойники".
    Чужое не трож!!! Даже если оно лежит на пороге дома владельца совсем без какого либо присмотра. А то по вашему, я на рынке отвернулся, а добрый хацкер сумел в это время залезть ко мне в сумку и вытащить кошелёк. Хацкеру премию за проворливость.
     
  • 5.36, User294 (??), 19:13, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >IT не тот сектор.  Аккаунты насколько я понимаю , регистрировались данными
    >пользователями

    Знаете, если мне кто-то, пусть даже спец по отмычкам покажет что замки у меня говно - я и не подумаю заявлять в милицию, даже вознаграждение дам за рассказ чего-то того чего я сам не знал.А вот если кто простите вломится в квартиру и пошарится там сперев чего-то - пусть пеняет на себя.

     
     
  • 6.89, GoSha (?), 11:05, 07/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>IT не тот сектор.  Аккаунты насколько я понимаю , регистрировались данными
    >>пользователями
    >
    >Знаете, если мне кто-то, пусть даже спец по отмычкам покажет что замки
    >у меня говно - я и не подумаю заявлять в милицию,
    >даже вознаграждение дам за рассказ чего-то того чего я сам не
    >знал.А вот если кто простите вломится в квартиру и пошарится там
    >сперев чего-то - пусть пеняет на себя.

    Правильная мысль, особенно если учесть тот факт, что для профи любой замок открыть не проблема. Так что юноши, умерьте свой задор и научитесь жить не залазив в форточку когда хозяина дома нет.

     
  • 4.110, Аноним (3), 21:57, 08/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А можно ограбить вашу квартиру, а вы в милицию не заявляйте, т.к.
    >вам показали все недостатки вашей двери.

    ))))))

     
  • 4.112, wertik (ok), 11:50, 09/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >А можно ограбить вашу квартиру, а вы в милицию не заявляйте, т.к.
    >вам показали все недостатки вашей двери.

    А можно не путать , реальную жизнь и виртуальную. ?

    Тем более имея такой бардак относительно IT вообще в законодательстве.

    Ну подумаешь быдло сайтик поломали какой то.

    Сохранность данных насколько я понимаю , никто не гарантировал им при регистрации.

    Вы еще в столовую жалобу напишите . То что солонка у них уязвимость содержит и в неё можно

    йад насыпать. С просьбой пофиксить.

     
  • 3.93, Oles (?), 12:59, 07/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Правильно, для того, чтоб показать что нож - оружие, нужно перерезать не менее 10000 красноглазиков. А то вдруг одного не хватит?
     
  • 2.20, Guest (??), 16:58, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Надеюсь тех уродов найдут и посадят

    А зачем их искать? Помоему список разработчиков phpBB известен.

     
     
  • 3.22, geekkoo (ok), 17:04, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    У них у всех израильское гражданство ;) А там своих не выдают ...
     
  • 2.23, i (??), 17:27, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Надеюсь тех уродов найдут и посадят

    надеюсь что не найдут, вы наверно хотите чтоб все были белые и пушистые и пусть про дырки в ПО никто не знает

     
     
  • 3.27, Aleksey (??), 18:27, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Сообщить о баге - это не одно и тоже с тем, чтобы его использовать. Если для вас сообщение об урагане и сам ураган - одно и тоже, то я вас расстрою - в жизни обычно это разные понятия.
     
     
  • 4.54, darkk (?), 22:49, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Я не знаю, насколько авторы phpBB адекватны, но иногда подобный способ — единственный доступный вариант привлечения внимания авторов к исправлению уязвимости.
    Не надо далеко ходить — в соседнем топике писали про "war-driving" для RFID-паспортов.
     
  • 2.42, Unknown (??), 20:55, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Надеюсь тех уродов найдут и посадят

    Мне кажется, мистер, из-за таких как вы уже практикуется фильтрация трафика по контенту у некоторых провайдеров. Вы надеюсь конфиденциальные данные не пересылаете через бесплатные почтовые сервисы, типа mail.ru etc.?

     
  • 2.76, Touch (ok), 14:14, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Надеюсь тех уродов найдут и посадят

    Думаю слишком сурово, а вот штраф на пару десятков косых в самый раз =)

     

  • 1.18, Аноним (3), 16:48, 05/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Зачем там вообще регистрация?
     
  • 1.25, Андрей К. (?), 18:05, 05/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Теперь при регистрации под открытыми/бесплатными движками помимо заверения о содержании личных данных в тайне, появятся слова, что инфа может быть спёрта, и никто за это отвечать не будет.

    * * *
    Только после такого осознаешь обратную сторону GPL.

     
     
  • 2.28, WhiteWind (ok), 18:27, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А при чём здесь GPL?
     
  • 2.33, bsdaemon (??), 18:57, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Теперь при регистрации под открытыми/бесплатными движками помимо заверения о содержании личных данных
    >в тайне, появятся слова, что инфа может быть спёрта, и никто
    >за это отвечать не будет.
    >
    >* * *
    >Только после такого осознаешь обратную сторону GPL.

    при чем тут GPL?! Кража данных она везде кража, включая банковские счета (т.е. реальные деньги, можно считать имущество) будь то GPL, LGPL, EULA, etc. Разве что только к BSD лицензии это не относится - так как они добровольно отдают. Об уязвимости можно и нужно сообщать создателям/владельцам сайта, программы и т.д. но не воруя ничего. Создатель/владелец захочет и (или)сможет отблагодарит, если нет - спасибо тоже неплохо.
    В этом имхо и состоит разница между хакерами (разбирают ради любопытства и прогресса) и крэкерами (разбирают ради наживы и/или денег)

     
  • 2.44, Unknown (??), 21:09, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/

    >* * *
    >Только после такого осознаешь обратную сторону GPL.

    вы лучше eula от Microsoft почитайте. Или у других разработчиков закрытого ПО.

     
  • 2.63, vitek (??), 01:20, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    только после того как родишься осознаешь, что мир - дерьмо.

    а при чем здесь gpl?... или даже eula?

     

  • 1.26, srgaz (?), 18:22, 05/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Только после такого осознаешь обратную сторону GPL.

    Вообще если у вас сопрут с ISS то вам скажут-- что, вы сами виноваты.  

     
     
  • 2.32, spamtrap (ok), 18:38, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >>Только после такого осознаешь обратную сторону GPL.
    >
    >Вообще если у вас сопрут с ISS то вам скажут-- что, вы
    >сами виноваты.

    идиоты, которые скажут, что сами виноваты, всегда найдутся, в не зависимости от GPL/неGPL

     

  • 1.29, VyacheslavS (?), 18:32, 05/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Есть такая хорошая поговорка:
    "За одного битого - двух небитых дают"
    И я уверен, что phpBB через несколько дней станет еще лучше и надёжнее!
     
     
  • 2.34, anonymous (??), 18:57, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Есть такая хорошая поговорка:
    >"За одного битого - двух небитых дают"
    >И я уверен, что phpBB через несколько дней станет еще лучше и
    >надёжнее!

    куда уж лучше-то?

     
  • 2.61, terr0rist (ok), 23:56, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    и в инете появится еще пара сотен тыщ статей о SQL-injection и include(anyfile), в дополнение к уже существующим парам сотен миллиардов.
    Я бы на месте "разработчиков" прочитал бы хоть одну из них, прежде чем браться за разработку.

    > За одного битого - двух небитых дают

    битым можно по-разному быть. За одного один раз битого (и больше не битого) может и дадут двух небитых, а вот за битого каждый месяц и всё продолжающего быть битым - я бы и яйца выеденного не дал. Это уже мазохизм =)

     

  • 1.40, VyacheslavS (?), 20:30, 05/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >куда уж лучше-то?

    C каждым релизом работает шустрее, исправляют баги и тп, вводят новые фишки - вот должен релиз АвтоМод-а выйти.
    Очень хороший продукт в разряде GPL.

     
  • 1.43, Аноним (3), 21:07, 05/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >PHP-проект не может быть хорошим, по определению

    Он доступен многим, понятен, прост в использовании и он GPL.
    Попробуйте доказать свою категоричность в отношении этого форума, а не ставить
    клеймо в стиле "совка". И покажите альтернативу.

     
     
  • 2.48, Аноним (3), 21:33, 05/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ну доступных и более понятных языков вагон и маленькая тележка А що opennet нап... большой текст свёрнут, показать
     
     
  • 3.62, terr0rist (ok), 00:12, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >PHP --- есть зло, большинство всех уязвимостей веб из-за него, остальное на
    >javascript и flash.

    PHP конечно зло :) но главное зло - это РНР-программисты. Можно и на пыхе написать нормальный неломаемый проект, но просто уровень пыхопрограммеров в 99.9999% соответсвует уровню самого пыха. Пых - это изначально язык для домохозяек, персонал-хоум-пэйдж. Что еще ожидать от пыхопрограммеров?
    А вот насчет ЖС - я считаю, самый лучший скриптовый язык когда-либо изобретенный.
    Флэш как проприетарно-неадекватная технология тут вообще ни при чем. =)

    >Альтернатив, на которых кстати на порядок быстрее пишуться проекты и которые не
    >страдают всякими детскими болезнями масса. Django например, или ROR.

    Чем мне лично не нравятся питоны и руби - тем, что у каждого свой набор каких-то фич, которые мне как С/Жава/ЖС фанату просто отвратны (типа блоков-отступов в питоне). Каждому, конечно, своё, но питон не для меня.

    >MVC-модель и ORM в коробке, а значит и SQL-injection (при помощи которого
    >был взломан phpbb) исключен полностью, добавьте туда автоматическую админку, которая уже
    >включена в фреймворк,

    Всё хорошо. Только вот скорость этого фреймворка?

    >ну чего вам еще надо набрали модель баз
    >данных за 5-10 минут, создали шаблоны с дизайном (без всякого включенного
    >кода), подключили нужные модули, которые уже из коробки (RSS,Atom,Comment,OpenID, и т.п.),
    >подключили через fastcgi к веб-серверу --- все проект готов --- быстро,
    >и гарантировано без уязвимостей и если с дизайном веб-старниц не заморачиваться
    >(или их делает дизайнер (включенного кода в html там нет)) за
    >пол-часа максимум.

    Еще одна проблема - разработка проектов, выходящих за рамки шаблонов. Особенно когда фреймворк не всё делает так, как хотелось бы.

    Я уж "не говорю" о массовых сайтах для массового хостинга, который даже пых 5-й и то недавно поставил, а уж про питон да руби вообще не слышал и едва ли в ближайшее время услышит.

     
     
  • 4.64, Аноним (3), 02:09, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Каждый язык должен использоваться для своих задач У меня таблица в html 300 мег... большой текст свёрнут, показать
     
     
  • 5.65, terr0rist (ok), 02:17, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >Каждый язык должен использоваться для своих задач.

    Perl - для текста :)

    У меня таблица в html
    >300 мегов за несколько минут преобразуется в текст с разделителями (csv)весь
    >код на питоне занимает поллистика а4 при том что приходится реплейсить
    >кучу тегов, так как html создается через ole в ворде...

    несколько минут - это очччень долго... на перле не пробовали? :) Хотя может и комп медленный.

    >Этот парсер был написан минут за 30. С учетом добавления шаблонов вырезания
    >всего лишего и отладкой. А сколько я бы подобное писал на
    >C++ или даже на PHP? Питон тем хорош что он позволяет
    >создать маленький скрипт без лишнего головняка.

    Си++ явно не для этого. РНР - это ваще для текстов ну никак - только для веба.
    А вообще, говорят, нет плохих ЯП, есть плохие программисты.

    >Нет смысла начинать холивары и так далее.

    абсолютно. Каждому - своё :)

    >Каждому языку найдется место и круг решаемых задач.

    +1

    >А для создания web2 или web3 приложений лучше
    >PHP+AJAX ничего нет. Быстро, просто и кросплатформено.

    Пока - да. Только аякс тут как-то не по теме :) это все-таки не ЯП =)

     
  • 4.67, Аноним (3), 08:37, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Если не учитывать массу хаков веб-клиентов, с получением полного доступа к систе... большой текст свёрнут, показать
     
     
  • 5.71, Geol (?), 11:04, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/

    >Касательно javascript, с точки зрения безопасности довольна не зрелая технология, хотя бы
    >потому, что допускает XSS.

    Допускает не язык а программисты. \

    >Когда вы напишите всего-лишь средненький проект на этих языках, вы будете их
    >любить,

    Не хочу любить язык. Люблю девушек.

    >Пробема такая действительно есть, но ее масштаб явно преувеличен, в рунете сейчас
    >есть десяток крупных хостеров, кто предоставляет и Django и ROR. Скорее
    >проблема не из-за хостеров, а из-за недостатка разработчиков, как следовательно спроса
    >на эти сервисы.

    Django и ROR существуют по сегодняшним меркам ой как давно. И уж начали их внедрять всяко раньше чем, например Zend Framework. А теперь попробуйте включить мозг и подумать, почему эти технологии так и не стали массово востребованными? Потому что все дураки а вы один умный?

     
     
  • 6.74, Аноним (3), 13:50, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вот уж нет, не нужно все взваливать на человека, человеку свойственно ошибаться,... большой текст свёрнут, показать
     
     
  • 7.78, terr0rist (??), 15:07, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Опять же, не спорю, а поправляю Нельзя сделать абсолютную защиту от дурака в ср... большой текст свёрнут, показать
     
     
  • 8.79, Geol (?), 15:39, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Вы уж простите, но моё дело - как раз веб-разработка С Django я действительно о... текст свёрнут, показать
     
     
  • 9.83, nuclight (ok), 19:28, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Есть Постольку, поскольку дыры очень часто находят в САМОМ php, да и просто доф... текст свёрнут, показать
     
  • 9.84, Аноним (3), 19:30, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Проблема не в том что проектов больше, а следовательно и уязвимостей больше, про... большой текст свёрнут, показать
     
  • 8.82, Аноним (3), 19:14, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Можно, примитивно и при этом абсолютная защита в веб, это всего лишь банальная ф... большой текст свёрнут, показать
     
  • 6.75, Аноним (3), 14:07, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    А кто вам вообще сказал что Zend используют больше чем RoR? Есть статистика?

     
  • 5.77, terr0rist (??), 14:49, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    В принципе, я не спорю Я только уточняю Можно рассматривать с точки зрения юзе... большой текст свёрнут, показать
     
     
  • 6.86, Аноним (3), 19:55, 06/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    Ага, придет к вам толстый заказчик кинет денег на стол и скажет хочу баннер на ф... большой текст свёрнут, показать
     
  • 3.120, лка (?), 22:47, 09/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >
    >MVC-модель и ORM в коробке, а значит и SQL-injection (при помощи которого
    >был взломан phpbb) исключен полностью, добавьте туда автоматическую админку, которая уже
    >включена в фреймворк, ну чего вам еще надо набрали модель баз
    >данных за 5-10 минут, создали шаблоны с дизайном (без всякого включенного
    >кода), подключили нужные модули, которые уже из коробки (RSS,Atom,Comment,OpenID, и т.п.),
    >подключили через fastcgi к веб-серверу --- все проект готов --- быстро,
    >и гарантировано без уязвимостей и если с дизайном веб-старниц не заморачиваться
    >(или их делает дизайнер (включенного кода в html там нет)) за
    >пол-часа максимум.

    да? неужели?
    а symfony к примеру ни осилил?
    php виновно?

     
     
  • 4.121, Аноним (3), 00:04, 10/02/2009 [^] [^^] [^^^] [ответить]  
  • +/
    >да? неужели?

    а symfony к примеру ни осилил?
    php виновно?

    Симфония вещь она хорошая конечно, но уж больно тормозная, по сравнению с Django, ребята из Яндекса говорят что мерили и тестили получили соотношение по скорости в 30 раз.

     

  • 1.45, VyacheslavS (?), 21:13, 05/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Нашелся и взломщик, точнее его блог:
    http://hackedphpbb.blogspot.com/2009/01/place-holder.html
     
  • 1.90, GoSha (?), 11:16, 07/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    1) "Всё что одним человеком сделано, завсегда другим может быть поломано"
    2) А зачем это они сделали? Вообще, зачем эти прыщавые юнцы воруют аккаунты, е-майлы и прочая прочая. Ещё один из способов померяться длинной пиписьки?

    Однозначно, любые противоправные действия должны быть осуждены и не говорите мне об открытой двери и плохом замке Или вы хотите что бы я открыл дверь но оставил в квартире бультырьера? или по улицам с булем ходил?

     
  • 1.103, tty01 (?), 13:18, 08/02/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Правильно сделали, что сломали. Там ошибка - детская (?a=../../etc/password)
    Головой думать надо, прежде чем ставить нубский софт.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру