KLB Klaagbaak
Klaag maar raak voor een knaak.
Bijna iedere webdeveloepr weet wel dat MD5 wachtwoorden over het algemeen redelijk makkelijk te kraken zijn dankzij gigantische databases die zo ongeveer alle wachtwoorden van 1-9 tekens met lowerUPPER1234567890!@#$%^ bevatten.
Toch blijkt nu dat een van de grootste, al dan niet de grootste, online community van Nederland nog steeds simpelweg normale MD5 encryptie gebruikt.
Hoe lui en onwetend zijn de dev's van fok dan dat ze nog steeds md5() gebruiken ipv bijvoorbeeld een dubbele md5 ( md5(md5($pass)) ) of een salt ( md5($pass.$salt) )
Op zo'n manier kan je er gewoon op wachten dat een van de crew wachtwoorden wordt gekraakt en daarnaast worden alle FOK! users nu ook lekker gescrewed als blijkt dat de cracker een complete kopie heeft gemaakt van iedereens email adres + wachtwoord.
Way to go
Toch blijkt nu dat een van de grootste, al dan niet de grootste, online community van Nederland nog steeds simpelweg normale MD5 encryptie gebruikt.
Hoe lui en onwetend zijn de dev's van fok dan dat ze nog steeds md5() gebruiken ipv bijvoorbeeld een dubbele md5 ( md5(md5($pass)) ) of een salt ( md5($pass.$salt) )
Op zo'n manier kan je er gewoon op wachten dat een van de crew wachtwoorden wordt gekraakt en daarnaast worden alle FOK! users nu ook lekker gescrewed als blijkt dat de cracker een complete kopie heeft gemaakt van iedereens email adres + wachtwoord.
Way to go
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Kwaliteitstopic om 6 voor half 1. Zal wel dinsdag zijn 
Ik pak een CD, zet de radio aan, geniet van honkietonkiemuziek.
EN NOU IS HET AFGELOPEN!
Op woensdag 22 december 2010 01:17 schreef MYV het volgende:
TS, mag ik jou moffenhoertje zijn?
TS, mag ik jou moffenhoertje zijn?
Al die bebrilde pubers met zomervakantie die het beter denken te weten.
Ik typ straat.
Mijn fashion blog: http://ludosfashionblog.wordpress.com/
Mijn fashion blog: http://ludosfashionblog.wordpress.com/
Half 1.. Zal ik nog wat noodles naar binnen werken?quote:Op dinsdag 25 augustus 2009 00:26 schreef Dropdown het volgende:
Kwaliteitstopic om 6 voor half 1. Zal wel dinsdag zijn
More oneness, less categories
Open hearts, no strategies
Decisions based upon faith and not fear
People who live right now and right here
Open hearts, no strategies
Decisions based upon faith and not fear
People who live right now and right here
Samenvatting: shit happensquote:Op dinsdag 25 augustus 2009 00:24 schreef Japsnars het volgende:
Bijna iedere webdeveloepr weet wel dat MD5 wachtwoorden over het algemeen redelijk makkelijk te kraken zijn dankzij gigantische databases die zo ongeveer alle wachtwoorden van 1-9 tekens met lowerUPPER1234567890!@#$%^ bevatten.
Toch blijkt nu dat een van de grootste, al dan niet de grootste, online community van Nederland nog steeds simpelweg normale MD5 encryptie gebruikt.
Hoe lui en onwetend zijn de dev's van fok dan dat ze nog steeds md5() gebruiken ipv bijvoorbeeld een dubbele md5 ( md5(md5($pass)) ) of een salt ( md5($pass.$salt) )
Op zo'n manier kan je er gewoon op wachten dat een van de crew wachtwoorden wordt gekraakt en daarnaast worden alle FOK! users nu ook lekker gescrewed als blijkt dat de cracker een complete kopie heeft gemaakt van iedereens email adres + wachtwoord.
Way to go
Er is leven na de lach.
Met een beetje programmeer kennis kan je goud geld verdienenquote:
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
De bril moet nog komenquote:Op dinsdag 25 augustus 2009 00:30 schreef LudoSanders het volgende:
Al die bebrilde pubers met zomervakantie die het beter denken te weten.
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Een uurtje geleden had je een punt gehad, maar nu had je beter alles in de verleden tijd kunnen schrijven. Beetje een mosterd-na-de-maaltijd-topic.
[ Bericht 33% gewijzigd door #ANONIEM op 25-08-2009 00:32:54 ]
[ Bericht 33% gewijzigd door #ANONIEM op 25-08-2009 00:32:54 ]
ik snap het allemaal niet, maar ik ben dan ook geen nurd
That moment is a crossroads where everything you want will collide with everything standing in your way.
Ja als gold harvester in WoW ja!quote:Op dinsdag 25 augustus 2009 00:31 schreef Japsnars het volgende:
[..]
Met een beetje programmeer kennis kan je goud geld verdienen
______________________________________
Hier tekenen:
.......................De_Kardinaal......................
______________________________________
Hier tekenen:
.......................De_Kardinaal......................
______________________________________
Je bent te laat TS, met deze reactie.
Te laat.
Te laat.
Want ik ben verzekerd, dat noch dood noch leven, noch engelen noch machten, noch heden noch toekomst, noch krachten, noch hoogte noch diepte, noch iets anders mij zal kunnen scheiden van de liefde van God.
Te laatquote:
Ga met Iteejer samen om de tafel zou ik zeggen voor een diep gesprek
Er mogen aardige lekken ontdekt worden, wil je kunnen ontcijferen wat we nu hebben.
eee7a201261dfdad9fdfe74277d27e68890cf0a220f41425870f2ca26e0521b0
hoe zit dat met dat salt verhaal...
salt moet iets bekends zijn anders kan je namelijk nooit de hash vergelijken.. (lijkt mij?)
salt moet iets bekends zijn anders kan je namelijk nooit de hash vergelijken.. (lijkt mij?)
MD5, nu nog? Jezus dat kan echt niet meer nee.
Ik heb geen idee waar het over gaat.
Ik heb geen idee waar het over gaat.
Op maandag 5 september 2016 23:16 schreef -Deluzion- het volgende:
En ik antwoord liever niet op Fascination. aka Alex Vause.
En ik antwoord liever niet op Fascination. aka Alex Vause.
Eens, iets met zout ofzo?quote:Op dinsdag 25 augustus 2009 00:39 schreef Fascination het volgende:
MD5, nu nog? Jezus dat kan echt niet meer nee.
Ik heb geen idee waar het over gaat.
That moment is a crossroads where everything you want will collide with everything standing in your way.
Een uurtje geleden had ik nog geen idee dat Fok! slechts een standaard MD5 encryptie gebruiktequote:Op dinsdag 25 augustus 2009 00:32 schreef Igen het volgende:
Een uurtje geleden had je een punt gehad, maar nu had je beter alles in de verleden tijd kunnen schrijven. Beetje een mosterd-na-de-maaltijd-topic.
Dus meer een nabeschouwing topic inderdaad
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Dit account is overgenomen door Peter Havenaar die in de Van ’t Hoffstraat kaasspeciaalzaak Weydeland leidt.
MD5 is een hashing algoritme:quote:Op dinsdag 25 augustus 2009 00:39 schreef Fascination het volgende:
MD5, nu nog? Jezus dat kan echt niet meer nee.
Ik heb geen idee waar het over gaat.
Fok!Forum wordt: bd0b6a8703c90e4471aa39367158aca8
vroeger (ergens 5 jaar geleden ofzo?) werd het nog gebruikt om wachtwoorden "veilig" op te slaan (anders kan jan met de pet je wachtwoord lezen
Vergelijk het maar met het rondlopen in kleren die in 1999 mode waren.quote:Op dinsdag 25 augustus 2009 00:39 schreef Fascination het volgende:
MD5, nu nog? Jezus dat kan echt niet meer nee.
Ik heb geen idee waar het over gaat.
Want ik ben verzekerd, dat noch dood noch leven, noch engelen noch machten, noch heden noch toekomst, noch krachten, noch hoogte noch diepte, noch iets anders mij zal kunnen scheiden van de liefde van God.
spammertquote:Op dinsdag 25 augustus 2009 00:41 schreef dWc_RuffRyder het volgende:
Dit account is overgenomen door Peter Havenaar die in de Van ’t Hoffstraat kaasspeciaalzaak Weydeland leidt.
[ afbeelding ]
dacht, herhaal het even, er lopen wat hardlerende fokkers rond @ Fok!quote:Op dinsdag 25 augustus 2009 00:41 schreef Core2 het volgende:
Goh echt gast? Dat dit nog niet eerder genoemd is in de talloze topics en op de fp over de hack!
In jip-en-janneketaal:quote:Op dinsdag 25 augustus 2009 00:39 schreef Fascination het volgende:
MD5, nu nog? Jezus dat kan echt niet meer nee.
Ik heb geen idee waar het over gaat.
Een wachtwoord met MD5 opslaan is zo veilig als je fiets in Amsterdam met zo'n slot vastmaken:
Klopt, als een user aanmeld of zijn password veranderd; genereer je een random salt. Bijvoorbeeld: '7%4Ks' deze sla je vervolgens ook gewoon op in de database, dit kan in een nieuwe tabel maar ook gewoon in de password tabel. Vervolgens fetch je de salt bij het inloggen en controleer je alles.quote:Op dinsdag 25 augustus 2009 00:38 schreef mschol het volgende:
hoe zit dat met dat salt verhaal...
salt moet iets bekends zijn anders kan je namelijk nooit de hash vergelijken.. (lijkt mij?)
Het grote nadeel van salts is dus wel dat je steeds de salt moet fetchen wat toch weer extra DB-load kost.
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Voor de nuance mag je dit lezen: http://foknl.wordpress.com/2009/08/24/ongezouten-toegang/quote:
Bijna iedere webdeveloepr weet wel dat MD5 wachtwoorden over het algemeen redelijk makkelijk te kraken zijn dankzij gigantische databases die zo ongeveer alle wachtwoorden van 1-9 tekens met lowerUPPER1234567890!@#$%^ bevatten.
Toch blijkt nu dat een van de grootste, al dan niet de grootste, online community van Nederland nog steeds simpelweg normale MD5 encryptie gebruikt.
Hoe lui en onwetend zijn de dev's van fok dan dat ze nog steeds md5() gebruiken ipv bijvoorbeeld een dubbele md5 ( md5(md5($pass)) ) of een salt ( md5($pass.$salt) )
Op zo'n manier kan je er gewoon op wachten dat een van de crew wachtwoorden wordt gekraakt en daarnaast worden alle FOK! users nu ook lekker gescrewed als blijkt dat de cracker een complete kopie heeft gemaakt van iedereens email adres + wachtwoord.
Way to go
I am a leaf on the wind.
Watch how I soar.
Watch how I soar.
Maar MD5 is dus niet echt topkwaliteit hasj?
Ik typ straat.
Mijn fashion blog: http://ludosfashionblog.wordpress.com/
Mijn fashion blog: http://ludosfashionblog.wordpress.com/
1. Ik lees de FP nietquote:Op dinsdag 25 augustus 2009 00:41 schreef Core2 het volgende:
Goh echt gast? Dat dit nog niet eerder genoemd is in de talloze topics en op de fp over de hack!
2. Ik heb in KLB nog niks teruggezien over MD5 dus vandaar
3. Ik verveel me
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
had je er niet ook wat peper bij willen hebben dan?quote:Op dinsdag 25 augustus 2009 00:45 schreef Breuls het volgende:
Nee, we hebben nu echt de ultrabeste stuff geregeld.
Nee blijkbaar is het gewoon hasj die twaalf jaar gedroogd is in de zuiderzee.quote:
Maar MD5 is dus niet echt topkwaliteit hasj?
______________________________________
Hier tekenen:
.......................De_Kardinaal......................
______________________________________
Hier tekenen:
.......................De_Kardinaal......................
______________________________________
Misschien kan er ook nog even een topic over worden geopend in ONZ en SEX en misschien zelfs KPD.
17 mei 2009: Bekerfinale: s.c. Heerenveen - FC Twente 2-2 (5-4)
Oh we zijn goed gekruid hoor.quote:
[..]
had je er niet ook wat peper bij willen hebben dan?
I am a leaf on the wind.
Watch how I soar.
Watch how I soar.
Maar als iemand in de database kan komen, kan hij toch ook de salt opvragenquote:
[..]
Klopt, als een user aanmeld of zijn password veranderd; genereer je een random salt. Bijvoorbeeld: '7%4Ks' deze sla je vervolgens ook gewoon op in de database, dit kan in een nieuwe tabel maar ook gewoon in de password tabel. Vervolgens fetch je de salt bij het inloggen en controleer je alles.
Het grote nadeel van salts is dus wel dat je steeds de salt moet fetchen wat toch weer extra DB-load kost.
?
Het smaakte de laatste tijd anders knap lafjes!quote:
______________________________________
Hier tekenen:
.......................De_Kardinaal......................
______________________________________
Hier tekenen:
.......................De_Kardinaal......................
______________________________________
Top! Best snel geregeld.quote:Op dinsdag 25 augustus 2009 00:44 schreef Breuls het volgende:
[..]
Voor de nuance mag je dit lezen: http://foknl.wordpress.com/2009/08/24/ongezouten-toegang/
Top, ga het nu even lezen.quote:Op dinsdag 25 augustus 2009 00:44 schreef Breuls het volgende:
[..]
Voor de nuance mag je dit lezen: http://foknl.wordpress.com/2009/08/24/ongezouten-toegang/
Goed geregeld
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
True, maar dan kom je weer terecht bij het kraak proces.quote:Op dinsdag 25 augustus 2009 00:51 schreef CaptainCookie het volgende:
[..]
Maar als iemand in de database kan komen, kan hij toch ook de salt opvragen
Je kan ofwel een password brute-forcen (Je genereert random wachtwoorden en vergelijkt de gecodeerde hash hiervan met de hash die je uit de database hebt geplukt)
Of je kan een password vergelijken tegenover een al bestaande database die passwords en de bijbehorende salts bevat. Meestal worden hiervoor rainbow tables gebruikt.
Deze rainbow tables bevatten slechts hashes in de standaard encryptie vorm en dus niet de encryptie vorm met salt. Hierdoor kan je de gejatte password hash niet meer afsteken tegenover zo'n soort database.
De enige overgebleven manier blijft brute-forcen, dit kost vaak enorm veel tijd en omdat iedere gebruiker een random salt krijgt; kan de hacker ook maar 1 wachtwoord met 1 salt tegelijk brute-forcen
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
ALLE PASSWORDS WORDEN GERESET!
Voor de luiaards onder ons:
TS faalt
EDIT: En hier verder over password reset dan... Wachtwoord reset vraagje(s)
Voor de luiaards onder ons:
Topic van TS was van vandaag 00:25 uur. Topic van Danny is van gisteren 23:19 uur...quote:Op maandag 24 augustus 2009 23:19 schreef Danny het volgende:
Beste FOK!ker,
zoals jullie weten zijn we afgelopen zaterdag aangevallen door een hacker die in md5 gehashte vorm opgeslagen passwords heeft ontfutseld. MD5 is in haar standaard vorm tegenwoordig relatief eenvoudig te kraken en dus moest daar een betere oplossing voor komen. Die is er en die zal op zeer korte termijn (vanavond nog) worden doorgevoerd.
Om te voorkomen dat de hacker zich alsnog met de buitgemaakte passwords toegang kan verschaffen tot accounts van gebruikers zullen we ook alle passwords resetten. Dit houdt in dat je zodra je uitlogt pas weer kunt inloggen als je de passmailer gebruikt en op die manier een nieuw wachtwoord hebt gekregen. Die kun je dan weer veranderen via de profielinstellingen. Tussentijds je wachtwoord veranderen kan niet omdat het zonder ingesteld password onmogelijk is in te loggen.
We raden iedereen aan zo snel mogelijk uit te loggen en na verificatie dat inloggen inderdaad niet meer mogelijk is de passmailer te gebruiken. We begrijpen dat dit een lastige procedure is, maar in dit geval kiezen we voor volledige veiligheid.
Mochten er toch problemen zijn, stuur dan even een mail naar forum@fok.nl. We zullen er dan zo snel mogelijk naar kijken.
We rekenen op jullie begrip voor deze situatie.
De Crew
TS faalt
EDIT: En hier verder over password reset dan... Wachtwoord reset vraagje(s)
Never regret anything, beacuse one time it was exaclty what you wanted.
Op donderdag 29 mei 2014 01:52 schreef Tamashii het volgende:
Aan Ado vraagt iedereen toestemmming
Op donderdag 29 mei 2014 01:52 schreef Tamashii het volgende:
Aan Ado vraagt iedereen toestemmming
Ik lees niet ieder uur de mededelingen? Jij wel danquote:Op dinsdag 25 augustus 2009 00:58 schreef Adolecens het volgende:
ALLE PASSWORDS WORDEN GERESET!
Voor de luiaards onder ons:
[..]
Topic van TS was van vandaag 00:25 uur. Topic van Danny is van gisteren 23:19 uur...
TS faalt
EDIT: En hier verder over password reset dan... Wachtwoord reset vraagje(s)
Als jij iedere 5 minuten de aankondigingen refreshed, dan faal jij toch echt harder
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Als ik FOK! open in een browser kom ik gewoon in de index terecht en daar staat het bovenaan. Dus ja, het was het eerste wat ik las. Faal ik dan?quote:
[..]
Ik lees niet ieder uur de mededelingen? Jij wel dan
Als jij iedere 5 minuten de aankondigingen refreshed, dan faal jij toch echt harder
Never regret anything, beacuse one time it was exaclty what you wanted.
Op donderdag 29 mei 2014 01:52 schreef Tamashii het volgende:
Aan Ado vraagt iedereen toestemmming
Op donderdag 29 mei 2014 01:52 schreef Tamashii het volgende:
Aan Ado vraagt iedereen toestemmming
Maar jij begrijpt niet dat sommige mensen, waaronder ik dus, nog een forum pagina openhebben staan in hun browser en vervolgens gewoon af en toe op MyAT klikken ipv op index?quote:Op dinsdag 25 augustus 2009 01:03 schreef Adolecens het volgende:
[..]
Als ik FOK! open in een browser kom ik gewoon in de index terecht en daar staat het bovenaan. Dus ja, het was het eerste wat ik las. Faal ik dan?
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Ah, natuurlijk. Dat had ik zelf moeten bedenkenquote:
[..]
True, maar dan kom je weer terecht bij het kraak proces.
Je kan ofwel een password brute-forcen (Je genereert random wachtwoorden en vergelijkt de gecodeerde hash hiervan met de hash die je uit de database hebt geplukt)
Of je kan een password vergelijken tegenover een al bestaande database die passwords en de bijbehorende salts bevat. Meestal worden hiervoor rainbow tables gebruikt.
Deze rainbow tables bevatten slechts hashes in de standaard encryptie vorm en dus niet de encryptie vorm met salt. Hierdoor kan je de gejatte password hash niet meer afsteken tegenover zo'n soort database.
De enige overgebleven manier blijft brute-forcen, dit kost vaak enorm veel tijd en omdat iedere gebruiker een random salt krijgt; kan de hacker ook maar 1 wachtwoord met 1 salt tegelijk brute-forcen
Ja, de een ziet zo'n mededeling wel, de ander niet. Ga elkaar daar nou niet op lopen aanvallen, ieder zijn meug en dus zijn browsemethoden.
I am a leaf on the wind.
Watch how I soar.
Watch how I soar.
Ow ja, dat snap ik welquote:
[..]
Maar jij begrijpt niet dat sommige mensen, waaronder ik dus, nog een forum pagina openhebben staan in hun browser en vervolgens gewoon af en toe op MyAT klikken ipv op index?
Als ik wat langer FOK! doe ik het ook op die manier en zie ik de index ook niet geregeld. Het ging mij nu om je statement dat ik zou falen
Never regret anything, beacuse one time it was exaclty what you wanted.
Op donderdag 29 mei 2014 01:52 schreef Tamashii het volgende:
Aan Ado vraagt iedereen toestemmming
Op donderdag 29 mei 2014 01:52 schreef Tamashii het volgende:
Aan Ado vraagt iedereen toestemmming
Ik kijk echt nooit in de index, alleen MyAT/AT.quote:Op dinsdag 25 augustus 2009 01:05 schreef Japsnars het volgende:
[..]
Maar jij begrijpt niet dat sommige mensen, waaronder ik dus, nog een forum pagina openhebben staan in hun browser en vervolgens gewoon af en toe op MyAT klikken ipv op index?
Okequote:Op dinsdag 25 augustus 2009 01:06 schreef Adolecens het volgende:
[..]
Ow ja, dat snap ik wel
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Hey! Welkom terug..quote:
Ja, de een ziet zo'n mededeling wel, de ander niet. Ga elkaar daar nou niet op lopen aanvallen, ieder zijn meug en dus zijn browsemethoden.
Goed en lekker rustig weekend gehad?
Never regret anything, beacuse one time it was exaclty what you wanted.
Op donderdag 29 mei 2014 01:52 schreef Tamashii het volgende:
Aan Ado vraagt iedereen toestemmming
Op donderdag 29 mei 2014 01:52 schreef Tamashii het volgende:
Aan Ado vraagt iedereen toestemmming
Ik wel, ik moest pas vandaag aan de bak. Heb van het weekend maar weinig meegekregen van de perikelen.quote:Op dinsdag 25 augustus 2009 01:08 schreef Adolecens het volgende:
[..]
Hey! Welkom terug..
I am a leaf on the wind.
Watch how I soar.
Watch how I soar.
Zou wat zijn als het nog steeds zo is, dan zou het mailtje met de mededeling om het wachtwoord te wijzigen nog weinig waard zijn, he?
How do you get precisely 4 Gallons of water with a 3 Gallon and 5 Gallon Can...
Hé ja. Wat een plan.quote:Op dinsdag 25 augustus 2009 00:30 schreef trancethrust het volgende:
[..]
Half 1.. Zal ik nog wat noodles naar binnen werken?
Hetgeen bewezen en beklonken moest worden.
Het gaat er meer om dat Fok! het anno 2009 nog gebruiktequote:Op dinsdag 25 augustus 2009 01:11 schreef Mr.Noodle het volgende:
Zou wat zijn als het nog steeds zo is, dan zou het mailtje met de mededeling om het wachtwoord te wijzigen nog weinig waard zijn, he?
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Wat is dat "zout" gebeuren voor iets? Ik bedoel dat SHA2 512-bits encryption zal wel weer een bepaalde encryptiemethode zijn maar waarom gooi je er nog een korrel zout op?
How do you get precisely 4 Gallons of water with a 3 Gallon and 5 Gallon Can...
quote:
Wat is dat "zout" gebeuren voor iets? Ik bedoel dat SHA2 512-bits encryption zal wel weer een bepaalde encryptiemethode zijn maar waarom gooi je er nog een korrel zout op?
quote:
[..]
True, maar dan kom je weer terecht bij het kraak proces.
Je kan ofwel een password brute-forcen (Je genereert random wachtwoorden en vergelijkt de gecodeerde hash hiervan met de hash die je uit de database hebt geplukt)
Of je kan een password vergelijken tegenover een al bestaande database die passwords en de bijbehorende salts bevat. Meestal worden hiervoor rainbow tables gebruikt.
Deze rainbow tables bevatten slechts hashes in de standaard encryptie vorm en dus niet de encryptie vorm met salt. Hierdoor kan je de gejatte password hash niet meer afsteken tegenover zo'n soort database.
De enige overgebleven manier blijft brute-forcen, dit kost vaak enorm veel tijd en omdat iedere gebruiker een random salt krijgt; kan de hacker ook maar 1 wachtwoord met 1 salt tegelijk brute-forcen
Ah gossie, TS heeft net z'n HBO lesje gehad over beveiligingsprotocollen. Kreeg je die cursus gratis bij een pakje Stimorol, TS?
The past is what made you, but the future is what you're gonna make!
Bedoel je niet jezelf?quote:Op dinsdag 25 augustus 2009 07:25 schreef AlphaOmega het volgende:
Ah gossie, TS heeft net z'n HBO lesje gehad over beveiligingsprotocollen. Kreeg je die cursus gratis bij een pakje Stimorol, TS?
Sorry, ik zelf doe nog VWO. Maar iedere webdeveloper moet deze kennis over beveiliging hebben wil hij goede en vooral degelijke websites kunnen maken
Op woensdag 23 juni 2010 22:44 schreef Chuck_Norris het volgende:
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Haha Jap jonge trollgod
Op woensdag 23 juni 2010 22:48 schreef Skylark. het volgende:
Chuck is mastertrolled _O_.
Er zijn nogal wat meer factoren van invloed die een school je niet meegeeft, maar goed. Oh, en die gegevens heb ik al een tijdje niet bijgewerkt. Ben ondertussen een hele andere kant uit ontwikkeld.quote:Op dinsdag 25 augustus 2009 08:07 schreef Japsnars het volgende:
[..]
Bedoel je niet jezelf?
[ afbeelding ]
Sorry, ik zelf doe nog VWO. Maar iedere webdeveloper moet deze kennis over beveiliging hebben wil hij goede en vooral degelijke websites kunnen maken
The past is what made you, but the future is what you're gonna make!
Ik eigenlijk ook niet, al vind ik dit soort eikelpoets topics altijd wel komisch. Vooral het gebrek aan inzicht. Het feitjesneuken kunnen ze, maar het begrip waarom bepaalde zaken zijn zoals ze zijn, dat is lastig.quote:Op dinsdag 25 augustus 2009 08:10 schreef jitzzzze het volgende:
Ik kan er niet wakker van liggen, sorry
The past is what made you, but the future is what you're gonna make!
Je verwacht toch wel dat een groot forum (met ook veel betaalde users) wel een beetje normale beveiliging heeft. Dit is gewoon heel erg slecht.
Facts don't care about your feelings
Nou inderdaad. En begrijpen dat een groot forum als dit wel interessant is voor hackers is ook moeilijk.quote:
[..]
Ik eigenlijk ook niet, al vind ik dit soort eikelpoets topics altijd wel komisch. Vooral het gebrek aan inzicht. Het feitjesneuken kunnen ze, maar het begrip waarom bepaalde zaken zijn zoals ze zijn, dat is lastig.
En al helemaal dat er vast onwijs goede redenen waren om voor deze beveiliging te kiezen.
Jij als gebruiker wel, maar je weet de insteek van de leverancier niet. Er zijn vele zaken die je tegen elkaar af kunt wegen, en een belangrijke vraag om jezelf te stellen is 'Wanneer was de vorige keer dat Fok! gehackt was?'quote:Op dinsdag 25 augustus 2009 08:50 schreef YoshiBignose het volgende:
Je verwacht toch wel dat een groot forum (met ook veel betaalde users) wel een beetje normale beveiliging heeft. Dit is gewoon heel erg slecht.
The past is what made you, but the future is what you're gonna make!
Het was (en is) ook een normale beveiliging.quote:
Je verwacht toch wel dat een groot forum (met ook veel betaalde users) wel een beetje normale beveiliging heeft. Dit is gewoon heel erg slecht.
hebben jullie ook gekeken of het haalbaar/wenselijk is om het inloggen via SSL te laten plaatsvinden, zodat de wachtwoorden niet plaintext over het netwerk gaan, tegen packet sniffing?quote:Op dinsdag 25 augustus 2009 00:44 schreef Breuls het volgende:
[..]
Voor de nuance mag je dit lezen: http://foknl.wordpress.com/2009/08/24/ongezouten-toegang/
ik heb hier helaas te weinig verstand van om te weten hoe haalbaar zoiets is, maar het klinkt me wel veiliger in de oren...
ja, het zou me verbazen als niet driekwart van de site's zo in elkaar zitten, of dat ze de wachtwoorden zelfs plaintext opslaan.quote:Op dinsdag 25 augustus 2009 08:56 schreef jitzzzze het volgende:
[..]
Het was (en is) ook een normale beveiliging.
10 jaar geleden was dit waarschijnlijk gewoon aardige beveiliging, en was Fok! net even wat kleinschaliger, en kan ik me voorstellen dat security dan niet echt prioriteit één was.
wat dat betreft is het misschien handig om eens in de zoveel jaar een momentje te hebben waar bijvoorbeeld nagegaan wordt of de beveiliging en misschien ook opvattingen over privacy nog wel voldoende zijn.
En jij denkt serieus dat dat niet gebeurt?quote:
[..]
ja, het zou me verbazen als niet driekwart van de site's zo in elkaar zitten, of dat ze de wachtwoorden zelfs plaintext opslaan.
10 jaar geleden was dit waarschijnlijk gewoon aardige beveiliging, en was Fok! net even wat kleinschaliger, en kan ik me voorstellen dat security dan niet echt prioriteit één was.
wat dat betreft is het misschien handig om eens in de zoveel jaar een momentje te hebben waar bijvoorbeeld nagegaan wordt of de beveiliging en misschien ook opvattingen over privacy nog wel voldoende zijn.
nou ja, ze lopen op de één of andere manier al 10 jaar met md5 rond...quote:Op dinsdag 25 augustus 2009 09:05 schreef jitzzzze het volgende:
[..]
En jij denkt serieus dat dat niet gebeurt?
Wat nog steeds niet zegt dat er nog nooit over nagedacht is.quote:
[..]
nou ja, ze lopen op de één of andere manier al 10 jaar met md5 rond...
Md5 is dan wel achterhaald, maar als je code gewoon klopt/veilig is merkt niemand daar toch iets van?
tot iemand wel in je database terecht komt... en dan heeft iedereen die z'n wachtwoord in goed vertrouwen heeft afgegeven een probleem. want die md5 valt relatief makkelijk te kraken.quote:Op dinsdag 25 augustus 2009 09:48 schreef Lastpost het volgende:
Md5 is dan wel achterhaald, maar als je code gewoon klopt/veilig is merkt niemand daar toch iets van?
hier kwamen ze ook via 3rd party code in de database terecht, dus je hebt het niet altijd helemaal in de hand.
Maar dat bovenstaande is natuurlijk bij alles van toepassing, kan me deur nog zo goed dichtdoen, als het achterraam open staat komen ze ook binnen.quote:Op dinsdag 25 augustus 2009 10:22 schreef SeanFerdi het volgende:
[..]
tot iemand wel in je database terecht komt... en dan heeft iedereen die z'n wachtwoord in goed vertrouwen heeft afgegeven een probleem. want die md5 valt relatief makkelijk te kraken.
hier kwamen ze ook via 3rd party code in de database terecht, dus je hebt het niet altijd helemaal in de hand.
Begreep dat het via het weblog-deel is gebeurd, lijkt me een geval van een scriptkiddie die weet welke software daar voor draait (krijg zo'n vermoeden dat het niet zelf gescript is) en welke exploits ervoor aanwezig zijn.
En ook die software kun je natuurlijk gewoon up-to-date houden/nalopen.
Mensen die in goed vertrouwen wachtwoorden delen binnen een organisatie... Dan heb je toch een structureel probleem... of gewoon pauperwerknemers.quote:Op dinsdag 25 augustus 2009 10:22 schreef SeanFerdi het volgende:
[..]
tot iemand wel in je database terecht komt... en dan heeft iedereen die z'n wachtwoord in goed vertrouwen heeft afgegeven een probleem. want die md5 valt relatief makkelijk te kraken.
hier kwamen ze ook via 3rd party code in de database terecht, dus je hebt het niet altijd helemaal in de hand.
The past is what made you, but the future is what you're gonna make!
alsof dat zo bijzonder isquote:Op dinsdag 25 augustus 2009 10:29 schreef AlphaOmega het volgende:
[..]
Mensen die in goed vertrouwen wachtwoorden delen binnen een organisatie... Dan heb je toch een structureel probleem... of gewoon pauperwerknemers.
ja, daarom is het dus zo belangrijk dat het niet als simpele md5 wordt opgeslagen.quote:Op dinsdag 25 augustus 2009 10:27 schreef Lastpost het volgende:
[..]
Maar dat bovenstaande is natuurlijk bij alles van toepassing, kan me deur nog zo goed dichtdoen, als het achterraam open staat komen ze ook binnen.
...
een MD5 valt tegenwoordig veels te snel terug te halen, waardoor de hacker in principe het wachtwoord weet van een eindgebruiker, waarmee hij bij andere site's, z'n e-mail, of zelfs zijn online bankieren kan binnen komen (en ja, dat is stom van de eindgebruiker, maar dan nog)
als site leg je gevoelige informatie van een persoon vast, en dan vind ik dat je daarmee ook een verantwoordelijkheid op je neemt, om die informatie te beschermen.
en om een wachtwoord te beschermen, hoef je maar een heel klein beetje extra moeite te doen om het vele malen moeilijker te maken voor een hacker om een wachtwoord te achterhalen.
Nee, daarom moet je in veel bedrijven ook zogenaamde security awareness trainingen op naam doen. Daarmee geef je je bedrijf een stok om je heel makkelijk te (ont)slaan.quote:
The past is what made you, but the future is what you're gonna make!
Met alle respect, maar ik deel wachtwoorden waarmee je toegang krijgt tot de database echt niet aan derden.quote:
Zelfde verhaal met de mappen waarin bestanden staan waarmee je de wachtwoorden kunt achterhalen (config), als er iets echt verneukt wordt wil ik er wel zelf verantwoordelijk voor zijn.
Brabbel brabbel.... een MD5 terughalen? Ga nu eens in een beetje meer detail uitleggen wat je probeert te zeggen?quote:Op dinsdag 25 augustus 2009 10:33 schreef SeanFerdi het volgende:
[..]
ja, daarom is het dus zo belangrijk dat het niet als simpele md5 wordt opgeslagen.
een MD5 valt tegenwoordig veels te snel terug te halen, waardoor de hacker in principe het wachtwoord weet van een eindgebruiker, waarmee hij bij andere site's, z'n e-mail, of zelfs zijn online bankieren kan binnen komen (en ja, dat is stom van de eindgebruiker, maar dan nog)
als site leg je gevoelige informatie van een persoon vast, en dan vind ik dat je daarmee ook een verantwoordelijkheid op je neemt, om die informatie te beschermen.
en om een wachtwoord te beschermen, hoef je maar een heel klein beetje extra moeite te doen om het vele malen moeilijker te maken voor een hacker om een wachtwoord te achterhalen.
The past is what made you, but the future is what you're gonna make!
ik moet nu weg, maar misschien kom ik hier vanmiddag nog wel op terug.quote:Op dinsdag 25 augustus 2009 10:36 schreef AlphaOmega het volgende:
[..]
Brabbel brabbel.... een MD5 terughalen? Ga nu eens in een beetje meer detail uitleggen wat je probeert te zeggen?
Natuurlijk, joh... heb je even tijd nodig om op Google te zoeken of je je hier überhaupt uit kunt lullen?quote:Op dinsdag 25 augustus 2009 10:37 schreef SeanFerdi het volgende:
[..]
ik moet nu weg, maar misschien kom ik hier vanmiddag nog wel op terug.
The past is what made you, but the future is what you're gonna make!
Met dat laatste heb je zeker gelijk, gaat er mij meer om dat als je de rest op orde hebt (code/serverbeveiliging enz.) je bij wijze van spreken de boel in plain text op zou moeten kunnen slaan omdat ze toch niet in je database terecht kunnen komen.quote:Op dinsdag 25 augustus 2009 10:33 schreef SeanFerdi het volgende:
[..]
ja, daarom is het dus zo belangrijk dat het niet als simpele md5 wordt opgeslagen.
een MD5 valt tegenwoordig veels te snel terug te halen, waardoor de hacker in principe het wachtwoord weet van een eindgebruiker, waarmee hij bij andere site's, z'n e-mail, of zelfs zijn online bankieren kan binnen komen (en ja, dat is stom van de eindgebruiker, maar dan nog)
als site leg je gevoelige informatie van een persoon vast, en dan vind ik dat je daarmee ook een verantwoordelijkheid op je neemt, om die informatie te beschermen.
en om een wachtwoord te beschermen, hoef je maar een heel klein beetje extra moeite te doen om het vele malen moeilijker te maken voor een hacker om een wachtwoord te achterhalen.
Iedere beveiliging is natuurlijk meegenomen en zodoende is het wel zo wenselijk om ook die zaken nog verder te beveiligen zoals inmiddels is toegepast aangezien het toch om de gegevens van je leden gaat.
9 van de 10 keer komen dit soort hackers aan gevoelige informatie door fouten in de codering, zorg er dan ook voor dat die codering in ieder geval prima in orde is.
Waarmee ik geen gevoelige sneer wil uitdelen richting Fok, in zoveel kb aan code kan er altijd iets over het hoofd gezien worden, dat begrijp ik prima.
God. Wannabe IT-er van 18 die denkt "goud geld" te gaan verdienen
"[...] a large number of the teenagers claiming Asperger's are, in fact, merely dicks."
Volgens mij heeft bijna elk bedrijf zulke werknemers.quote:Op dinsdag 25 augustus 2009 10:29 schreef AlphaOmega het volgende:
[..]
Mensen die in goed vertrouwen wachtwoorden delen binnen een organisatie... Dan heb je toch een structureel probleem... of gewoon pauperwerknemers.
Ik sta altijd versteld dat ze gwoon alle wachtwoorden van iedereen op een afdeling weten ofzo. En dan praat ik niet alleen over kleine bedrijfjes, maar ook over multinationals. En ze geven zo'n wachtwoord net zo makkelijk aan mij. Bij veel bedrijven krijg ik zelfs het admin wachtwoord als ik op een server moet zijn.
En mensen wensen niet over beveiliging te denken. Krijg je een UPS Invoice mailtje (virus) dan open je dat gewoon. Versturen wij wel eens pakketten met UPS? Nee. Verstuur jij wel eens pakketten? Nee. Ben jij de persoon die facturen moet verwerken? Nee. Waarom open je dan in hemelsnaam zulke mailtjes en zeker hun attachments?
Dan gaat er een mailtje rond die uitlegt waar je op kunt leggen. Gebeurt het gewoon weer (zelfde persoon natuurlijk). Gaat weer een mailtje rond waar je op moet letten bij mailtjes, algemeen opgesteld. Komen ze rustig op hoge poten verhaal halen of je het op hun gemunt hebt. Nou ja, eigenlijk wel, want je bent al twee keer zo stom om iets te openen wat je niet moest openen. En de tweede keer wist je waar op te letten.
Kortom, je kunt coderen wat je wilt. De mens is de zwakste schakel. En wie nu piept dat de hacker zijn wachtwoord weet. Vette pech. Je moet ook niet op alle sites hetzelfde wachtwoord gebruiken. Als Danny tot nu toe de wachtwoorden niet gehashed had, dan had hij vrolijk met jouw username en wachtwoord kunnen rotzooien op andere sites. Puur omdat hij rechtstreeks in de database kan kijken.
Wat hij zegt.quote:
[..]
Volgens mij heeft bijna elk bedrijf zulke werknemers.
Ik sta altijd versteld dat ze gwoon alle wachtwoorden van iedereen op een afdeling weten ofzo. En dan praat ik niet alleen over kleine bedrijfjes, maar ook over multinationals. En ze geven zo'n wachtwoord net zo makkelijk aan mij. Bij veel bedrijven krijg ik zelfs het admin wachtwoord als ik op een server moet zijn.
En mensen wensen niet over beveiliging te denken. Krijg je een UPS Invoice mailtje (virus) dan open je dat gewoon. Versturen wij wel eens pakketten met UPS? Nee. Verstuur jij wel eens pakketten? Nee. Ben jij de persoon die facturen moet verwerken? Nee. Waarom open je dan in hemelsnaam zulke mailtjes en zeker hun attachments?
Dan gaat er een mailtje rond die uitlegt waar je op kunt leggen. Gebeurt het gewoon weer (zelfde persoon natuurlijk). Gaat weer een mailtje rond waar je op moet letten bij mailtjes, algemeen opgesteld. Komen ze rustig op hoge poten verhaal halen of je het op hun gemunt hebt. Nou ja, eigenlijk wel, want je bent al twee keer zo stom om iets te openen wat je niet moest openen. En de tweede keer wist je waar op te letten.
Kortom, je kunt coderen wat je wilt. De mens is de zwakste schakel. En wie nu piept dat de hacker zijn wachtwoord weet. Vette pech. Je moet ook niet op alle sites hetzelfde wachtwoord gebruiken. Als Danny tot nu toe de wachtwoorden niet gehashed had, dan had hij vrolijk met jouw username en wachtwoord kunnen rotzooien op andere sites. Puur omdat hij rechtstreeks in de database kan kijken.
|
|
