Originally Posted by McLove.
Ho letto tutto, e non sto dicendo che stai dicendo cagate od altro, ma ufficialmente non e' successa nessuna catastrofe di hacking o breach (come alcuni siti, a cazzo scrivono) questo tipo di Class Action e' una cagata abnorme, ognuno poi puo pensarla come gli pare maggiormente sono intervenuto perche' la discussione era scesa ad un livello da ritardati mentali.
"not even death can save you from me..."
mi togliete una curiosità, come vi immaginate queste falle di sicurezza?
Tipo secondo voi c'è un ip con campo user e pass che gli hacker dopo un po' indovinano e da li possono leggervi le vostre pazzwordz? No perchè se le premesse son queste, che ci sto qua a fare
hdr.
bnet profile
io da profano del cazzo immagino che ci siano dei sistemi per incastrarsi in alcuni form del forum ufficiale bliz piuttosto che altri servizi similari risalendo agli user e pass degli account.mi togliete una curiosità, come vi immaginate queste falle di sicurezza?
Tipo secondo voi c'è un ip con campo user e pass che gli hacker dopo un po' indovinano e da li possono leggervi le vostre pazzwordz? No perchè se le premesse son queste, che ci sto qua a fare
in realtà forse le pass non servono neanche, ma se dal forum si ritrovano user e mail con dei programmi di cracking appositi e tantissimo tempo (in base alla composizione della pass) è possibile scammare
gratz.
La base dei sistemi crittografici sono funioni unidirezionali. Cioè per criptare A, ci applichi una funzione f e ottieni B, ma non esiste (o è estremamente difficile da trovare o inefficiente) una funzione f' che da B ti ritorni A. Quel che accade è che al momento della scelta della password, tu critti la pass sul tuo computer locale e la mandi, criptata, al server, che la salva, criptata nel database. Quando vuoi loggare, scrivi la pass nel form, la pass viene criptata e viene confrontata DOPO la codifica con quella nel database.
Ottenere le pass in chiaro è quindi estremamente difficile, può accadere solo se gli hacker riescono ad impossessarsi di parte del database, se conoscono l'algoritmo usato e se l'algoritmo usato è un algoritmo molto vecchio che espone qualche falla (cioè per il quale f' è stata trovata o dove f' era impossibile da applicare 10 anni fa ma con i pc di ora si riesce).
Per impossessarsi dei dati del db il db deve essere esposto in rete (spesso è così nei forum isi, tipo questo qua) o devi accedere alla rete interna. Se il db è esposto in rete devi azzeccare user e pass per entrare nel db, e qua lo fai prevalentemente con social engineering. Se il db non è esposto in rete, non fai un cazzo.
Quel che descrivi tu è una specie di sql injection, problema molto famoso ma risolto da anni.
Inutile dire che sta roba, se si usano software aggiornati e se naz non casca in qualche trucco demenziale, è praticamente impossibile da fare per entrare nel db di wayne, figuriamoci battle.net
hdr.
bnet profile
Posting Permissions
Reply With Quote