phpBB2 by Przemo

[n7]

Przemo rzemień ma racje. Adresy ip powinno się udostępniać tylko odpowidnim służbą które mają prawo je otrzymać. Nie można sobie wołać kto ma IP hakerów niech mi wyśle na naszaklase.

[Gadatliwa Kasia]

[nieoznakowane]

n7, tym bardziej, że te IP na pewno nie są ich prawdziwymi adresami IP;)

[n7]

No ale mimo wszystko. Wiadomo że wleźli przez proxy.

[Przemo]

Ochrona danych osobowych dotyczy publikowania danych osobowyc a nie przekazywania w prywatnej korespondencji. Poza tym jest to bardzo niska szkodliwosc spoleczna oraz dzialanie w dobrej wierze itp. Mysle, ze nie ma co sie tym przejmowac.

[kam821]

Hmm, myślę Przemo, że powinieneś za dnia wydać jakąś większą aktualizację Przema.
Mam tu na myśli poprawki, o których mądrze wspomniał xXx, zawsze dużo trudniej dopasować odpowiedni md5, jeśli zaszyfrowano zaszyfrowane już basem64 hasło, przynajmniej unikniemy sytuacji, kiedy stopień trudności złamania hasła jest niewielki, w przypadku, kiedy ktoś daje hasło złożone z sensownych słów, hashe base64 nie są wcale sensowne, co zdecydowanie utrudnia pracę skryptom perlowym korzystających z tabel tęczowych
Pozdrawiam

[nieoznakowane]

kam821, raczej należałoby przestrzec przed logowaniem się jako mod, junior admin lub admin z kafejek internetowych!, co sam widziałem niejednokrotnie, no chyba że ktoś ma https to jeszcze ujdzie...
zabezpieczeniem internetu wifi co najmniej WPA PSK2 a nie WEP jak ma większość, to takie podstawy o których niektórzy admini zapominają..., nie muszę chyba tłumaczyć dlaczego?

[kam821]

Owszem, ja sam osobiście nie ze swojego IP niewiele zrobię u siebie jako admin, lecz chodzi tu po prostu o czyste ulepszenie zabezpieczeń skryptu, przykładowe zabezpieczenie przed padem sqla poprzez limitowania ilości słów (konfiguracja w PW) również by się przydało

[.xXx.]

To i tak są pikuś bugi tego forum ja dla bezpieczeństwa proponuje zwiększyć jakość hashowania haseł

Kod:

//Fonction PHPBB3 function _hash_crypt_private($password, $setting, &$itoa64) { $output = '*'; // Check for correct hash if (substr($setting, 0, 3) != '$H$') {return $output;} $count_log2 = strpos($itoa64, $setting[3]); if ($count_log2 < 7 || $count_log2 > 30) {return $output;} $count = 1 << $count_log2; $salt = substr($setting, 4, 8); if (strlen($salt) != 8) {return $output;} $hash = pack('H*', md5($salt . $password)); do { $hash = pack('H*', md5($hash . $password)); } while (--$count); $output = substr($setting, 0, 12); $output .= _hash_encode64($hash, 16, $itoa64); return $output; } function _hash_gensalt_private($input, &$itoa64, $iteration_count_log2 = 6) { if ($iteration_count_log2 < 4 || $iteration_count_log2 > 31) {$iteration_count_log2 = 8;} $output = '$H$'; $output .= $itoa64[min($iteration_count_log2 + ((PHP_VERSION >= 5) ? 5 : 3), 30)]; $output .= _hash_encode64($input, 6, $itoa64); return $output; }

i jak to sie mów sol w oczy hakerowi :]
fragment kodu php do łamania metodą brutalna hasła phpBB3

[Maggicco]

Faktycznie macie racje to ich wina, że ktoś im się włamał na serwer.

[Przemo]

Dwa lata temu wysunalem propozycje, zeby tak szyfrowac hasla to ludzie zaczeli mowic, ze to obciazy skrypt A to byla bzdura. Teraz zaluje ze tego nie zrobilem, ehh.

Zbiera sie troche poprawek do nowej wersji, niedlugo bedzie wersja 1.12.7 ktora bedzie miala poprawionych kilka rzeczy. Aczkolwiek to nic krytycznego dlatego nie ma pospiechu.

[Mazoor]

[Maggicco]

Ja zacząłem stosować metodę szyfrowania hasła od niedawna (2-3 miesiące temu), gdyż zdałem sobie sprawę, że hasło nie jest takie trudno do zgadnięcia.
Polecam tą metodę i nie taką trudną, na szyfrowanie hasła:
Wybierasz pierwszą i ostatnią literę ze słów, których raczej nie zapomnisz
np. Ulubiony piłkarz: Pele i numer np.15 i już masz PE15 i powtarzasz to jeszcze raz albo dwa, żeby nie było za krótkie i ju

[nicon]

Maggicco, niezbyt profesjonalne.

[kam821]

@Przemo
Tylko jeśli mógłbyś wydaj też instrukcję dotyczącą tego, co i gdzie zmienić, gdyż ja u siebie na forum modyfikowałem dużą ilość plików (nawet nie pamiętam co dokładnie), głównie to autorskie mody, poprawki i tak dalej, a wgranie poprawionych plików a następnie przerabianie krok po kroku mi się nie widzi, oczywiście jakieś wynagrodzenie za trud również przygotuję

[Gadatliwa Kasia]

[nieoznakowane]

skrypt jest OK, wina jest przeważnie po stronie SERWERA! na którym jest forum......
nie będę opisywał różnych testów , generalnie należy się uznanie dla Przema....

Dwa lata temu wysunalem propozycje, zeby tak szyfrowac hasla to ludzie zaczeli mowic, ze to obciazy skrypt A to byla bzdura. Teraz zaluje ze tego nie zrobilem, ehh.

nic nie obiciąży....