19.08.19

Добро пожаловать на сайт клана "Holy Knights" , первого клана Последователи Повелителя Металла металлистов "Бойцовского Клуба".

Привет гость

Логин:

Пароль:


Запомнить

[ ]
[ ]


Сейчас Онлайн:
 Юзеров: (0)
 Гостей: (43)
 Что нового

Сегодня входили: 0
Конкретно:

Категории:
Гл. Админ
Админ
Модер.
Юзер

Баннеры


Подземка: пещерно-квестовый портал

Рейтинг@Mail.ru

Форумы

Сайт Святых Рыцарей :: Форумы :: Бойцовский Клуб :: Безопасность вашего компьютера и хаккккинг :)
 
<< Предыдущая тема | Следующая тема >>
Второй пароль, его предназначение, реализация.
Модераторы: Никудышко, Боровичек, Crazy_Orient, METIS, Holy Avenger, Рыжая ведьма, Swolf, LoneWolf_E
Автор Добавил
Swolf
Sun 24 Nov 2013, 05:41PM
 




ID пользователя #866
Зарегистрирован: Wed 29 Apr 2009, 09:23PM
Местонахождение: Одесса, Украина
Сообщений: 53
Данная статья публикуется в связи с заменой способа обработки второго пароля, в БК так как информацию по шифрованию во flash-ке уже можно считать не секретной, а новые данные шифрования содержатся в открытом доступе на странице ввода 2-го пароля. Статья даётся исключительно в ознакомительных целях, и ни в коем случае не является каким-либо пособием по взлому и т.д. и т.п.

Немного ликбеза. Для чего и зачем нужен второй пароль.
Основная задача второго пароля заключается в том, чтобы предотвратить перехват передаваемых данных где-нибудь на промежуточном участке сети. Если первый пароль передаётся в открытом виде, то второй не передаётся вовсе, вместо него передаётся 32 разрядный 16-ричный код, сгенерированный браузером клиента по определённому алгоритму и с определённым ключем, переданным клиенту при открытии странички ввода 2-го пароля. Перехват этого зашифрованного кода ничего не даст, так как преобразование это одностороннее, и обратное преобразование (из ЗАШИФРОВАННОГО КОДА в пароль) не возможно.

В предыдущем варианте программа шифрования на actionscript была внутри flash-ки. Вместе с flash-кой передавался и ключ шифрования в виде переменной "r=xxxxxxxxxx.xxxxx".


Если произвести перевод с "actionscript" на "jаvаscript", то в обычном браузере можно продемонстрировать в точности то, что делала программа из флешки. Например, если ваш 2 пароль = 1111, а значение ключа = 1244201195.28292 , то программа сгенерирует 32-разрядный 16-ричный код равный 23DEE2845DFB629D7973E527A8A505EC .


Однако, не так давно способ обработки второго пароля был изменён.
Вместо флешки теперь клавиатура на jаvаscript. Внешний вид не блещет изяществом, зато можно перемешивать кнопки, чтобы какой-нибудь клавиатурно-мышковый шпион не просёк что вы там клацаете. А что же мы имеем с криптованием ? Давайте взглянем на исходный код страницы запрса второго пароля. Если посторочно разобрать код из странички, то увидим простое MD5 шифрование, описанное, например, тут: http://jаvаscript.ru/php/md5 , Автор: dev5er6, дата: 3 июня, 2013 - 10:17 "Сжатая версия функции md5".


Велосипед никто изобретать не захотел, и пошли по пути простому, короткому, и быстрому.
В настоящий момент криптование пароля имеет такой синтаксис:
cryptcode=md5(session+"pass"+pas), где параметр session, переданный сервером клиенту, выполняет роль ключа, а слово "pass" - добавленно для понта.

Вывод:
Об улучшении криптозащиты в новой версии - говорить не приходится, а с другой стороны - нужна ли там мощная криптозащита ?
В общем не особо то она и нужна, средненького криптования, вроде имеющегося, - с головой достаточно, чтобы отбить желание у взломщика перехватывать данные, а "перемешивание кнопок" - весьма полезная функция для ввода в заблуждение клавиатурно-мышкового шпиона, благодаря этому можно сказать, что новый вариант по функции защиты лучше предыдущего.
Единственное замечание - внешний вид, - оформление оставляет желать лучшего.

П.С.: в связи с переводом обработки 2 пароля на jаvаscript , можно смело предположить, что в ближайшее время появится масса реализаций для автоматического входа в БК, в клиенте "combats fight" - уж точно...
Ссылки:
http://phpforum.ru/index.php?showtopic=18476&st=15&#entry2677125
http://jаvаscript.ru/php/md5

[ Редактирование Mon 25 Nov 2013, 10:25PM ]

Тише, тише, всё будет хорошо )))
Наверх
 

Перейти:     Наверх

Категории:
Гл. Админ, Админ, Модер., Юзер

Транслировать сообщения этой темы: rss 0.92 Транслировать сообщения этой темы: rss 2.0 Транслировать сообщения этой темы: RDF
Powered by e107 Forum System

Мини-чат

Вы должны быть зарегистрированным пользователем, чтобы оставлять сообщения.
Зарегистрироваться...


bullet METIS
23 Apr : 00:04
Хай, Я тут был
bullet Чемпионка
28 Oct : 14:47
Ура! Получилось! Я тоже тутачки была)))
bullet Swolf
30 Sep : 01:51
Глухомань
bullet MAORI
25 Sep : 00:42
Был тут)
bullet Swolf
11 Apr : 23:14
ку
bullet MAORI
01 Apr : 06:15
Был тут )
bullet METIS
25 Dec : 23:02
Драсьте
bullet Боровичек
27 Oct : 15:47
Ура ура, я теперь с паролями и могу тут писать :)
bullet Swolf
21 Oct : 13:35
bullet MAORI
17 Oct : 04:56
Поздравляю персонажа LoneWolf_E [10] с возвращением в Клан !
bullet MAORI
17 Oct : 04:55
Был тут
bullet Swolf
31 Aug : 18:45
bullet MAORI
09 Jul : 11:34

Уровень благородства: 70
bullet Swolf
08 Jul : 23:42
тут был я
bullet ranul
01 Jan : 11:07
Поздравляю Всех с новым годом)))


Новости за 2019

ПнВтСрЧтПтСбВс
 1234
567891011
12131415161718
19202122232425
262728293031