[Moscow.pm] ?

Sergey Juchkov juchkov gmail.com
10 01:09:29 PDT 2008 

Да. только если посмотреть на то количетсво паролей если речь идет о многих
"сложных" как в исходном письме, то на брут надо несколько больше времени.
Ну а инъекции при любом раскладе никто не отменяет.

2008/6/10 Павел Тимонин <gg.error  gmail.com>:

> почему же? по хешу md5, который используется чаще всего, пароль восстановим
> брутом, причем довольно быстро, если он короче 8 символов. для этого даже
> софт есть. а если известен хеш в принципе возможно инъекцией обмануть
> систему авторизации.
>
> 10 июня 2008 г. 8:38 пользователь Sergey Juchkov <juchkov  gmail.com>
> написал:
>
>> Здравствуйте, Михаил.
>>
>> Вы писали 9 июня 2008 г., 21:54:02:
>>
>>
>> ММ> Мы  поизучали код, нашли несколько багов. Но ничего сильно критичного.
>> ММ> Идеи,  как  найти возможную дыру кончились, и поэтому пишу сюда. Хакер
>> ММ> корпел  над сайтом возможно около недели. Есть идеи, как он мог пароли
>> ММ> свистнуть?
>>
>>  Риторический вопрос - а пароли хранятся в открытом виде?
>>  Если да - дыра. Если нет - половина приведенных доводов - ерунда.
>>
>> --
>> С уважением,
>>  Sergey                          mailto:juchkov  gmail.com
>>  http://juchkov.com
>>
>>
>> --
>> Moscow.pm mailing list
>> moscow-pm  pm.org | http://moscow.pm.org
>>
>
>
> --
> Moscow.pm mailing list
> moscow-pm  pm.org | http://moscow.pm.org
>
>


-- 
With best regards, Sergey Juchkov
http://juchkov.com
-----------   -----------
Вложение в формате HTML было извлечено&hellip;
URL: http://mail.pm.org/pipermail/moscow-pm/attachments/20080610/dac1241a/attachment.html

Moscow-pm