Tfosheim Skrevet 11. november 2003 Rapporter Del Skrevet 11. november 2003 Politiet henlegger cracker-sak Crackeren som brøt seg inn på NTNU i januar og kanskje fikk med seg 22 000 passord, går fri når politiet nå henlegger saken. Les artikkelen her Lenke til kommentar
oya Skrevet 11. november 2003 Rapporter Del Skrevet 11. november 2003 BRA! Liker at dere bruker det rette ordet, nemlig cracker Lenke til kommentar
Torbjørn Skrevet 11. november 2003 Rapporter Del Skrevet 11. november 2003 måtte ikke bytte login og passord (hvorfor bytte login??) bare passord. Lenke til kommentar
simonj Skrevet 11. november 2003 Rapporter Del Skrevet 11. november 2003 (endret) sikkerhet på ntnu er elendig!!! jeg går på datateknikk første år: nå driver vi med JSP og MySQL ,men det er kjemperart å tenke på at de 20000 studenter og ansatte kan lese mine koder (dermed databasepassord) som ligger i 'public' IDI ha'kke løst det problemet enna,fordi de er så opptatte av å beskyte seg utefra. P.S. alle brukernavn er tilgjengelige for de som er innefor stud.ntnu.no og, så hva er vitsen med å bytte dem ut? åh ja, the power of computing!!! Endret 11. november 2003 av simonj Lenke til kommentar
Ben Dover Skrevet 11. november 2003 Rapporter Del Skrevet 11. november 2003 BRA! Liker at dere bruker det rette ordet, nemlig cracker Ser du har lest "Rikspresse" dekning av denne saken Lenke til kommentar
Aerocker Skrevet 11. november 2003 Rapporter Del Skrevet 11. november 2003 sikkerhet på ntnu er elendig!!! jeg går på datateknikk første år: nå driver vi med JSP og MySQL ,men det er kjemperart å tenke på at de 20000 studenter og ansatte kan lese mine koder (dermed databasepassord) som ligger i 'public' IDI ha'kke løst det problemet enna,fordi de er så opptatte av å beskyte seg utefra. P.S. alle brukernavn er tilgjengelige for de som er innefor stud.ntnu.no og, så hva er vitsen med å bytte dem ut? åh ja, the power of computing!!! For det første så ble login aldri byttet, for det andre hva er problemet med at det eventuellt går an å få tak i passordet som du har på it-intro databasen din. Skal du lagre statshemligheter hadde det jo vært greit med database et annet sted? Lenke til kommentar
Torbjørn Skrevet 11. november 2003 Rapporter Del Skrevet 11. november 2003 simonj: Vet du hva du snakker om? Tror du virkelig at "sikkerheten på ntnu er elendig!!" bare fordi public_html området er åpent for alle? (som det er på alle *nix systemer) Lenke til kommentar
simonj Skrevet 12. november 2003 Rapporter Del Skrevet 12. november 2003 [quote name='Torbjørn' date='11/11/2003 : 18:36'] simonj: Vet du hva du snakker om? Tror du virkelig at "sikkerheten på ntnu er elendig!!" bare fordi public_html området er åpent for alle? (som det er på alle *nix systemer) [/quote] jeg bryr meg ikke om databasepassordene mine (bruker flere brukerer ,gir ikke nok rettigheter til JSP ,gir ikke lov å liste min public - ok... glem det!) men jeg snakker om at [b]/etc/passwd er leselig for alle[/b] ,og det må være mer eller mindre alvorlig... synes du ikke? Lenke til kommentar
simonj Skrevet 12. november 2003 Rapporter Del Skrevet 12. november 2003 For det første så ble login aldri byttet, for det andre hva er problemet med at det eventuellt går an å få tak i passordet som du har på it-intro databasen din.... - sorry om login - it-intro databasen ,jeg skal ikke ha hemmeligheter (har hjemmeserver for det) ,men jeg ble skikkelig forbanne når hadde oppdaget at noen skrevet mye rart inn i news_databasen min ,glad at ingen prøvt å droppe alle tabeller! Lenke til kommentar
petterg Skrevet 12. november 2003 Rapporter Del Skrevet 12. november 2003 Mysql passordene bør du legge i en fil som ikke er lesbare for alle, men kun lesbare for degselv og webserveren. Dvs, du lar den være lesbar for "apache". IT intro er ikke ment for å dekke passord sikkerhet. Det får du neste år. /etc/passwd er leselig for alle på alle linux systemer. Den inneholder ikke passordene dine - kun brukernavn. Lenke til kommentar
simonj Skrevet 12. november 2003 Rapporter Del Skrevet 12. november 2003 (endret) 2petterg : tusen takk for tipsen (det er ikke shadow så klart, men den inneholder epost alias,virkelig navn ++ -så det kunne brukes av en eller annen spam'er . -> jeg føler meg ikke så trygt uansett, er jeg sjisofren?) Endret 12. november 2003 av simonj Lenke til kommentar
Torbjørn Skrevet 12. november 2003 Rapporter Del Skrevet 12. november 2003 (endret) på ntnu har du tilgang til å lage flere brukere, lag da en bruker som du bruker administrativt for å lage databaser og tabeller, deretter en bruker som *kun* har select tilgang, som du legger passordet til i php-fila. da får de ikke gjort noe annet enn å lese innlegg selvom de har mysql brukeren. mysql-useradm create somonj_lesenews mysql-useradm passwd simonj_lesenews mysql-dbadb editperm simonj_newsdb *legge inn 'Y' på select og 'N' på alt annet se følgende link: http://infoweb.ntnu.no/utvikling+og+progra...base/mysql.html Endret 12. november 2003 av Torbjørn Lenke til kommentar
Torbjørn Skrevet 12. november 2003 Rapporter Del Skrevet 12. november 2003 2petterg : tusen takk for tipsen (det er ikke shadow så klart, men den inneholder epost alias,virkelig navn ++ -så det kunne brukes av en eller annen spam'er . -> jeg føler meg ikke så trygt uansett, er jeg sjisofren?) studentsøk på ntnu er åpent likevel, ie søke etter navn, brukernavn, whatever. Lenke til kommentar
Torbjørn Skrevet 12. november 2003 Rapporter Del Skrevet 12. november 2003 Mysql passordene bør du legge i en fil som ikke er lesbare for alle, men kun lesbare for degselv og webserveren. Dvs, du lar den være lesbar for "apache".IT intro er ikke ment for å dekke passord sikkerhet. Det får du neste år. /etc/passwd er leselig for alle på alle linux systemer. Den inneholder ikke passordene dine - kun brukernavn. dette er en falsk trygghet. hvem som helst andre (på samme server) kan lage et php script som åpner hans filer med apache-brukeren. Lenke til kommentar
petterg Skrevet 12. november 2003 Rapporter Del Skrevet 12. november 2003 dette er en falsk trygghet. hvem som helst andre (på samme server) kan lage et php script som åpner hans filer med apache-brukeren. joda. Det er mulig, men det blir litt mer prosjekt enn å kjøre cat /local/www.stud/users/brukernavn/fil.php Er det ikke mulig å sperre via f.x. .htaccess at fila med passord ikke kan nås direkte, men må gå via den fila den er inkludert i? Det finnes også mer avanserte løsninger - Vet jeg har sett noen som virka ganske sikre, men siden jeg kjøre min egen server hadde jeg ikke behov for det, og tok heller ikke vare på linken. Det er selvsagt en god ide og også begrense mysql tilgangen til kun den serveren som kjører webserver, og ellers begrense så mange rettigheter som mulig. Litt dumt at NTNU fortsatt kjører versjon 3.23. Fra versjon 4.x har dette med rettighets begrensninger blitt mye bedre. -pg Lenke til kommentar
Torbjørn Skrevet 12. november 2003 Rapporter Del Skrevet 12. november 2003 (endret) vanlige brukere har ikke lov til å chown'e eller chgrp'e sine filer for deretter å chmod'e til o|g +s. meg vitende hvertfall. mulig .htaccess løsningen fungerer, jeg har tenkt på den selv, men synes det høres urimelig ut, og har heller ikke funnet noe etter et par kjappe google søk. Det som derimot hjelper; simonj; er å kjøre md5() på passord du skal lagre i databasen. det gjør at andre ikke får lest eventuelle passord du måtte ha, da de er enveis-hash'er. Endret 12. november 2003 av Torbjørn Lenke til kommentar
simonj Skrevet 12. november 2003 Rapporter Del Skrevet 12. november 2003 (endret) ok, hvis det er umulig å sikre seg mot trouble, da kan jeg prøve gjøre det vanskelig ....fikk ikke lov å kjøre 'chown httpd secure.txt' ,men jeg har 711 rett i /local/www.stud/users/mittbrnavn , ingen får liste mappen ,men hvis du leser index.jsp så ser hvilke filer som inkluderes , deretter filer som inkluderes i de inkluderte og så vid ,til slutt kommer du til den siste filen (eller får bonus_level i underkatalogen).... det tar litt tid (den vanlige bruker kan maks oppdatere counter database - ikke noe mer (bare select) - OK) P.S Torbjørn: md5, men blir det ikke mulighet til å 'stjele lenk' (inkludere i andre fil som leser det for deg) ? da tar jeg ikke sjanse med det . Men jeg har funnet ut at jeg har public på IDI serveren og, er det poeng i å bruke den i sted for stud ellers? Endret 12. november 2003 av simonj Lenke til kommentar
Torbjørn Skrevet 12. november 2003 Rapporter Del Skrevet 12. november 2003 absolutt, det minsker antall brukere som har tilgang på den annen side vil de som har tilgang være mer kapable til å drive ugang. jeg mente brukerpassord. hvis du har noen form for brukerregistrering med login mot din mysql database, så vil det ikke hjelpe dem å finne passordet i tabellen hvis det er kryptert. Lenke til kommentar
petterg Skrevet 13. november 2003 Rapporter Del Skrevet 13. november 2003 Men selv om du bruker md5 er det vel nok å få ut kildekoden på php/jsp fila? Greit nok at det funker om du har en side hvor brukeren skal taste inn passord hver gang, men hvis du f.x. lager en gjestebok hvor hvem som helst skal kunne skrive en hilsen uten å taste noe passord, må passordet uansett ligge i kildekoden. Har ikke vanlig brukere tilgang til chown :gruppe på stud? Tenkte da at man kunne ta "chown :apache includefil.php" og gi gruppe lesetilgang, mens andre ikke har noen tilgang. hmm Man må vel være medlem av apache gruppen for å få til dette. Hvis du er medlem av apache, så er jo alle andre stud også det, da har de jo likevel lesetilgang... Ble ikke så enkelt dette. Plagsomt at jeg ikke har link til den artikkelen som tok for seg akkurat dette! -pg Lenke til kommentar
petterg Skrevet 13. november 2003 Rapporter Del Skrevet 13. november 2003 Siden denne tråden har sporet av (og jeg har en stor del av skylda) startet jeg en ny tråd der denne mysql - php/jsp diskusjonen hører hjemme. http://forum.hardware.no/index.php?showtopic=168795 Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå