@katinka: Tym, że na hostingu z shellem sobie nie odpalisz zazwyczaj oprogramowania, które sobie musisz skompilować (a do tego muszą byc narzędzia, ale nikt Ci ich nie zainstaluje), a przede wszystkim sobie nie pouruchamiasz zazwyczaj aplikacji w tle, tylko możesz użyć jakichś prostych narzędzi do kopiowania plików, zmiany ich zawartości, czy SFTP i to wszystko.
@applicative_functor: Nie podano, od włamu to takie pizganie się było i w sumie Marcin mimo że aktywował projekt na innej serwerowni to jednak zrezygnował bo chyba stracił przekonanie. Ale w grę mogą wchodzić też względy finansowania projektu. Choć wszystko ma działać jeszcze przez rok (wygaszenie)... Ale chyba już na ten kolejny (ostatni?) rok już opłaty nawet nie pobiera... więc to już będzie taka mordownia podejrzewam; wyprzedawanie sprzętu i cięcie kosztów.
Szkoda, byli tani i oferowali sporo możliwości. No ale, to tylko Linux, trzeba było zakładać, że ktoś znajdzie sploita i kiedyś nastąpi lokalny włam. Dane do bazy danych w pliku tekstowym i po wszystkim. Zamknięcie userów w chroot albo wrzucenie ich do zwirtualizowanej maszyny, chociażby na bazie KVM ? Ale wtedy "szatan" nie powinien działać w ten sposób, cały proces powinien być bardziej rozdrobniony.. Zresztą, błąd największy - trzymanie wszystkich danych użytkowników
@applicative_functor: Nie jakby chcieli, tylko chcieli. Nawet jeżeli zamknięcie Rootnode'a nie jest wynikiem jakichś działań konkurencji to chyba oczywiste jest, że będą chcieli przejąć klientów. Nie jest to ani niemoralne ani tym bardziej zabronione.
W sumie nie da się zabezpieczyć takiej "shellowni" z dużą liczbą użytkowników przed lokalnym włamaniem, nie ważne czy Linux czy OpenBSD.. zamykanie użytkowników w jakimś chroot z osobnym userlandem ? Ale z tego też można wyjść.. Maszyna wirtualna tylko dla użytkowników ? Ale to będzie to samo.. atakujący zyska co najmniej dostęp do danych innych klientów, a to również jest niedopuszczalne. Jakieś "magiczne" mapowanie /home/user z innej maszyny/zasobu dopiero po zalogowaniu ale
@amz: Nie robiłem nigdy dostępu do shella dla ludzi z zewnątrz, a grsecurity ostatnio widziałem jakieś 10 lat temu, ok.
No pomysł z netcatem niezły, ale nie chodzi mi o logowanie z poziomu aplikacji, kiedyś bawiłem się jakimś patchem, jeszcze do kernela 2.0, który logował wywołania każdego procesu + uid. Przecież wiadomo, że nikt nie zostawi historii w jakimś ~/.history
Powstanie Luka w internecie. Ahes odwalał kupę dobrej roboty, ale czasami chęci nie wystarczą ...
Teraz tylko czekać aż dzieciaki pokupują dedyki na OVH i będzie wysyp jakiś tanich projektów ... a tutaj autorski system, fajna atmosfera i Jabłuszko na IRCU robiący za 1 osobowy support ;]
Specjalnie dla wszystkich, którzy nie wiedzą o co mi chodziło w pierwszym komentarzu: kodowanie to po prostu zdefiniowany sposób zapisu danych, w tym przypadku: hasła. Służy to tylko i wyłącznie temu, aby komputer mógł te dane przetworzyć i/lub przesłać dalej tak, aby odbiorca też je zrozumiał. Dane, które trzymają w bazie danych MUSZĄ być zakodowane w ten czy inny sposób (np. któreś z UTF lub ISO). Kodowanie NIE ma na celu ukrycia
@amz: tak, wiem, że korciło Cię, aby pochwalić się megatajemną i znaną nielicznym specjalistom wiedzą, ale zauważ, że zupełnie nie o tym mówiłem (zakładam, że znasz znacznie słowa "kodowanie", więc doskonale powinieneś wiedzieć co miałem na myśli). Poza tym - hashowanie to JEST szyfrowanie jednostronne. Tak więc
jak chcesz innych komentowac to wypadaloby znac podstawy ;)
Poza tym dzięki za wyjaśnienie czym jest hashowanie. Od razu zadzwonię do firmy, żebyśmy
Dziś dostałem wyjątkowo wredny spam. Ktoś poskładał moje dane osobowe z różnych źródeł. Mail przyszedł na adres którego nigdzie nie podawałem... Być może za wyjątkiem właśnie rootnoda, o którym zdążyłem już dawno zapomnieć.
Coś takiego można było przewidzieć. Przechowywanie danych klientów w taki sposób? Nie dziwię się, że właściciel zwija interes. Po takiej spektakularnej wpadce nic tylko na jakiś czas zająć się zupełnie czymś innym.
No i czas najwyższy, są pewne rzeczy po których firma musi po prostu zniknąć z rynku. Część osób by zapewne została ale większość klientów i tak by stracił.
Komentarze (37)
najlepsze
http://rootnodestatus.net/?p=2142#comments
No pomysł z netcatem niezły, ale nie chodzi mi o logowanie z poziomu aplikacji, kiedyś bawiłem się jakimś patchem, jeszcze do kernela 2.0, który logował wywołania każdego procesu + uid. Przecież wiadomo, że nikt nie zostawi historii w jakimś ~/.history
Komentarz usunięty przez moderatora
Teraz tylko czekać aż dzieciaki pokupują dedyki na OVH i będzie wysyp jakiś tanich projektów ... a tutaj autorski system, fajna atmosfera i Jabłuszko na IRCU robiący za 1 osobowy support ;]
Przecież jest konkurencja.
hasła (zakodowane) do kont pocztowych,
hasła (niezakodowane) do kont FTP,
Poza tym dzięki za wyjaśnienie czym jest hashowanie. Od razu zadzwonię do firmy, żebyśmy
Coś takiego można było przewidzieć. Przechowywanie danych klientów w taki sposób? Nie dziwię się, że właściciel zwija interes. Po takiej spektakularnej wpadce nic tylko na jakiś czas zająć się zupełnie czymś innym.
Z drugiej strony ja jako user też
Komentarz usunięty przez moderatora
Komentarz usunięty przez moderatora
Komentarz usunięty przez moderatora