Gadu-Gadu przechowuje hasła plaintextem

04.12.2009, 21:13:10

157

Tak wspaniale działająca sieć, cudowny oficjalny program klienta pozbawiony reklam, nieograniczone możliwości i takie niedopatrzenie... Jak to możliwe?!

badboy

04.12.2009, 22:12:15

57

Przecież to GG, czego się spodziewaliście? Może jeszcze szyfrowania chcecie?

Use XMPP luke.

argothiel

04.12.2009, 22:49:17

55

A może brute-force'em łamią?

bachoo

04.12.2009, 21:21:56

57

Gratulujemy znalezienia błędu w działaniu systemu Gadu-Gadu! Nagrodę przekaże Panu osobiście Łukasz Foltyn ;]

Sklejany

04.12.2009, 22:16:46

108

Do wygrania było:

Za I miejsce - 5 lat więzienia

Za II miejsce - 3 lata więzienia w zawieszeniu na 2 lata

Za III miejsce - 30 tysięcy złotych grzywny

l.....z

konto usunięte 04.12.2009, 22:27:59

28

w starszych wersjach hasło potrzebne do włączenia gaduradio było przesyłane w postaci niezakodowanego tekstu. wystarczyl sniffer i mozna bylo odczytac nr gg+hasło..

o.....r

konto usunięte 04.12.2009, 22:19:43

51

- Co mi pan za głupoty pieprzy, myśli pan że w to uwierzę? Jakim cudem w takim razie te hasła by działały jakby ich odczytać nie można było! Idiotę pan ze mnie robi!

No cóż można więcej powiedzieć...

seur

04.12.2009, 22:10:53

41

Z gg jest ten sam problem co z allegro jeżeli chodzi o monopol. Jeżeli nie zaliczą poważnej wpadki to ludzie nie zaczną nawet myśleć o jakiejś alternatywie. A do tego czasu mogą robić co chcą, wprowadzać przedziwne opłaty i wtykać reklamy gdzie tylko się da.

RooTer

04.12.2009, 22:40:50

8

głównie dlatego bo dużo osób nawet nie wie że go ma..

przecież każdy user gmail'a ma, aqq, ba, nawet tlen

WhiteWolf

04.12.2009, 22:14:18

7

Niestety. W sumie ponarzekać możemy, to prawda.

Od kilku dni wisiałem na gadu z opisem "Kto ma Jabbera - podawać."

I odezwało się... 2 osoby. Bida.

I cóż, jabber jest i transport z gg niestety, krfa, też...

przemo240zp

04.12.2009, 22:08:04

31

a z prawej reklama AQQ "Prawdziwie męski komunikator" ;]

baxiu90

04.12.2009, 22:16:19

22

Kiedy AQQ wypuściło pierwszą wersje komunikatora z reklamami google'a, też zaliczyli wpadkę, mianowicie w reklamach na początku były wyświetlane oferty innych komunikatorów, jednak dość szybko rozwiązali problem :)

przemo240zp

04.12.2009, 22:46:18

15

@fik43pobme

jeżeli tak rozumujesz, to pewnie korzystasz jeszcze z Internet Explorer'a 6

cp_

04.12.2009, 22:08:37

16

W sumie ostatnio jakaś moda jest na wykradanie haseł, oby sie nic nie stało ;]

baxiu90

04.12.2009, 22:17:39

2

@matogo

Nie wierz w cuda, że napisali by od nowa coś lepszego, Tak samo NK miało nie być podobne do Fotki, i co? KASA, KASA i jeszcze raz KASA liczy się w biznesie.

m.....o

konto usunięte 04.12.2009, 22:15:51

1

A ja bym chciał, żeby wszystkie hasła zostały wykradzione i żeby popoalili im serwery. Byłoby troche zamieszania, a ludzie moze by przeszli na icq, msn, albo po prostu by bylo napisane lepsze gg od nowa. :)

j.....y

konto usunięte 04.12.2009, 22:43:37

8

Ma to też pewne zalety. Przykładowo hasło samo w sobie nigdy (poza rejestracją) nie jest przesyłane jawnym tekstem. Przy logowaniu serwer losuje i wysyła 32 bitową liczbę która łączona jest w aplikacji klienta z hasłem i hashowana algorytmem sha-1. Taki hash jest odsyłany do serwera który porównuje odpowiiedź od klienta z obliczonym hashem z hasła zapisanego w bazie danych i liczby uprzednio wylosowanej. Jeśli hashe się zgadzają to klient zostaje zalogowany. Fakt

dawidg

04.12.2009, 23:54:00

3

ilość kombinacji łatwo policzyć. jeśli twoje hasło ma 10 znaków składające się z mały i wielkich liter oraz cyfr, to kombinacji jest:

(26+26+10)^10 = 839299365868340224

// mniej niż długość skrótu 2^64, czyli jest mała szansa na trafienie kolizji.

zakładając,

dawidg

05.12.2009, 00:14:29

14

aha. no i jedna ważna sprawa. mówicie, że włamywacz nie wie jakiego algorytmu używa się do szyfrowania odwracalnego. a skąd ma wiedzieć jakiego użyłem algorytmu hashowania? mogłem użyć sha-512 gdzie np. usuwałem parzyste bajty... albo zostawiałem tylko te bajty, których indeks jest liczba fibonacciego lub potęgą 2. powodzenia włamywaczu w zgadywaniu...

Kubofonista

05.12.2009, 20:32:33

2

Podziwiam zakopujących jako informacja nieprawdziwa.

Pozdrawiamwykop w mailu to nie nazwa użytkownika, bo takowej w GG nie stosuje się, ani też nie nazwa konta mailowa. To hasło, o czym świadczy zapis Twoje hasło: obok zaznaczonego na czerwono obszaru, ale to trzeba przecież popatrzyć...

retsef

05.12.2009, 21:10:39

1

Kiedy studiowalem cieszylem sie, ze w informatyce przepisy nie narzucają standardów działania tak jak w innych dziedzinach, jak chociażby w budowlance gdzie ściśle określone i licencjonowane jest wszystko od uprawnień architekta kreślącego zarys fundamentów po przepisy okreslajace jakie powinny byc otwory w drzwiach od łazienki.

Teraz gdy mam już troche pojęcia o biznesie śmiem stwierdzic, ze jest bardzo źle. Do banku można sie wlamac poprzez podeslanie zlych odpowiedzi DNS - bo skoro

m.....i

konto usunięte 05.12.2009, 23:20:49

7

No, faktycznie wyciek danych np. z banku czy innej ważnej instytucji mogący spowodować wielomilionowe straty to faktycznie zaledwie "małe zamieszanie".

M.....s

konto usunięte 05.12.2009, 22:56:18

-16

Jak się blok zawali, mogą zginąć tysiące ludzi. Jak wyciekną hasła albo dane, zrobi się małe zamieszanie. Jeśli nie widzisz różnicy w stopniu odpowiedzialności między przypadkiem 1, a przypadkiem 2, to trudno.

Gadu-Gadu przechowuje hasła plaintextem

Hity

Politechnika Gdańska płaci krocie wątpliwemu badaczowi z Pakistanu

Ministerstwo robi podkładkę pod program dopłat "Nie ma oznak przewartościowania"

ZJEMY TO CO UE ZAKAZAŁA? Czyli umowa z Mercosour i zielony ład.

Jak Pan spędzi Sylwestra?

Skandal w pogotowiu. Ratownicy "bawili się" w ginekologów.

Powiązane tagi