-
Buenas,
Desconozco si ahora mismo hay algún fallo en última versión de PHP-Nuke, pero a lo que yo me refería es al historial de bugs que ha tenido y el hecho de tener un desarrollo casi cerrado a tan solo Burzi. Me fío más de un equipo de desarrolladores que de un desarrollador solo (normalmente ;-))
De todas maneras es lo que tu dices… Que cada uno use el que le guste.Respecto a lo de banear la IP después de 3 intentos pues tampoco es como para ponerse así y te explico porqué: La velocidad de respuesta de un servidor de internet es muy (pero que muy xD) mayor a la velocidad a la que un programa como John The Ripper puede probar una sola password con md5 y el susodicho necesita de mucho rato (minutos, horas) para sacar según que passwords. Así que sacar la password por fuerza bruta contra el server es bastante improbable, otra cosa es que accedan a tu BD y se lleven las passwords para probar en local con el John
Además, causaría más problemas a usuarios legales (los usuarios somos torpes) que a intentos de accesoRespecto a lo que me cuentas de PHP... A parte de la explicación de que se ejecuta en servidor y que a veces la mala programación puede ser la fuente de una intrusión en el sistema (hay que vigilar los permisos del usuario que ejecuta Apache...) no entiendo que me quieres decir o si simplemente era por añadir algo más
Marcalj: No puedes decir que PHP-Nuke está muy bien hecho y luego decir que el código no se entiende, es contradictorio jeje
Suerte con el proyectojosefu: bulmalug no usa drupal, usan bulmita :risitas:
Otros Drupales son:
http://blog.nirvanis.net
http://www.drupal.org (por supuesto xD)
http://www.librexpresion.orgY no lo recomiendo por ser más o menos bonito, es por su funcionalidad, extensiones y posibilidades. Si podeis probarlo como administrador os va a gustar almenos a mi me convence más que PHP-Nuke, PostNuke, GeekLog y algún otro que he podido probar
-
Para sacar una password MD5 a traves de internet es impensable, estoy acostumbrado a decifrarlas (en games eh… :risitas: ) y en local no me he visto capaz de sacar ninguna de mas de 8 caracteres (me tardo 9 dias por una de asin que si tu password tiene 10 caracteres ni que te roban la BD te la van a sacar... a menos que se monten un cluster con varios pc's potentillos... o mil 486
PD: Intente sacar una en red local y se colgo el servidor...
-
Incluso un ataque con diccionarios sería bastante improbable que tuviera éxito antes de que el atacante muera de asco o el servidor web se vaya abajo :risitas:
¡Ojo! Pero por si acaso mejor mantener passwords difíciles, que no sean palabras existentes, blablabla… Y seguir protegiendo el acceso a las claves
-
Ahora pensando en todo esto….
Para encriptar en md5, tal i como lo hace la funcion en PHP, pues tu le entras una cadena i el hace otra con muchos caracteres i desordenados xD
bueno, pues el tema seria (para descifrar) un programita k vaya provando a descifrar todos los caracteres en serie, primero un caracter, luego dos etc, hasta k conincida, no?
Se podria construir una funcion recursiva k lo haga....el tema no es saber descifrar, si no, cifrar hasta encontrarla, no? no creo k cueste mucho...como nunca cambia....pues...o no?
Vamos a plantear el problema....(poca faena, eh!...xD)
Tenemos la clave encriptada en md5 por ejemplo: md5("b6") = 528953727ef3a4e1c441c6078534c39b (en total 32 caracteres siempre).
Entonces como no sabemos k lo que queremos es encontrar "b6" tendremos k ir provando a partir de un caracter todas las "letras" si no da resultado, pues con dos, asi hasta encontrarlo...poniendo un limite de 32 caracteres en la contraseña, por ejemplo.
Estaba haciendo la funcion pero tengo una duda, en PHP como va el tema de los caracteres, pq en C tu le defines una variable como caracter i solamente incrementandola te salen todos los caracteres, pero en PHP no lo hace...
alguna idea??
Pero la funcion es simple.
Salu2!
-
mmmm marcalj, eso ya esta inventado y se llama johnTheRipper (por ejemplo) y como dice krampak es demasiado el tiempo q te lleva y eso haciendolo en local, q mi viejo k6-2 a 300 procesaba 500.000 claves por segundo y le tube 3 dias a ver si me sacaba la mia, y no hubo manera.
Si kieres seguridad usa claves de mas de 8 digitos, con convinacion de numero y letras (no uses el dni q eso se peta mu fasil).
Se me olvidaba, no lo hagas en php q es una locura. Lo mejor es C. Ocupa poco y es capaz de correr en una maquina con msdos y totalmente limpia, asi ira muchisimo mas rapido. Si lo chutas en linux desde una mini o algo similar q este totalmente pelao ira rapidismo o como dice krampak con un cluster un poco majo y programacion distribuida ira tmb mu rapido, aunq necesitas una red potente.
SalU2
KrHonHoS
-
¬ ¬
Como puede tardar tanto…. no se... bueno pos lo hago en C a ver como me sale.
Salu2!
-
marcalj, para que veas que es cuestión de potencia y estamos trabajando con números de combinaciones jodidamente grandes (muy jodidamente grandes x))
Pongamos que trabajamos con 25 carácteres, ¿vale?
Una password de 1 cifra serán 25 combinaciones,
una password de 2 cifras serán 2525 combinaciones,
una password de 3 cifras serán 2525*25 combinaciones (ya estamos hablando de 15.625 posibles combinaciones para tan solo tres cifras) así que usando potencias podemos saber que una password de, pongamos, 8 cifras tiene 25^8 combinaciones diferentes (esto son 152.587.890.625 combinaciones ciento cincuenta y dos mil millones y medio más o menos. Si el PC de Khronos procesaba 500.000 claves por segundo hacemos un pequeño cálculo del que sacamos que necesitaría 84 horas para probar todas las combinaciones.Por cierto, ahora me doy cuenta de que he metido la pata porque md5 también usa números, con lo que los cálculos para 8 carácteres y 35 cifras nos daríán que khronos necesitaría 1251 horas para probar todas las combinaciones (52 días enteros).
Ah, si hilamos fino md5 no cifra, simplemente hace un digest (una especie de resumen), por eso se usa para calcular la integridad de lo que nos bajamos de internet (lo habréis visto todos aquellos que hayais bajado alguna distro linux).
Si os interesa el tema y os gusta leer os recomiendo una novela de Neal Stephenson llamada Criptonomicón. A parte de ser una historia genial (bueno, más de una) aprendes bastantes cosillas de criptografía
Una trozo del libro que citan en un artículo de Kriptopolis dice así:
_"Cuanto más larga es la clave que quieres generar, más largo es el proceso. Randy intenta generar una ridículamente larga. Le ha comentado a Avi, por medio de un mensaje cifrado, que si cada una de las partículas de materia del universo pudiese emplearse para construir un único superordenador cósmico, y ese ordenador trabajase en intentar romper la clave de cifrado de 4096 bits, le llevaría más tiempo que toda la vida estimada del universo.
Empleando la tecnología actual -le respondió Avi- eso es cierto. Pero ¿qué hay de los ordenadores cuánticos? ¿Y si se desarrollan nuevas tecnologías matemáticas que simplifiquen la factorización de grandes números?
-¿Cuánto tiempo quieres que sean secretos esos mensajes?- le preguntó Randy en el último mensaje antes de abandonar San Francisco-. ¿Cinco años? ¿Diez años? ¿Veinticinco años?.
Después de llegar al hotel esa tarde, Randy descifró y leyó la respuesta de Avi. Todavía la tiene colgada frente a los ojos, como la imagen remanente de un flash:
- "Quiero que sigan siendo secretos mientras los hombres sean capaces del mal."
(Neal Stephenson, "Criptonomicón")_
-
:susto: Vaya tela, bueno igualmente me curo un programita k hace tiempo k no programaba nada i me ha venido ganas… Lo hare para caracteres de la A a la Z, de la a a la z, i del 0 al 9.
Luego os cuento.
Salu2!
-
Vaya, se me olvidaba que distingue entre mayúsculas y minúsculas :risitas: :risitas:
Eso aumenta la cifra a 3888 días de cálculo para 8 carácteres :risitas: y para que nos hagamos una idea de lo que aumenta con poner un solo carácter más… para passwords de 9 carácteres serían (con el k6-2 de khronos, claro) 5598720 días o 15338 años.
Por cierto me equivoqué al decir que Linux lleva las claves en md5, según he leído (en una instalación de SuSe 8.2 :risitas:) hoy mismo el estándar en Linux ahora es DES. -
jajajaja solo para crackear mi puta contraseña del PHP-Nuke se estaria años xDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD jajajajajaja
Lo siento pero eske me ha venido la risa jajajaja vaya tela.
Bueno una duda k me ha surgido, como llamo la funcion en C para que me cree la cadena en md5??
Salu2!
-
-
-
Si quieres algo MAS seguro utiliza blowfish xD xD xD
A ver quién rompe eso por fuerza bruta