Dotaz na ssh bruteforce
Jan Pechanec
jp at devnull.cz
Fri Jan 30 11:25:27 CET 2009
On Fri, 30 Jan 2009, Miroslav Prýmek wrote:
> Dejme tomu, ze korpus obsahuje dva miliony vet a kazdy mesic se meni. (nebo
> idealne se treba kazdy den prida
> 500 vet - napr. ziskanych RSS cteckou). Za takovych okolnosti skutecne nevadi,
Mirku, takze uz budes muset chranit, odkud to prichazi. Jsi si
jisty, ze po ceste nikdo neodchyti, odkud to ctes? Anebo staci takovou vetu
zadat do googlu a s nemalou pravdepodobnosti dostanes zdroj.
> kdyz uzivateli na monitoru
> zobrazim 10 vet :)
>
> Nehlede na to, ze se da definovat, ze mu jich za zadnych okolnosti nezobrazim
> celkove vic nez padesat.
a pak co? Uzivatel nebude mit heslo?
ja si myslim, ze tahle diskuze sem prilis nepatri, a trochu mi to
pripomina, ze se kazdy rok, cas od casu, objevi breaknuty system kvuli tomu,
ze pouzival nejaky vlastni sifrovani, nebo si lehce (mala zmena prece nemuze
vadit) upravi stavajici protokol, cimz jeho bezpecnost totalne vyrusi, nebo
nedodrzel podminky, za jakych ten protokol mel byt pouzit, atd. V tyhle
oblasti obecne plati, ze neco vymyslet noveho je spatna vec, protoze s
nejvetsi pravdepodobnosti to vymyslis spatne, a bude to horsi, nez kdyz
pouzijes standardni systemovou kontrolu toho, ze tam je maly, velky pismeno,
specialni znak, a cislo. Nebo tak neco.
novy systemy a postupy v bezpecnosti vymysleji odbornici, a jak je
videt z praxe, ani to vubec nezarucuje, ze to bude dobre. Viz treba nedavny
problem v SSH protokolu 2 ve spojeni s pouzitim vsech CBC modu. Tam je
chyba, ktera vychazi primo z navrzeni samotnyho SSH protokolu. A ten
protokol byl navrzen specialisty.
stejne jako Jirka, ja nerikam, ze tvuj postup nemuze u tebe
fungovat, ale nejsem si jistej, ze investovat do toho moc casu, vcetne
diskuzi, se opravdu vyplati.
--
Jan Pechanec <jp (at) devnull (dot) cz>
http://www.devnull.cz
More information about the Users-l
mailing list