Ipb + Hack = ?

[flasy]

Witam,

mam pytanie, bo duzo slyszalem na temat wyzszosci IPB nad phpbb i innymi wynalazkami, mianowicie czy jest mozliwe hackniecie skryptu IPB w taki sposob aby uzyskac login i haslo usera? Nie chodzi mi o sposob (nie jestem jednym z tych haxiorow :lol2: ), chcialbym sie dowiedziec czy jest to mozliwe, poniewaz ostatnio mialem taka sytuacje ze na pewnym forum prowadzonym na IPB, moje konto zostalo hackniete.

wiec? :)

 

ps. IPB 2.1.7 to jest chyba.

[Rikki]

Po co 2 tematy ?

[Gość Łukasz Tkacz]

Ja mam forum pod phpBB by Przemo i nie narzekam - zero problemów jak do tej pory i nic złego (na szczęście) jeszcze się nie zdarzyło.

[marco]

mam pytanie, bo duzo slyszalem na temat wyzszosci IPB nad phpbb i innymi wynalazkami, mianowicie czy jest mozliwe hackniecie skryptu IPB w taki sposob aby uzyskac login i haslo usera?

By "odzyskać" hasło biorąc pod uwagę, że w 2.1 (nie liczę sytuacji gdy ktoś robił konwersje, hasło nie było zmieniane i jest w legacy_pass) hasła są kodowane według schematu md5(md5(salt).md5(haslo)) to jego odtworzenie można uznać za niemożliwe (nie licząc ataków słownikowych - ale jak ktoś używa hasła podatnego na takie to sam jest sobie winny)

Natomiast jego zmiana to już inna historia

[Aimar]

Możliwe jest zalogowanie się na konto dowolnego usera nie znając jego hasła za pomocą samego login_key'a (podmina cookies), ale pozwala to tylko na "zabawę" na forum, ponieważ logowanie do ACP wymaga wprowadzenia hasła, które jest ponownie hashowane i porównywane z hashem w bazie mysql.

 

Sposobem na to, jest aktywowanie funkcji resetowania login_key'a przy każdym logowaniu użytkownika, co nie pozwoli na tak łatwe przechwycenie na dłuższą metę owego konta ;) ... Ale wiadomo, że takowe resetowanie przy każdym logowaniu dodatkowo obciąży pracę skryptu :)

 

Co do samego dekodowania hasła - byłoby to możliwe gdyby nie salt ;) ... Ale jego obecność praktycznie wyklucza taką możliwość / graniczy z cudem przy aktualnych możliwościach :)