Пароли.

Discussion:

Пароли.

Dead Adriano

2004-12-28 13:33:38 UTC

Проходите, OperaTalk. Водку будете?

Где хранятся пароли - не те, которые wand, а те, для которых, бывает,
внешнее окно выскакивает?
--
Dead Adriano the Sorcerer. Carlin, Julera, Tibia.
mailto: adriano-***@public.gmane.org ICQ #150439513 FidoNet 2:550/5030.23
Welcome to the House of the Rising Sun: http://risingsun.pp.ru/

------------------------ Yahoo! Groups Sponsor --------------------~-->
Make a clean sweep of pop-up ads. Yahoo! Companion Toolbar.
Now with Pop-Up Blocker. Get it for free!
http://us.click.yahoo.com/L5YrjA/eSIIAA/yQLSAA/7j9qlB/TM
--------------------------------------------------------------------~->

жПТХН ОБУФПСЭЙИ ЛПНРШАФЕТЭЙЛПЧ - http://fileforum.ru
Yahoo! Groups Links

<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/OperaTalk/

<*> To unsubscribe from this group, send an email to:
OperaTalk-unsubscribe-***@public.gmane.org

<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/

Vladimir Yashnikov

2005-01-08 19:53:16 UTC

Permalink

Здравствуйте, Dead.

Вы писали 28 декабря 2004 г. в 16:33:38:

DA> Где хранятся пароли - не те, которые wand, а те, для которых, бывает,
DA> внешнее окно выскакивает?

Не совсем понятно о чём идет речь. Wand вставляет
логин-пароль при заходе на сайт.

Если речь идёт не о паролях к сайту, то тогда к почтовому
ящику, так? Узнать пароль к нему несложно, для этого
необходимо включить протоколирование почтовой сессии.

Для протоколирования входящей почты, необходимо создать
простой текстовый файл, например, incoming-log.txt. Затем в
account.ini (он расположен в папке Mail профиля) надо найти
строку Incoming Log File и дописать путь к файлу, например,
Incoming Log File=C:\incoming-log.txt.

Затем открываем Opera и проверяем почту. После этого смотрим
созданный файл. Там следует искать следующие строки:

22:22:14 POP3 OUT :
USER xxx - где xxx - ваш логин.

22:22:15 POP3 OUT :
PASS yyy - где ууу - ваш пароль.

Большая дыра в безопасности, по моему мнению. :)
А если всё-таки нужны пароли к Wand, то стоит попытаться
выцарапать их каким-нибудь сниффером. Но это делать я не
пробовал - не было необходимости :)
--
С уважением,
Владимир Яшников
* "Мы проработали все пункты от А до Б". Виктор Черномырдин

жПТХН ОБУФПСЭЙИ ЛПНРШАФЕТЭЙЛПЧ - http://fileforum.ru
Yahoo! Groups Links

<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/OperaTalk/

<*> To unsubscribe from this group, send an email to:
OperaTalk-unsubscribe-***@public.gmane.org

<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/

Dmitry Parnas

2005-01-08 21:58:49 UTC

Permalink

On Sat, 8 Jan 2005 22:53:16 +0300, Vladimir Yashnikov

Post by Vladimir Yashnikov
DA> Где хранятся пароли - не те, которые wand, а те, для которых, бывает,
DA> внешнее окно выскакивает?
Не совсем понятно о чём идет речь. Wand вставляет
логин-пароль при заходе на сайт.

А читать надо внимательнее. Имелись в виду пароли, генерируемые не
скриптом, а самим веб-сервером. Те, что в окнах.
--
Dmitry Parnas

Форум настоящих компьютерщиков - http://fileforum.ru
Yahoo! Groups Links

<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/OperaTalk/

<*> To unsubscribe from this group, send an email to:
OperaTalk-unsubscribe-***@public.gmane.org

<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/

Nakidka

2005-01-08 23:34:26 UTC

Permalink

on Saturday, January 8, 2005 w.a.s.t.e. delivered me following from Dmitry:

DP> On Sat, 8 Jan 2005 22:53:16 +0300, Vladimir Yashnikov

DP> А читать надо внимательнее. Имелись в виду пароли, генерируемые не
DP> скриптом, а самим веб-сервером. Те, что в окнах.

и что? какая разница, скрипт запросит пароль или apache??? он все равно сохранится в wand

Форум настоящих компьютерщиков - http://fileforum.ru
Yahoo! Groups Links

<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/OperaTalk/

<*> To unsubscribe from this group, send an email to:
OperaTalk-unsubscribe-***@public.gmane.org

<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/

Alexei Borissov

2005-01-08 23:42:57 UTC

Permalink

Привет, Vladimir!

DA>> Где хранятся пароли - не те, которые wand, а те, для которых, бывает,
DA>> внешнее окно выскакивает?

Там же, в wand.dat.

VY> Не совсем понятно о чём идет речь. Wand вставляет
VY> логин-пароль при заходе на сайт.

VY> Если речь идёт не о паролях к сайту, то тогда к почтовому
VY> ящику, так? Узнать пароль к нему несложно, для этого
VY> необходимо включить протоколирование почтовой сессии.

<snip>

VY> Большая дыра в безопасности, по моему мнению. :)

Нет тут никакой "дыры". Если кто-то посторонний имеет право изменять твой
account.ini, то ты сам (или твой админ) в этом виноват.

VY> А если всё-таки нужны пароли к Wand, то стоит попытаться
VY> выцарапать их каким-нибудь сниффером.

Не нужно sniffer'а, всё проще. Есть два достаточно простых варианта:

При помощи Proxomitron'а. Всё, что требуется -- это включить Log Window,
в нём View POST data и визуально выловить это пароль.

Второй способ намного геморройнее, но работает.
Нужно открыть в O страницу, на которой вводится пароль.
Открыть эту страницу в редакторе (Ctrl+F3).
Найти type="password" (кавычки могут отсутствовать вовсе или вместо них
могут быть апострофы) и заменить на type="text".
Сохранить изменения.
В Opera выполнить View->Refresh display.
Воспользоваться волшебной палочкой (Wand).
При необходимости вернуться назад (Back)
Запомнить пароль и больше его не забывать :)

Инструкции писал по памяти, поэтому мог ошибиться в мелочах...
Однако суть верна.
--
Best regards,
Alexei mailto:albor{at}pisem.net

Opera 7.54 build 3865, JRE 1.4.2_02 (off), Win2k SP4, Proxomitron Naoko 4.5

Форум настоящих компьютерщиков - http://fileforum.ru
Yahoo! Groups Links

<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/OperaTalk/

<*> To unsubscribe from this group, send an email to:
OperaTalk-unsubscribe-***@public.gmane.org

<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/

Vladimir Yashnikov

2005-01-09 19:07:33 UTC

Permalink

Здравствуйте, Алексей.

Вы писали 9 января 2005 г. в 2:42:57:

VY>> Не совсем понятно о чём идет речь. Wand вставляет логин-пароль
VY>> при заходе на сайт.

VY>> Если речь идёт не о паролях к сайту, то тогда к почтовому ящику,
VY>> так? Узнать пароль к нему несложно, для этого необходимо включить
VY>> протоколирование почтовой сессии.

AB> <snip>

VY>> Большая дыра в безопасности, по моему мнению. :)

AB> Нет тут никакой "дыры". Если кто-то посторонний имеет право изменять твой
AB> account.ini, то ты сам (или твой админ) в этом виноват.

Следуя такой логике, пароли вообще должны храниться в accounts.ini в
нешифрованном виде.
--
С уважением,
Владимир Яшников

Форум настоящих компьютерщиков - http://fileforum.ru
Yahoo! Groups Links

<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/OperaTalk/

<*> To unsubscribe from this group, send an email to:
OperaTalk-unsubscribe-***@public.gmane.org

<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/

Alexei Borissov

2005-01-10 16:31:33 UTC

Permalink

Привет, Vladimir!

VY>>> Большая дыра в безопасности, по моему мнению. :)

AB>> Нет тут никакой "дыры". Если кто-то посторонний имеет право изменять твой
AB>> account.ini, то ты сам (или твой админ) в этом виноват.

VY> Следуя такой логике, пароли вообще должны храниться в accounts.ini в
VY> нешифрованном виде.

В некоторых случаях могут храниться и в нешифрованном виде (при правильно
настроенных правах, естественно), в других случаях -- не могут.
Смотря от чего/кого защищаешься.

В общем же случае, они НЕ ДОЛЖНЫ храниться открыто, т.к. иначе их без
мастер-пароля можно будет узнать, причём самыми разными способами.
HDD на другую машину воткнуть или Linux с CD запустить, например. :)

Если же мастер-пароль не используется, то каждый желающий имеет возможность
со 100% вероятностью вскрыть пароли, несмотря на то, что используется
невскрываемый 3DES.

Следуя же твоей логике, т.е. если злоумышленник имеет полный доступ к
accounts.ini, резонно предположить, что он имеет полный доступ к ЛЮБЫМ
файлам твоего профиля в O (если это не так, то тогда права таки
были специально настроены, но неправильно).

И одного этого достаточно, чтобы в случае, если не используется
мастер-пароль, узнать все пароли на все ящики. Вариантов как именно это
сделать МНОГО. Самый простой, для обычного пользователя -- Advanced Mailbox
Password Recovery от ElcomSoft.

Я бы сделал по-другому, но здесь обсуждается O, поэтому не буду объяснять.

P.S. Хотя, да, ты прав, желательно бы писать в лог ***** вместо паролей.
Но это не дыра, и уж тем более не большая.
--
Best regards,
Alexei mailto:albor{at}pisem.net

Opera 7.54 build 3865, JRE 1.4.2_02 (off), Win2k SP4, Proxomitron Naoko 4.5

Форум настоящих компьютерщиков - http://fileforum.ru
Yahoo! Groups Links

<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/OperaTalk/

<*> To unsubscribe from this group, send an email to:
OperaTalk-unsubscribe-***@public.gmane.org

<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/

Fix

2005-01-10 12:17:27 UTC

Permalink

DA>>> Где хранятся пароли - не те, которые wand, а те, для которых, бывает,
DA>>> внешнее окно выскакивает?

AB> Там же, в wand.dat.

Я правильно понял: wand умеет работать с basic authentication? Каким
образом?

Форум настоящих компьютерщиков - http://fileforum.ru
Yahoo! Groups Links

<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/OperaTalk/

<*> To unsubscribe from this group, send an email to:
OperaTalk-unsubscribe-***@public.gmane.org

<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/

Alexei Borissov

2005-01-10 16:31:42 UTC

Permalink

Привет, Fix!

F> Я правильно понял: wand умеет работать с basic authentication?

Да, именно так. Именно basic authentication, плюс ещё и
digest authentication умеет.

F> Каким образом?

Обыкновенным. URL есть, login есть, пароль есть...
Что смущает-то?
--
Best regards,
Alexei mailto:albor{at}pisem.net

Opera 7.54 build 3865, JRE 1.4.2_02 (off), Win2k SP4, Proxomitron Naoko 4.5

Форум настоящих компьютерщиков - http://fileforum.ru
Yahoo! Groups Links

<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/OperaTalk/

<*> To unsubscribe from this group, send an email to:
OperaTalk-unsubscribe-***@public.gmane.org

<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/

Fix

2005-05-09 21:52:26 UTC

Permalink

Создайте закладку с именем, начинающимся со знака вопроса (?).
А затем попробуйте походить по закладкам клавишами-стрелками.

Форум настоящих компьютерщиков - http://fileforum.ru
Yahoo! Groups Links

<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/OperaTalk/

<*> To unsubscribe from this group, send an email to:
OperaTalk-unsubscribe-***@public.gmane.org

<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/

Dmitry Parnas

2005-05-10 23:29:02 UTC

Permalink

Post by Fix
Создайте закладку с именем, начинающимся со знака вопроса (?).
А затем попробуйте походить по закладкам клавишами-стрелками.

Проблем не замечено. 8.0
--
Dmitry Parnas

Форум настоящих компьютерщиков - http://fileforum.ru
Yahoo! Groups Links

<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/OperaTalk/

<*> To unsubscribe from this group, send an email to:
OperaTalk-unsubscribe-***@public.gmane.org

<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/

Ulrikhe Lukoie

2005-05-11 06:23:15 UTC

Permalink

Hello Fix,

8.01 - все нормально..
--
(кЧДХ ЛХПЮ, МЮ ЛХМСРС БЯРЮМЭРЕ!)
МС Х ГЮВЕЛ ЕРН АШКН ВХРЮРЭ?

Форум настоящих компьютерщиков - http://fileforum.ru
Yahoo! Groups Links

<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/OperaTalk/

<*> To unsubscribe from this group, send an email to:
OperaTalk-unsubscribe-***@public.gmane.org

<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/