URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 73661
[ Назад ]
Исходное сообщение
"Подтверждена утечка пользовательской базы addons.mozilla.org "
Отправлено opennews , 28-Дек-10 13:46 
Крис Лион (Chris Lyon), директор по безопасности в проекте Mozilla,
подтвердил (http://blog.mozilla.com/security/2010/12/27/addons-mozilla-o.../) факт утечки базы пользовательских аккаунтов каталога дополнений addons.mozilla.org, включающей идентификаторы пользователей, email и хэши от паролей. Так как в БД были представлены только хэш-функции паролей, риск для пользователей addons.mozilla.org отмечен как минимальный.


Несмотря на то, что для аутентификации в проекте используются надежные SHA-512 хэши со случайным salt-ом, скомпрометированная пользовательская база содержала дополнительно около 44 тыс. аккаунтов, в которых использовались устаревшие md5-хэши. Во избежание проникновения злоумышленников, после обнаружения утечки данные аккаунты были заблокированы, а md5-хэши обнулены. Хэши SHA-512 были введены в эксплуатацию в апреле 2009 года.


В настоящее время расследуются причины утечки пользовательской базы. По заявлению  Криса Лиона, инцидент связан только с утечкой архива базы и не затронул какие-либо части инфраструктуры Mozilla.

URL: http://blog.mozilla.com/security/2010/12/27/addons-mozilla-o.../
Новость: http://www.opennet.me/opennews/art.shtml?num=29143

Содержание
Сообщения в этом обсуждении
"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено Гордый Аноним , 28-Дек-10 13:47 
http://www.opennet.me/opennews/pics_base/29136_1293461014.jpg
"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено Atolstoy , 28-Дек-10 13:47 
И ChronoPlay сломали, и в ЖЖ спамят. Традиционное рождественское хулиганство.
"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено Аноним , 28-Дек-10 13:58 
Пользователи с паролем 123 счастливы :-) Я как то запустил John The Ripper у себя и нашел пару сотен пользователей с таким паролем.
"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено анонимус , 29-Дек-10 05:23 
> Пользователи с паролем 123 счастливы

Пароль без разницы: "SHA-512 хэши со _случайным_ _salt-ом_"

"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено Аноним , 29-Дек-10 11:19 
>> Пользователи с паролем 123 счастливы
> Пароль без разницы: "SHA-512 хэши со _случайным_ _salt-ом_"

Случайный salt помешает определению одинаковых паролей в базе, но никак не отразиться на процессе подбора паролей по словарю.

"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено тоже Аноним , 28-Дек-10 14:21 
Благодаря этой новости я узнал, что на addons.mozilla.org можно зарегистрироваться, но так и не узнал - зачем?
"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено kapsh , 28-Дек-10 14:26 
Некоторые возможности для незарегистрированных там закрыты. Скачивание экспериментальных аддонов, например.
"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено Аноним , 28-Дек-10 15:06 
Это в которых нашли троянов? Не, теперь точно не буду регистрироваться. Береженого бог бережет.
"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено Crazy Alex , 29-Дек-10 16:46 
Это для которых нет 3-х отзывов пользователей, или как-то так. В общем, совсем уж экзотика или новьё, как правило, в экспериментальных сидит
"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено TiGR , 28-Дек-10 14:37 
Например, чтобы выложить расширение. Я лично там был зарегистрирован именно поэтому.
"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено ws , 28-Дек-10 15:18 
Для меня там самая удобная фишка для зарегистрированных пользователей - создание своих колекций расширений! - Не надо каждый раз искать их, когда настраиваешь кому-то мозилу.
"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено тоже Аноним , 28-Дек-10 16:57 
А чем ФФ с коллекцией будет отличаться от Оперы? ;)
Я, когда ставлю кому-нибудь ФФ, добавляю только AdBlock. Ну, ImgLikeOpera, если человек не на безлимите. Но чтобы коллекцию?
"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено ws , 28-Дек-10 20:50 
> А чем ФФ с коллекцией будет отличаться от Оперы? ;)
> Я, когда ставлю кому-нибудь ФФ, добавляю только AdBlock. Ну, ImgLikeOpera, если человек
> не на безлимите. Но чтобы коллекцию?

У каждого своя колекция, которая может не совпадать...

"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено Амнезинус , 28-Дек-10 15:18 
То есть, существует вероятность, что в каком-нибудь популярном расширении, вроде adblock, внедрен троян?
"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено Аноним , 28-Дек-10 15:22 
Ты вообще статью читал?
"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено gegMOPO4 , 28-Дек-10 15:43 
Читал, но забыл. ;)
"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено Aquarius , 28-Дек-10 20:05 
>> То есть, существует вероятность, что в каком-нибудь популярном расширении, вроде adblock, внедрен троян?
> Ты вообще статью читал?

вообще-то, вопрос с содержимым статьи коррелирует

"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено filosofem , 28-Дек-10 20:27 
Интересно, они не подумали, что злоумышленники могли и SSL сертификат до кучи прихватить и его следует поменять чисто паранойи ради?
"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено Frank , 28-Дек-10 20:43 
SSL сертификат в sql базе?! Да вы фокусник, гражданин! :)
"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено pavlinux , 30-Дек-10 03:43 
> SSL сертификат в sql базе?! Да вы фокусник, гражданин! :)

mysql_query(mysql, "CREATE TABLE cert (DATA BINARY(255))");

char *query = malloc(1024);

int BUFF = 1024;
int CERT_BLOCK = 255;

while ( cert_opened_file ) {

      memset(query, 0, BUFF);
      read(cert_opened_file, cert_block, BLOCK);
      sprintf(query, "INSERT INTO cert SET data = %s", cert_block);
      mysql_query(mysql, query);

      offset += BLOCK;
      lseek(cert_opened_file, BLOCK, SEEK_CUR);
}
...

как-тo так

"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено filosofem , 30-Дек-10 11:11 
Как-то так:

echo "CREATE TABLE cert(data blob);LOAD DATA LOCAL INFILE '/etc/ssl/certs/cert.crt' INTO TABLE cert  FIELDS TERMINATED BY 'somecrap' LINES TERMINATED BY '' (data);"| mysql -D userdb

Вообще я об том, что если кто-то упер базу, у него с определенной вероятностью может быть доступ куда угодно на этом сервере, поэтому заменить лучше все важные данные. Очень надеюсь, что сами аддоны на этом сервере не хостятся, иначе адблоком страшно пользоваться теперь.
И кормить троля Franka не надо имхо.

"Подтверждена утечка пользовательской базы addons.mozilla.org..."
Отправлено Filosof , 29-Дек-10 13:55 
теперь ждите спама с обращением по регимени из мозиллы.