The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"GitHub предупредил об атаке, использующей перехваченные с др..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от opennews (??) on 16-Июн-16, 10:40 
GitHub сообщил (https://github.com/blog/2190-github-security-update-reused-p...) о выявлении крупной атаки, пытающейся получить доступ к учётным записям пользователей, используя базу известных логинов, email и паролей (https://www.opennet.me/opennews/art.shtml?num=41646), полученную на основе происходивших ранее утечек персональных данных пользователей различных online-сервисов (например, eBay (https://www.opennet.me/opennews/art.shtml?num=39832) и LinkedIn (https://www.opennet.me/opennews/art.shtml?num=34033)). Разбирая связанную с атакой активность, инженеры GitHub выявили, что ряд попыток оказался успешным и атакующим удалось захватить некоторые из аккаунтов, владельцы которых используют одинаковые пароли на разных сайтах. Пользователям рекомендовано выбрать для GitHub уникальный пароль и воспользоваться двухфакторной аутентификацией (https://www.opennet.me/opennews/art.shtml?num=37815).

URL: https://github.com/blog/2190-github-security-update-reused-p...
Новость: http://www.opennet.me/opennews/art.shtml?num=44609

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "GitHub предупредил об атаке, использующей перехваченные с др..."  +10 +/
Сообщение от Аноним (??) on 16-Июн-16, 10:40 
Гитхаб вынужден рассказывать хипсторам очевидные вещи. Дожились.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Аноним (??) on 16-Июн-16, 12:35 
Возможно это лишь косвенный способ ещё раз привлечь внимание к проблеме, озвученной Марком Барнеттом годом ранее.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "GitHub предупредил об атаке, использующей перехваченные с др..."  +3 +/
Сообщение от Undefined on 16-Июн-16, 13:31 
Какой еще Барнетт, проблема повторного использования паролей уже боян почти. Даже в xkcd было https://xkcd.com/792/
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

37. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Наркоман on 17-Июн-16, 03:51 
Расскажи это хипсторам из aws, нехипстор. Те то же самое сделали.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

40. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Аноним (??) on 17-Июн-16, 08:17 
Ты небось такое же даунито, как и целевая аудитория советов гитхаба? Один ник, один пароль, один смузи?
Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

42. "GitHub предупредил об атаке, использующей перехваченные с др..."  +1 +/
Сообщение от Наркоман on 17-Июн-16, 08:58 
Вслух произнеси что написал и подумай над своим поведением, клоун.
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

4. "GitHub предупредил об атаке, использующей перехваченные с др..."  –1 +/
Сообщение от Аноним (??) on 16-Июн-16, 14:20 
Хех, сапожники-то все до единого без сапог. :)))))))

А еще поют повсюду о безопасности. :))))))

В том числе и здесь :))))

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "GitHub предупредил об атаке, использующей перехваченные с др..."  –1 +/
Сообщение от Аноним (??) on 16-Июн-16, 14:41 
Просветите как такое может быть, если пароли хешируются с солью, и не один раз?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "GitHub предупредил об атаке, использующей перехваченные с др..."  +2 +/
Сообщение от Andrey Mitrofanov on 16-Июн-16, 14:48 
> Просветите как такое может быть, если пароли хешируются с солью, и не
> один раз?

Хешированные пароли _должны_ передаваться на сервер в открытом тексте при логине.

Продолжать или сделаешь вид, что понял?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "GitHub предупредил об атаке, использующей перехваченные с др..."  –1 +/
Сообщение от Аноним (??) on 16-Июн-16, 21:31 
>> Просветите как такое может быть, если пароли хешируются с солью, и не
>> один раз?
> Хешированные пароли _должны_ передаваться на сервер в открытом тексте при логине.
> Продолжать или сделаешь вид, что понял?

Это где же пароль передается открыто? Что за протокол?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Ilya Indigo (ok) on 16-Июн-16, 22:35 
ftp, http. Кэп.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

18. "GitHub предупредил об атаке, использующей перехваченные с др..."  –1 +/
Сообщение от Аноним (??) on 16-Июн-16, 23:28 
http не протокол аутентификации. ftp - древний как мамонт, когда аутентификация была чисто на доверии
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

19. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Аноним (??) on 16-Июн-16, 23:33 
> ftp, http. Кэп.

pap еще вспомни.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

20. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Ilya Indigo (ok) on 16-Июн-16, 23:50 
Я могу вспомнить только pop3. Что за протокол pap, мне не ведомо.
При этом ВСЕ 3 протокола актуальны и самые часто используемые.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Аноним (??) on 17-Июн-16, 00:03 
pop3 - почтовый протокол. POP3 поддерживает различные методы аутентификации для предоставления разных уровней защиты от незаконного доступа к пользовательской почте.
PAP - Password Authentication Protocol. Самый простейший и древний протокол аутентификации.
Многие протоколы прикладного уровня используют механизм PAM для "прикручивания" модуля поддержки безопасности
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

24. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Ilya Indigo (ok) on 17-Июн-16, 00:12 
> PAP - Password Authentication Protocol. Самый простейший и древний протокол аутентификации.

Спасибо, буду знать.

Вы можете понять простую вещь, что в вебе для доступа к обычным, не финансовым, сайтам не используется никаких протоколов аутентификации, и зачастую по http они передаются постом, в открытом виде.
https тут не сильно спасает а ставить x509 сертификат для каждого отдельного простого сайта никто не будет.
Это, скорее всего, не нормально, но это де-факто.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

26. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Аноним (??) on 17-Июн-16, 00:22 
Спасибо, кэп ))
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

30. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Ilya Indigo (ok) on 17-Июн-16, 00:46 
> Спасибо, кэп ))

Да не за что. :-)

Сам вот задумался, а как сделать-то по нормальному?
Можно использовать JavaScript, чтобы хэш пользователь создавал у себя сам, но во-первых, нативной реализации sha512 в JS нет, а во-вторых, такое поведение вынуждает сервер отсылать каждому пользователю соль, которая должна хранится в секрете, или отказаться о соли вообще, что ещё хуже.
Браузер должен на клиентской стороне заниматься этим, а не клиентский скрипт, который вообще не обязан выполняться пользователем. Но никаких средств для этого, кроме сертификатов, не предусмотрено.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

32. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Аноним (??) on 17-Июн-16, 01:00 
Как вариант: Сервер хранит hash пароля, полученного при регистрации.
В дальнейшем при обращение отдавать запрашивающему куки и соль. Браузер и скрипт у клиента из соли и хэша, введенного пароля создает уникальный хэш и передает его вмести с куки. Сервер по куки идентифицирует запрашивающего и проверяет пароль, проделывая с солью и ххранящимся хэшем тоже самое. Накладно и Задосить здесь можно, поэтому сервер должен тут же выдать клиенту временный билет и клиент через определенный промежуток времени с того же ip предъявив куки и временный билет, при удачной проверки, которую сервер неспеша выполнит, становиться авторизованным. Это так, экспромт только что. )    
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

34. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Аноним (??) on 17-Июн-16, 01:11 
важно, чтобы куки и временный билет передавались вместе один раз запрос-ответ


Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

33. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Аноним (??) on 17-Июн-16, 01:04 
> которая должна хранится в секрете,

Соль без хэша бесполезна. перехватившей же не знает пароль. А парольный хэш не передается, а или храниться на сервере или формируется из введенного пароля на клиенте

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

35. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Аноним (??) on 17-Июн-16, 01:15 
>> Спасибо, кэп ))
> Да не за что. :-)
> Сам вот задумался, а как сделать-то по нормальному?
> Можно использовать JavaScript, чтобы хэш пользователь создавал у себя сам, но во-первых,
> нативной реализации sha512 в JS нет, а во-вторых, такое поведение вынуждает
> сервер отсылать каждому пользователю соль, которая должна хранится в секрете, или
> отказаться о соли вообще, что ещё хуже.
> Браузер должен на клиентской стороне заниматься этим, а не клиентский скрипт, который
> вообще не обязан выполняться пользователем. Но никаких средств для этого, кроме
> сертификатов, не предусмотрено.

еще вариант. подумать в сторону взаимного изменения куки.
сервер отдает куки клиенту. клиент на основе пароля и соли меняет куки и отдает его вместе со старым куки через таймаут. Сервер делает тоже самое в пределах таймаута и сравнивает результат

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

46. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от nonamed anon on 17-Июн-16, 20:38 
у вас что, совещание капитанов? Или почетный слет велосипедистов?
гуглите digest и cram, все уже придумано до вас
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

48. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Ilya Indigo (ok) on 17-Июн-16, 22:05 
> гуглите digest и cram, все уже придумано до вас

https://ru.wikipedia.org/wiki/CRAM-MD5
Это вообще не относится к вэбу.

https://ru.wikipedia.org/wiki/%D0%94%D0%...
Это совсем не то, что ожидалось.
Во-первых, смущает использование md5, да ещё и без соли.
Во-вторых, не понятно, как будет происходить регистрация пользователя, восстановление пароля и предполагается ли это тут вообще?

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

23. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Andrey Mitrofanov on 17-Июн-16, 00:10 
>>> Просветите как такое может быть, если пароли хешируются с солью, и не
>>> один раз?
>> Хешированные пароли _должны_ передаваться на сервер в открытом тексте при логине.
>> Продолжать или сделаешь вид, что понял?
> Это где же пароль передается открыто? Что за протокол?

Я, наверное, опять! непонятно написал? Ай-ай... Я испралюсь:

При хранении паролей в хешированном виде на сервере, с которого их _уводят_ плохие плохиши, хороший малыш при _логине_ на этот сервер/сервис _должен_ передавать серверу свой пароль открытым текстом.

Лучше?

/// И да, для ненаблюдательных: я ничего не писал про "протоколы" -- потому что это всё **независимо от** протокола. То есть при любом п. авторизации, не знаю уж почему оно тебя взбудоражило...

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

27. "GitHub предупредил об атаке, использующей перехваченные с др..."  –1 +/
Сообщение от Аноним (??) on 17-Июн-16, 00:31 
>[оверквотинг удален]
>>> Продолжать или сделаешь вид, что понял?
>> Это где же пароль передается открыто? Что за протокол?
> Я, наверное, опять! непонятно написал? Ай-ай... Я испралюсь:
> При хранении паролей в хешированном виде на сервере, с которого их _уводят_
> плохие плохиши, хороший малыш при _логине_ на этот сервер/сервис _должен_ передавать
> серверу свой пароль открытым текстом.
> Лучше?
> /// И да, для ненаблюдательных: я ничего не писал про "протоколы" --
> потому что это всё **независимо от** протокола. То есть при любом
> п. авторизации, не знаю уж почему оно тебя взбудоражило...

Открытый пароль может быть передается при регистрации.

https://var.pp.ua/Materialy/Old-lessons/Security/Less-2/1-Au...

Только не надо упоминать прикладные протоколы, криво прикрученные к процессу авторизации или аутентификации.

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

41. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Аноним (??) on 17-Июн-16, 08:20 
> Это где же пароль передается открыто? Что за протокол?

Какая разница, как передаётся пароль, если linkedin хранил твой пароль от gmail открытом виде?

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

14. "GitHub предупредил об атаке, использующей перехваченные с др..."  –2 +/
Сообщение от Аноним (??) on 16-Июн-16, 22:04 
ну ты ... chap md5 отменили? как и прочие протоколы без разглашения секрета..
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

25. "GitHub предупредил об атаке, использующей перехваченные с др..."  +1 +/
Сообщение от Andrey Mitrofanov on 17-Июн-16, 00:12 
> Хешированные пароли _должны_ передаваться на сервер в открытом тексте при логине.
> Продолжать или сделаешь вид, что понял?

А давайте уже кто-нибудь напишет что-нибудь про challenge-response и _не_передачу открытого пароля?  -----

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

28. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Crazy Alex (ok) on 17-Июн-16, 00:40 
Тогда он хранится на сервере не в виде хэша - неизвестно, что хуже...
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

47. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от nonamed anon on 17-Июн-16, 20:48 
> Тогда он хранится на сервере не в виде хэша - неизвестно, что
> хуже...

Не обязательно. Паролем может быть хеш от реального пароля.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

8. "GitHub предупредил об атаке, использующей перехваченные с др..."  +1 +/
Сообщение от S.Atahl on 16-Июн-16, 16:49 
О чём ты вообще? С других сайтов произошла утечка паролей (ну и походу логинов). И эти пароли тупо ввели в аккаунты на гитхабе
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Аноним (??) on 16-Июн-16, 21:28 
Использована утечка из базы паролей. То что добавляется к "соли". Сервер добавляет к соли хэш из базы.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "GitHub предупредил об атаке, использующей перехваченные с др..."  +5 +/
Сообщение от юран on 16-Июн-16, 15:01 
Генерирую длиннющие пароли для каждого нового сайта и храню их в KeepassX. Брат жив, зависимость огромная.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "GitHub предупредил об атаке, использующей перехваченные с др..."  +2 +/
Сообщение от АнонимХ (ok) on 16-Июн-16, 17:12 
Я - это ты. Одно бесит: некоторые сайты накладывают ограничения на пароли, когда настроенный дефолтный генератор keepassx приходится тюнить в сторону ослабления.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

16. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Ilya Indigo (ok) on 16-Июн-16, 22:42 
> Я - это ты. Одно бесит: некоторые сайты накладывают ограничения на пароли,
> когда настроенный дефолтный генератор keepassx приходится тюнить в сторону ослабления.

А нативный "pwgen -(s|y) 16" чем плох?

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

43. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Аноним (??) on 17-Июн-16, 17:59 
Не менее 1 прописной буквы, не менее 1 строчной буквы, не менее 1 цифры, не более 8 символов, символы помимо этих 36 запрещены. Это мой бывший провайдер.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

44. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Аноним (??) on 17-Июн-16, 18:01 
> Не менее 1 прописной буквы, не менее 1 строчной буквы, не менее
> 1 цифры, не более 8 символов, символы помимо этих 36 запрещены.
> Это мой бывший провайдер.

То есть не 36, а 62. Районный провайдер из ЮВАО Москвы, давно купленный Акадо.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

45. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Ilya Indigo (ok) on 17-Июн-16, 19:06 
> Не менее 1 прописной буквы, не менее 1 строчной буквы, не менее
> 1 цифры, не более 8 символов, символы помимо этих 36 запрещены.
> Это мой бывший провайдер.

pwgen -s 8

> не более 8 символов

А если вы, таки, ошиблись и имели ввиду не МЕНЕЕ 8 символов, что логично предположить, то, как приводил ранее:
pwgen -s 16

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

12. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Аноним (??) on 16-Июн-16, 21:30 
Хранитель паролей изолирован надежно? ))
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

17. "GitHub предупредил об атаке, использующей перехваченные с др..."  –1 +/
Сообщение от Аноним (??) on 16-Июн-16, 23:16 
Для мобильных ОС приложение кажется отсутствует? Тогда в 2016 году уже не надо.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

29. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Crazy Alex (ok) on 17-Июн-16, 00:42 
http://keepass.info/download.html выбирайте на вкус
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

31. "GitHub предупредил об атаке, использующей перехваченные с др..."  –1 +/
Сообщение от Аноним (??) on 17-Июн-16, 00:55 
> http://keepass.info/download.html выбирайте на вкус

Нет, Contributed/Unofficial KeePass Ports, не нужно. Под iOS всё равно нет. Далее не трудитесь, я в состоянии купить себе приличное ПО. Купил 1password для двух платформ - вот это ПО.


Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

38. "GitHub предупредил об атаке, использующей перехваченные с др..."  –1 +/
Сообщение от Andrey Mitrofanov on 17-Июн-16, 07:13 
>> keepass.info/download.html
> Нет, Contributed/Unofficial KeePass Ports, не нужно.

KeePassX с которого ты начал своё "восхождение" -- сразу не keepass.info-"оригинал". Не знал? Не заметил? Не осилил.

//У меня для мобильной ос - https://f-droid.org/wiki/page/KeePassDroid //тебе не подойдёт -- не для тебя написал.

>Под iOS всё равно нет.
>Купил 1password для двух платформ - вот это ПО.

Какой Ви жЫрный., фу.
Купил какой-то "Contributed/Unofficial".
Нет, чтоб, как Большой, купить офисьяльно! без-СМС!! не-лоX!1адын порт MS Mono на свою недо"платформу".

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

21. "GitHub предупредил об атаке, использующей перехваченные с др..."  +/
Сообщение от Аноним (??) on 17-Июн-16, 00:01 
> Генерирую длиннющие пароли для каждого нового сайта и храню их в KeepassX.
> Брат жив, зависимость огромная.

а как ввести те же самые логины/пароли с iOS? синхронизация какая-нибудь есть? Приложения для мобильных ОС есть?


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру