Re: Algoritmo il Javascript

> >> Otterrebbe qualche migliaio di
> >> "secure.htm" da controllare a mano, e ci metterebbe qualche mese a
>trovare
> >> tutte le combinazioni.
> >
> >E perche' mai ?
> >
> >Se sa che c'e' contenuto del testo, gli basta scremare le pagine non
> >contenenti parole sensate...
> >Idem se si tratta di altri dati che seguano una qualche pattern
> >predicibile...
>
>Ho fatto uno sbaglio a considerare il bruteforce. Mettiamo che il
>bruteforce passasse a "secure.htm" tutte le combinazioni. Primo, nulla mi
>vieta di usare una password di 200 caratteri (esempio). In questo modo ci
>impiegerebbe qualche milione di anni. E poi, dato che passando la password
>a "secure.htm" la decifratura avviene on-the-fly, se lui salva tutte le
>pagine risultanti, apparirebbe sempre il codice cifrato e nulla di più. E
>non mi pare sia possibile far leggere a un programma il testo che viene
>decifrato nel browser. In questo modo lui si deve per forza controllarsele
>a mano. Se erro in qualcosa, mi scuso di me.

Si applicano le stesse caratteristiche del bruteforcing di qualsiasi sistema:

1) il numero di caratteri della pass è inerente al tipo di algoritmo 
utilizzato e al tipo di applicazione (ie: c'è un motivo se le mie pass di 
root non sono di 200 caratteri).

2) la velocità di "cracking" dipende dall'algoritmo, ma ricorda che un 
programma messo a punto per eseguire il cracking ci mette molto meno, per 
ciascun tentativo, di quanto ci metta il Javascript, che è interpretato.

3) posto che il problema sia la decifrazione, puoi usare uno script per 
fare le stesse cose che faresti a mano.


> >> E poi nella chace del browser rimane ancora la pagina cifrata, non il
> >> risultato della decifrazione
> >
> >E su questo...
>
>Cosa intendi per "E su questo......" ?

Ricordati di settare AUTOCOMPLETE="off" nel campo del textbox con la pass :-)


> >> Quello certamente, ma anche i CGI possono subire il bruteforce
> >
> >Si', ma in quel caso il bruteforce (per come immagino pensasse il CGI
>vecna)
> >risulterebbe da un log del server, se sei un minimo oculato.
> >
> >Il codice javascript essendo client side lo puoi forzare comodamente
>mentre
> >sei offline.
>
>Ma volendo, se uno ha una shell, gli mette su un bel bruteforcer 24h su 24,
>lo fa passare da 800 proxy e me lo buca da li.

Fa parte del ruolo del sysadmin controllare i processi e considerarne la 
"bontà" :-)

>Mi hai fatto venire una idea !!!!
>Se nel "login.htm" richiedo 2 password: la prima va cercare il password +
>.htm come dici tu, e nel secondo campo chiedo la key per ladecifrazione
>della pagina. Naturalmente le 2 pass dovranno essrere diverse. Questo
>metodo (credo) sia abbastanza sicuro, dato che per forzalro ci vogliano 2
>passaggi. Grazie Vecna !!!!

Puoi chiedere anche 100 passwords diverse...è una questione di praticità :-)


James WorK, jwk@lords.com
KeyID: 3072/1024/0x409C9044
Fingerprint: 7984 10FD 0460 4202 BF90 3881 CDE4 D78E 409C 9044

"Freedom, yeah right" - Rage against the machine


--------------------------------------------------------------------------
informazioni sui comandi supportati da questa ml: http://www.sikurezza.org