09-06-2013, 01:55
|
|
|
|
חבר מתאריך: 14.12.09
הודעות: 9,751
|
|
ציטוט:
במקור נכתב על ידי שימי
תמיד אפשר לסמוך עלייך, פסטן, שתבוא ותסביר איך זה עובד
|
טוב שיש על מי לסמוך.
ציטוט:
במקור נכתב על ידי שימי
שיערתי שהם בכל זאת עושים משהו בסגנון (לא היה לי כוח לחפש), אך ניסחתי הודעה שתגרום לך להגיב (וכרגיל, לא איכזבת)
|
לגבי ניסוח ההודעה אני מוכן להאמין לך, אבל איך ידעת שבדיוק בשעה הזאת אכנס לפרש ואראה את התגובה שלך בתגובות האחרונות בלובי? זה ממש מדהים, בהתחשב בכמות הגלישה שלי בפרש בחודש האחרון!
ציטוט:
במקור נכתב על ידי שימי
עכשיו שעברנו את השלב הזה - האם זה אומר שהסיסמא לא נשמרת בהצפנה בלתי הפיכה?
|
לא יודע*, אבל מה זה משנה? אתה מנסה להפחיד עם הטענה שהסיסמה נשלחת ברשת. אם יש פה חולשה (אין פה) השאלה היא מה יכול תוקף שנמצא על השרת לעשות עם המידע ששולח לו הלקוח. אילו באמת הלקוח היה שולח לשרת את הסיסמה במקרה ששם המשתמש המקומי קיים על השרת, הייתה לנו פה בעיה. אבל אין זה המצב.
שאלה שקשורה לנושא היא "ומה-HAMC שהלקוח שולח לשרת אין לשרת דרך להוציא את הסיסמה?" או "מה תוקף מהצד שמסוגל לראות את התקשורת בין שני הצדדים לעשות עם ה-HMAC הזה?"
"איך הסיסמה שמורה על המחשב המקומי" זה פשוט... לא קשור.
(*טוב, בעצם אני כן יודע, אבל זה לא קשור. בעצם, זה אפילו לא משנה. הסיסמה לא שמורה על המחשב המקומי אלא רק hash עליה, אבל ה-hash הזה עשוי להיות מה שנקרא password-equivalent כי כל מה שאתה צריך כדי להזדהות מול שרת, בין אם מדובר ב-NTLM ובין אם מדובר בקרברוס הוא להשתמש ב-hash כדי להצפין מידע שהשרת דורש ממך. הדבר הנכון היה להשתמש ב-hash אחד ללוגין לתחנה, ב-hash אחר ל-NTLM וה-hash שלישי עבור קרברוס. אני לא בטוח כרגע, אבל שמעתי שמועה מצערת שזה לא מה שעושים.)
_____________________________________
(קרדיט למרשי)
אמר לה ינאי מלכא לדביתיה אל תתיראי מן הפרושין ולא ממי שאינן פרושין אלא מן הצבועין שדומין לפרושין שמעשיהן כמעשה זמרי ומבקשין שכר כפנחס
אמר פסטן: שניהם גרועים, אבל עדיף להיות טיפש מאשר שקרן.
|