Heartbleed & bitcointalk. | Биткоин форум

		Биткоин Форум > - Wiki
Heartbleed & bitcointalk.

12 апреля 2014, 9:48:30 AM	# 1
pekv2 Сообщения: 770 Цитировать по имени цитировать ответ	Re: heartbleed bitcointalk. Взлом Биткоин адресов. 500 Биткоинов взломаны в "мозговом кошельке" с паролем "bitcoin is awesome" Адрес кошелька: 14NWDXkQwcGN1Pd9fboL8npVynD5SfyJAE Приватный ключ: 5J64pq77XjeacCezwmAr2V1s7snvvJkuAz8sENxw7xCkikceV6e подробнее... Всем кто хочет заработать Биткоины без вложений - рекомендую сайт http://bitcoin-zarabotat.ru Я мог бы ~~небрежное больше~~ зачеркнул часть была боем всех писак в гене, Gmail LastPass ect.no каламбур, как правило, btctalk., но bitcointalk осуществляется hearbleed ошибки, если Gmail и LastPass был, у меня нет сомнений в том, bitcointalk.org не было тоже. Если это так объяснить. Если не объяснить: Каковы ваши слова на этом theymos.

Как заработать Биткоины?
Без вложений. Не майнинг.

12 апреля 2014, 10:32:36 AM	# 2
jimmijames73 Сообщения: 504 Цитировать по имени цитировать ответ	Re: heartbleed bitcointalk. Получил 1806 Биткоинов Реальная история. Цитата: pekv2 12 апреля 2014 года, 9:48:30 AM Я мог бы небрежно больше, но bitcointalk осуществляется hearbleed ошибка, если Gmail и LastPass был, у меня нет сомнений в том, bitcointalk.org не было тоже. Если это так объяснить. Если не объяснить: Каковы ваши слова на этом theymos. Я проверил, используя следующие два места, и оба пришли отрицательна: http://filippo.io/Heartbleed/#bitcointalk.org https://www.ssllabs.com/ssltest/analyze.html?d=bitcointalk.org Хотя сайт может быть ранее уязвим, но теперь установлен, поэтому theymos должен подтвердить.

12 апреля 2014, 3:57:55 PM	# 3
pekv2 Сообщения: 770 Цитировать по имени цитировать ответ	Re: heartbleed bitcointalk. Цитата: jimmijames73 12 апреля 2014, 10:32:36 AM Хотя сайт может быть ранее уязвим, но теперь установлен, поэтому theymos должен подтвердить. Это было бы здорово. Я изменил свой PW здесь все равно на всякий случай, и предложить кому-либо еще Aswell.

12 апреля 2014, 4:06:22 PM	# 4
zaseb Сообщений: 16 Цитировать по имени цитировать ответ	Re: heartbleed bitcointalk. Цитата: pekv2 12 апреля 2014 года, 3:57:55 PM Это было бы здорово. Я изменил свой PW здесь все равно на всякий случай, и предложить кому-либо еще Aswell. Я не совсем уверен в этом, но "слово на улице" форум использует старую версию OpenSSL, который не имел расширение сердцебиения, поэтому мы не были уязвимы. Сертификат SSL не был обновлен либо, что также указывает на это время так, как theymos бы, конечно, заменить его должен форум был уязвим для heartbleed. Кроме того, только чтобы исправить свой пост, в то время как LastPass был уязвим для heartbleed нападение было бесполезным, так как все данные LastPass это на стороне клиента в зашифрованном виде, то есть злоумышленник до сих пор не может прочитать ваши данные.

12 апреля 2014, 4:33:42 PM	# 5
theymos Сообщения: 2884 Цитировать по имени цитировать ответ	Re: heartbleed bitcointalk. Это было, но это было установлено после того, как часы уязвимость была объявлена. Это очень маловероятно, IMO, что закрытый ключ был скомпрометирован, и злоумышленник также должен иметь возможность читать трафик между вами и форумом, чтобы увидеть что-нибудь, так много беспокойства нет необходимости ИМА. Я до сих пор обновлять ключи TLS, как только смогу. (RapidSSL / Namecheap имеет некоторые технические проблемы с переизданий - кажется, что они всегда подписать последний сертификат, который послал их, делая переиздание, так что вы на самом деле нужно дважды переиздать изменить сертификат, а это требует времени.)

12 апреля 2014, 5:15:24 PM	# 6
theymos Сообщения: 2884 Цитировать по имени цитировать ответ	Re: heartbleed bitcointalk. Я обновил ключи. Это никогда не плохая идея, чтобы изменить свой пароль, но в данном случае я не думаю, что это необходимо.

12 апреля 2014, 6:46:05 PM	# 7
pekv2 Сообщения: 770 Цитировать по имени цитировать ответ	Re: heartbleed bitcointalk. Хороший человек. Благодарности theymos.

14 апреля 2014, 1:25:09 AM	# 8
Justin00 Сообщения: 910 Цитировать по имени цитировать ответ	Re: heartbleed bitcointalk. мммм я очень советую вам взглянуть на вопросы безопасности Abit больше в следующий раз. Я не пытаюсь быть членом, но третья сторона может в принципе видеть то, что было в памяти серверов ... вы понимаете, что правильно? Если пользователь вошел в систему, 3-й участник может повезти и увидеть эту информацию. 3-й партии не нужен секретный ключ, чтобы увидеть расшифрованные данные ....... Для того, чтобы запустить эксплойт, вы просто имели загрузку скрипт проверки уязвимостей, написанную на Python и добавить дополнительную строку для печати 64k ценности данных. Это было так просто, даже я был в состоянии заставить его работать, и я ни в коей мере программист, экспертом по безопасности или разработчиков и т.д ... (Для того, чтобы подтвердить, я никогда не побежал использовать против этого сайта .. я предполагается, что программное обеспечение было настолько стары там было бы никакого смысла, даже не потрудившись проверить) следующий сценарий был доказан работать на многих многих уязвимых серверах. Алиса живет в Австралии и входит в ее сервер в США через браузер / HTTPS Боб живет в Великобритании и бегала эксплоит и время было как раз, Алиса только вошли в систему и Боб вернулся 64k шифрованных данных, в котором содержится Алисес пароль. Это нападение не связано с MITM или что-нибудь подобное ... вы могли в основном только продолжать получать 64k данных из памяти серверов .. иногда это может быть сообщения, бесполезное дерьмо и, очевидно, очень раздавался вам может повезти и получить пароли. Но вы не должны быть в пути пользователя или сервера ... поэтому это было настолько критическим, и любой другой веб-сайт был обеспокоен и советовал людям менять пароли, после фиксирована. Как вы знаете, кто не был делать это использовать в течение нескольких месяцев, но это только огласка несколько дней назад? Скорее всего, они недостаточно активно использовали статистические, но как теперь вы. Тот факт, не думаю, что его нужно менять пароли сейчас очень очень страшно. Вы должны иметь огромное предупреждение сообщать пользователям изменять свои пароли, как вы сделали с Bitcoin обновления клиента. Серьезно .. вы просто не насрать о безопасности пользователей ?? Вы только озаботились с получением доходов от рекламы. Цитата: theymos 12 апреля 2014 года, 5:15:24 PM Я обновил ключи. Это никогда не плохая идея, чтобы изменить свой пароль, но в данном случае я не думаю, что это необходимо.

14 апреля 2014, 1:36:20 AM	# 9
Justin00 Сообщения: 910 Цитировать по имени цитировать ответ	Re: heartbleed bitcointalk. в основном ... все .. пожалуйста изменить пароль .. Если когда-либо было необходимо время, его прямо сейчас .....

14 апреля 2014, 2:12:03 AM	# 10
theymos Сообщения: 2884 Цитировать по имени цитировать ответ	Re: heartbleed bitcointalk. Хм ... Я думал, что утечка памяти будет включать в себя только OpenSSL-конкретные вещи, но я сделал некоторые дополнительные исследования, и я думаю, что вы правы: пароли пользователей могли бы, возможно, была утечка, хотя это было бы трудно. Я разрегистрировать все и добавить эту информацию в заголовок.

14 апреля 2014, 2:17:24 AM	# 11
cooldgamer Сообщения: 1218 Цитировать по имени цитировать ответ	Re: heartbleed bitcointalk. Цитата: theymos 14 апреля 2014 года, 2:12:03 AM Хм ... Я думал, что утечка памяти будет включать в себя только OpenSSL-конкретные вещи, но я сделал некоторые дополнительные исследования, и я думаю, что вы правы: пароли пользователей могли бы, возможно, была утечка, хотя это было бы трудно. Я разрегистрировать все и добавить эту информацию в заголовок. Слава Богу, я нашел эту тему, получил логаут мысль я получил / получал взломан

14 апреля 2014, 2:27:59 AM	# 12
зиний Сообщения: 2058 Цитировать по имени цитировать ответ	Re: heartbleed bitcointalk. Цитата: Justin00 14 апреля 2014 года, 1:25:09 AM мммм я очень советую вам взглянуть на вопросы безопасности Abit больше в следующий раз. Я не пытаюсь быть членом, но третья сторона может в принципе видеть то, что было в памяти серверов ... вы понимаете, что правильно? Если пользователь вошел в систему, 3-й участник может повезти и увидеть эту информацию. 3-й партии не нужен секретный ключ, чтобы увидеть расшифрованные данные ....... Для того, чтобы запустить эксплойт, вы просто имели загрузку скрипт проверки уязвимостей, написанную на Python и добавить дополнительную строку для печати 64k ценности данных. Это было так просто, даже я был в состоянии заставить его работать, и я ни в коей мере программист, экспертом по безопасности или разработчиков и т.д ... (Для того, чтобы подтвердить, я никогда не побежал использовать против этого сайта .. я предполагается, что программное обеспечение было настолько стары там было бы никакого смысла, даже не потрудившись проверить) следующий сценарий был доказан работать на многих многих уязвимых серверах. Алиса живет в Австралии и входит в ее сервер в США через браузер / HTTPS Боб живет в Великобритании и бегала эксплоит и время было как раз, Алиса только вошли в систему и Боб вернулся 64k шифрованных данных, в котором содержится Алисес пароль. Это нападение не связано с MITM или что-нибудь подобное ... вы могли в основном только продолжать получать 64k данных из памяти серверов .. иногда это может быть сообщения, бесполезное дерьмо и, очевидно, очень раздавался вам может повезти и получить пароли. Но вы не должны быть в пути пользователя или сервера ... поэтому это было настолько критическим, и любой другой веб-сайт был обеспокоен и советовал людям менять пароли, после фиксирована. Как вы знаете, кто не был делать это использовать в течение нескольких месяцев, но это только огласка несколько дней назад? Скорее всего, они недостаточно активно использовали статистические, но как теперь вы. Тот факт, не думаю, что его нужно менять пароли сейчас очень очень страшно. Вы должны иметь огромное предупреждение сообщать пользователям изменять свои пароли, как вы сделали с Bitcoin обновления клиента. Серьезно .. вы просто не насрать о безопасности пользователей ?? Вы только озаботились с получением доходов от рекламы. Теперь вы лукавите. пароли не хранятся в памяти сервера. пароли не хранятся в любом месте, потому что они хэшируются + соленые. самое большее, что может быть украдено являются хэши.

14 апреля 2014, 2:44:01 AM	# 13
Justin00 Сообщения: 910 Цитировать по имени цитировать ответ	Re: heartbleed bitcointalk. Отрава ... я уже пробовал. Я видел пароли ... другие люди пытались, они видели пароли. Я не исследователь безопасности или anyting подобное ... просто человек, способный работать сценарий. Однако вы отчасти верно .. Я думаю, что мое использование "в памяти сервера" был мне печатать ABIT быстро для своего собственного блага, не задумываясь. в любом случае это было документально подтверждено реальными людьми, которые могут объяснить его в точной детализации (как oposed мне), что да, passowrds, все могут быть захвачены. Если конечно вы не хэш пароля на стороне клиента первого ... в противном случае пароль передаются .. при нормальных условиях вашего защищенного HTTPS и, очевидно, люди не могут извлекать данные с сервера .......... до этот вопрос возник. кто-то даже удалось получить закрытые ключи выключения сервера .. http://blog.cloudflare.com/the-results-of-the-cloudflare-challenge в любом случае - ГЗС для пользователей, чтобы изменить PASSWD был выставлен. Спасибо

14 апреля 2014, 2:55:01 AM	# 14
zaseb Сообщений: 16 Цитировать по имени цитировать ответ	Re: heartbleed bitcointalk. Цитата: Груэ 14 апреля 2014 года, 2:27:59 AM Теперь вы лукавите. пароли не хранятся в памяти сервера. пароли не хранятся в любом месте, потому что они хэшируются + соленые. самое большее, что может быть украдено являются хэши. Вы ошибаетесь. После OpenSSL расшифровывает данные, которые он recieves от клиента он временно сохраняет его в памяти. Вы можете использовать heartbleed, чтобы получить данные POST или часть его, когда пользователь входит в систему, если вы время это право. POST данные, конечно, содержит пароль в незашифрованном виде, хеширование выполняется на стороне сервера. Трудно время это правильно, но это действительно работает. Однако это невероятно легко украсть, используя heartbleed с идентификатором сессии, как идентификатор сеанса, отправляется каждый раз, когда пользователь просматривает страницу. Злоумышленник может использовать эту идентификатор сессии, чтобы войти в систему как пользователь.

14 апреля 2014, 3:52:18 AM	# 15
зиний Сообщения: 2058 Цитировать по имени цитировать ответ	Re: heartbleed bitcointalk. Цитата: zaseb 14 апреля 2014 года, 2:55:01 AM Цитата: Груэ 14 апреля 2014 года, 2:27:59 AM Теперь вы лукавите. пароли не хранятся в памяти сервера. пароли не хранятся в любом месте, потому что они хэшируются + соленые. самое большее, что может быть украдено являются хэши. Вы ошибаетесь. После OpenSSL расшифровывает данные, которые он recieves от клиента он временно сохраняет его в памяти. Вы можете использовать heartbleed, чтобы получить данные POST или часть его, когда пользователь входит в систему, если вы время это право. POST данные, конечно, содержит пароль в незашифрованном виде, хеширование выполняется на стороне сервера. Трудно время это правильно, но это действительно работает. Однако это невероятно легко украсть, используя heartbleed с идентификатором сессии, как идентификатор сеанса, отправляется каждый раз, когда пользователь просматривает страницу. Злоумышленник может использовать эту идентификатор сессии, чтобы войти в систему как пользователь. Я исправлюсь.

14 апреля 2014, 3:54:33 AM	# 16
freedomno1 Сообщения: 1386 Цитировать по имени цитировать ответ	Re: heartbleed bitcointalk. Цитата: theymos 14 апреля 2014 года, 2:12:03 AM Хм ... Я думал, что утечка памяти будет включать в себя только OpenSSL-конкретные вещи, но я сделал некоторые дополнительные исследования, и я думаю, что вы правы: пароли пользователей могли бы, возможно, была утечка, хотя это было бы трудно. Я разрегистрировать все и добавить эту информацию в заголовок. OH, что объясняет, почему я получил логау и роджер Дважды лол

14 апреля 2014, 2:04:03 PM	# 17
Justin00 Сообщения: 910 Цитировать по имени цитировать ответ	Re: heartbleed bitcointalk. Не стесняйтесь безопасности Bounty меня за то 5 дней старо эксплойт, который вам, где некоторые, что уже известно и фиксировано, вашему вниманию (очень вежливо и деликатно, как я всегда нахожусь) чуть более подробно, чтобы защитить ваш прекрасный нечетным 100,000 UserBase 16m38DJdtcoP4KVNjLLmL6zgdwGidQJYBT Шучу .. Allthough вы пропустили мои последними 32 день рождения и 31 Рождественских подарков! Цитата: theymos 14 апреля 2014 года, 2:12:03 AM Хм ... Я думал, что утечка памяти будет включать в себя только OpenSSL-конкретные вещи, но я сделал некоторые дополнительные исследования, и я думаю, что вы правы: пароли пользователей могли бы, возможно, была утечка, хотя это было бы трудно. Я разрегистрировать все и добавить эту информацию в заголовок.

14 апреля 2014, 9:00:25 PM	# 18
pekv2 Сообщения: 770 Цитировать по имени цитировать ответ	Re: heartbleed bitcointalk. https://lastpass.com/heartbleed/?h=bitcointalk.org%2F котировка Сайт: bitcointalk.org Программное обеспечение сервера: Nginx Был уязвима: Возможно (известное использование OpenSSL, но может использовать безопасную версию) Сертификат SSL: Теперь Safe (создано 4 дня назад в апреле 10 22:50:11 2014 GMT) Оценка: Изменение пароля на этом сайте, если последняя смена пароля была более 4 дней назад Спасибо за все качки в их советах и помощи от theymos других членов.

« Предыдущая тема | Следующая тема »

Как заработать Биткоины?

Bitcoin Wallet * Portefeuille Bitcoin * Monedero Bitcoin * Carteira Bitcoin * Portafoglio Bitcoin * Bitcoin Cüzdan * 比特币钱包

bitcoin-zarabotat.ru
Почта для связи: bitcoin-zarabotat.ru@yandex.ru

3HmAQ9FkRFk6HZGuwExYxL62y7C1B9MwPW