1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Knuddels-Leak: Datenschützer…

Aufwand im sechsstelligem Bereich?

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Aufwand im sechsstelligem Bereich?

    Autor: crazypsycho 22.11.18 - 13:08

    Wie kommt denn so ein hoher Aufwand zustande? Ne Funktion um die Passwörter zu Hashen ist doch fix programmiert.
    Einen Backup-Server updaten ist jetzt auch keine Kunst.

  2. Re: Aufwand im sechsstelligem Bereich?

    Autor: ClausWARE 22.11.18 - 14:33

    Die Passwörter waren schon vorher gehasht für den Login, einzig die Funtion die das ausplaudern des Passwortes im Chat verhindern sollte, nutze das Klartext-Password und musste wohl nun neu implementiert werden. Abgesehend davon, wird man sich wohl das ganze System nochmal genauer angesehen haben um eventuelle Einfallstore zu schließen und das System weiter abzusichern.

  3. Re: Aufwand im sechsstelligem Bereich?

    Autor: andy01q 22.11.18 - 15:43

    Ich denke mal ein Teil der Verbesserungen wird ein minimaler halbinterner Audit gewesen sein. Codereview kostet vor allem Arbeitsstunden.
    Mal so als obere Grenze: Die NASA hat sich beim Start von Challenger jede Zeile Code 1000$ zu insgesamt 500Mio.$ für die Entwicklung von PASS.22 kosten lassen.
    https://history.nasa.gov/sts1/pages/computer.html
    Würde mich nicht wundern, wenn Knuddelz auch um die 500,000 Zeilen Code hat.

  4. Re: Aufwand im sechsstelligem Bereich?

    Autor: crazypsycho 22.11.18 - 19:02

    ClausWARE schrieb:
    --------------------------------------------------------------------------------
    > Die Passwörter waren schon vorher gehasht für den Login, einzig die Funtion
    > die das ausplaudern des Passwortes im Chat verhindern sollte, nutze das
    > Klartext-Password und musste wohl nun neu implementiert werden.

    Diese Funktion hätte man auch einfach entfernen können. Aber selbst neu implementieren sollte nicht so schwer sein.
    Eingabe-String splitten, jedes Wort hashen und vergleichen/ersetzen, fertig.

    > Abgesehend
    > davon, wird man sich wohl das ganze System nochmal genauer angesehen haben
    > um eventuelle Einfallstore zu schließen und das System weiter abzusichern.

    Mag sein, aber auch da ist es schwer auf sechsstellige Beträge zu kommen.

  5. Re: Aufwand im sechsstelligem Bereich?

    Autor: saithis 22.11.18 - 19:22

    crazypsycho schrieb:
    --------------------------------------------------------------------------------
    > ClausWARE schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Die Passwörter waren schon vorher gehasht für den Login, einzig die
    > Funtion
    > > die das ausplaudern des Passwortes im Chat verhindern sollte, nutze das
    > > Klartext-Password und musste wohl nun neu implementiert werden.
    >
    > Diese Funktion hätte man auch einfach entfernen können. Aber selbst neu
    > implementieren sollte nicht so schwer sein.
    > Eingabe-String splitten, jedes Wort hashen und vergleichen/ersetzen,
    > fertig.

    Dein Vorschlag gehört noch um "Zusehen wie die Server unter der Last in die Knie gehen" ergänzt werden. Gute Algorithmen zum Passwort Hashen sind langsam und verbrauchen viel Arbeitsspeicher, um das Knacken per Bruteforce zu erschweren.

  6. Re: Aufwand im sechsstelligem Bereich?

    Autor: ibsi 22.11.18 - 19:38

    Das dachte ich aber auch. Was für ein riesiges System man bauen müsste allein für die Funktion.
    Alternativ holt man sich den hash lokal und macht das dynamisch beim Client. Aber das reicht ja nicht aus (unsicher, auf dem Server müsste man das selbe wieder machen, um sicher zu gehen das die antwort stimmt, also nichts gewonnen).

    Weitere Alternativen?
    Wäre ich wirklich mal gespannt, ist nämlich ein interessantes Thema (viele viele abfragen von vielen vielen Menschen, gegen eine größere Datenbasis, in quasi dauerlast)

  7. Re: Aufwand im sechsstelligem Bereich?

    Autor: crazypsycho 22.11.18 - 19:47

    saithis schrieb:
    --------------------------------------------------------------------------------
    > crazypsycho schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > ClausWARE schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > -----
    > > > Die Passwörter waren schon vorher gehasht für den Login, einzig die
    > > Funtion
    > > > die das ausplaudern des Passwortes im Chat verhindern sollte, nutze
    > das
    > > > Klartext-Password und musste wohl nun neu implementiert werden.
    > >
    > > Diese Funktion hätte man auch einfach entfernen können. Aber selbst neu
    > > implementieren sollte nicht so schwer sein.
    > > Eingabe-String splitten, jedes Wort hashen und vergleichen/ersetzen,
    > > fertig.
    >
    > Dein Vorschlag gehört noch um "Zusehen wie die Server unter der Last in die
    > Knie gehen" ergänzt werden. Gute Algorithmen zum Passwort Hashen sind
    > langsam und verbrauchen viel Arbeitsspeicher, um das Knacken per Bruteforce
    > zu erschweren.

    Ein Grund mehr diese Funktion einfach zu entfernen.

  8. Re: Aufwand im sechsstelligem Bereich?

    Autor: saithis 22.11.18 - 20:06

    Noch ein Problem, das mir grad einfällt: Wenn ein Passwort ein Leerzeichen enthält, am besten noch am Anfang oder Ende, würd String spliten selbst dann nicht funktionieren, wenn es das Problem mit der Last nicht geben würd :)

    Mich würd mal interessieren, ob sie die Funktion jetzt entfernt haben oder ob sie irgend eine Lösung gefunden haben.

  9. Re: Aufwand im sechsstelligem Bereich?

    Autor: seronulpha 22.11.18 - 22:09

    Lösung: Mit Login wird das Klarpassword als Sessionvariable gespeichert und kann zum Vergleich eingesetzt werden. Mit Logout, Zeitablauf oder jeder sonst denkbaren Bedingung verschwindet es aus dem Sessionspeicher.

  10. Re: Aufwand im sechsstelligem Bereich?

    Autor: saithis 23.11.18 - 15:57

    Dann können bei einem Hack trotzdem noch die Passwörter der eingeloggten Accounts ausgelesen werden. Bei "eingeloggt bleiben" Funktionen (falls es die bei Knuddels gibt) bleibt die Session üblicherweise so bis 1-4 Wochen nach der letzten Aktivität erhalten. Also keine so gute Idee.



    1 mal bearbeitet, zuletzt am 23.11.18 15:58 durch saithis.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Service Desk Agent (m/w/d)
    Pan Dacom Networking AG, Dreieich
  2. Softwareentwickler (m/w/d)
    i-SOLUTIONS Health GmbH, Bochum
  3. Data Analyst KI (m/w/d)
    Technische Hochschule Ingolstadt, Ingolstadt
  4. Credit Risk Manager (m/w/d)
    Vereinigte Volksbank Raiffeisenbank eG, Michelstadt

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. (u. a. Age of Empires Definitive Collection für 17,99€, Age of Empires Definitive Collection...
  2. 99,99€ (Release 04.03.2022)
  3. 14,99€
  4. 6,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de