Czy orientujecie sie, czy jest odpowiednik czegos takiego:
http://crypto.stanford.edu/PwdHash/
do Opery?
Nawet nie mam pojecia jak stronka rozpoznaje prawidlowy login i haslo uzytkownika z tego hasha, a hacker mialby tego nie rozpoznac. 
Pozdrawiam,
janbar.)
Originally posted by janbar
Nawet nie mam pojecia jak stronka rozpoznaje prawidlowy login i haslo uzytkownika z tego hasha, a hacker mialby tego nie rozpoznac.
Chyba nie zrozumiałeś zasady działania. Na tej stronie jest wszystko opisane.
Ciekawa rzecz. Niestety nie znam odpowiednika dla Opery.
Widocznie czytam i nie rozumiem, co tam jest napisane, drogi Gargamelu, wiec przetlumacz na nasze.
A tu jest cos podobnego i jest wersja w postaci bookmarkletu, chyba skrypt GreaseMonkey-a trza sobie zamontowac, bo dziala w Operze, ale nie jestem pewien.
EDIT: Podobno sam skrypt GreaseMonkey-a wystarczy do tego, trzeba go tylko do user.js wpisac.
http://www.xs4all.nl/~jlpoutre/BoT/Javascript/PasswordComposer/greasemonkey.html
Jest i filmik pokazujacy jak toto dziala...
http://weblog.infoworld.com/udell/gems/singleSignOn.html
Pozdrawiam,
janbar.)
Originally posted by janbar
Widocznie czytam i nie rozumiem, co tam jest napisane, drogi Gargamelu, wiec przetlumacz na nasze.
Nie wiem czy żartujesz czy nie, bo walnąłeś emotkę
. Na wypadek gdybyś nie żartował :Strona nie musi przeprowadzać żadnych operacji, które miałyby od hasha doprowadzić ją do hasła. Hasłem jest hash tego co w polu na stronie wpisał użytkownik. Dla każdej strony dodawane są też inne znaki, dzięki czemu hasło które "widzą" strony jest zawsze inne, pomimo tego że użytkownik wpisuje ciągle to samo.
Użytkownik wpisuje @@zab-zupa-dab, pwdhash zamienia to w locie na @@baz+apuz+bad=34g dla strony X, @@baz+apuz+bad=26h dla strony Y itd.
OK, znalazłem coś co na pewno działa w Operze i nie wymaga dopisywania żadnych szlaczków do userjs.
Na stronie http://www.angel.net/~nic/passwdlet.html znalazłem skryptozakładkę generującą hasła. Jej lepsza (jak mi się wydaje) wersja znajduje się tu: http://gfxmonk.sysprosoft.com/2005/05/password-generator-bookmarket-v2.html .
Działa bardzo podobnie do pwdhash. Bierze wprowadzone hasło i adres strony, miksuje je korzystając z MD5 i wypluwa znaczki.
Nie muszę chyba mówić, że sprawę bardzo ułatwia nadanie zakładce krótkiej nazwy albo umieszczenie skrótu na pasku .
Originally posted by Gargamel
Nie wiem czy żartujesz czy nie, bo walnąłeś emotkę
Strona nie musi przeprowadzać żadnych operacji, które miałyby od hasha doprowadzić ją do hasła. Hasłem jest hash tego co w polu na stronie wpisał użytkownik. Dla każdej strony dodawane są też inne znaki, dzięki czemu hasło które "widzą" strony jest zawsze inne, pomimo tego że użytkownik wpisuje ciągle to samo.
Użytkownik wpisuje @@zab-zupa-dab, pwdhash zamienia to w locie na @@baz+apuz+bad=34g dla strony X, @@baz+apuz+bad=26h dla strony Y itd.
To juz wiem, problem w tym, ze jesli nie uzywamy bezpiecznego polaczenia do weryfikacji hasla, to nadal mozna je podejrzec, a najlatwiej w LAN-ie osiedlowym, blokowym, niektorych kablowkach, wiec korzysci sa tylko takie, ze nie musimy pamietac kilku hasel do kont lub bac sie, ze ktos namiesza nam w naszych kontach, jesli uzywamy tylko jednego hasla, no ale, dobre i to.
Warto jeszcze to dodac:
" What is the difference between bookmarklet, user script and extension?
The bookmarklet version is the easiest to install, and compatible with the largest range of browsers (in fact all modern ones, except Safari). One disadvantage though: it loads an external javascript from my site, so you have to really trust me. Advice: don't, your security is too important! However, you're welcome to copy the script to your own server and use it from there.
The Greasemonkey User Script is simple to install in compatible browsers, provided that you have greasemonkey installed already and/or know how to do it otherwise (in Opera). The big advantage is that the source of pwdcomposer.user.js is fully accessible in clear text, so inspection is relative easy. In general, this will be the most advanced version.
The Firefox Extension is based on the greasemonkey user script. Installation is really easy through Firefox's standard extension mechanism, with the additional benefit that updates are found whenever you use the "check for updates" feature of the extension manager. Code inspection is a little bit more tricky, see "How do I open the Firefox Extension for code inspection"."
Nie wiem jak ta ostatnia skryptozakladka z postu Gargamela, ale tutaj user.js jest bardziej funkcjonalny od bookmarkletu.
Pozdrawiam,
janbar.
)
Originally posted by janbar
To juz wiem
Teraz może wiesz, ale wcześniej pisałeś:
Originally posted by janbar
Nawet nie mam pojecia jak stronka rozpoznaje prawidlowy login i haslo uzytkownika z tego hasha
problem w tym, ze jesli nie uzywamy bezpiecznego polaczenia do weryfikacji hasla, to nadal mozna je podejrzec, (...) wiec korzysci sa tylko takie, ze nie musimy pamietac kilku hasel do kont
Korzyści nie są "tylko" takie, są właśnie takie, jakie miały być
. Mam tylko jedno "ale", a mianowicie takie, że z tego iż wykorzystywany jest adres mogą też wyniknąć problemy, jeśli ów adres się zmieni. Niby we wskazanej przeze mnie skryptozakładce jest odpowiednie pole do wpisywania adresu, ale przy dużej liczbie stron i zhashowanych haseł może się okazać, że trzeba będzie robić listę haseł do różnych domen . Chciałbym mieć tu jeszcze zapisywanie zhashowanych haseł z odpowiadającymi domenami do szyfrowanego pliku.Nie wiem jak ta ostatnia skryptozakladka z postu Gargamela, ale tutaj user.js jest bardziej funkcjonalny od bookmarkletu.
Nie wiem co rozumiesz przez funkcjonalność. W każdym razie skryptozakładka, którą znalazłem, nie ma odwołań do żadnych zewnętrznych plików.
Taki pwdhash razem z szyfrowaniem połączenia wydaje się niezłym rozwiązaniem.
OriginaTly posted by Gargamel
Korzyści nie są "tylko" takie, są właśnie takie, jakie miały być
O tym to nie masz pojecia, bos tego nie projektowal, drogi Gargusiu.
Originally posted by Gargamel
Mam tylko jedno "ale", a mianowicie takie, że z tego iż wykorzystywany jest adres mogą też wyniknąć problemy, jeśli ów adres się zmieni.
Gdybys doczytal do konca, zauwazylbys ,ze podaja przepisy na to.
M.inn. mozna skorzystac z opcji odzyskiwania hasla i ustawic nowe haslo. Originally posted by Gargamel
Niby we wskazanej przeze mnie skryptozakładce jest odpowiednie pole do wpisywania adresu,
Ten sposob podaja rowniez.
Originally posted by Gargamel
ale przy dużej liczbie stron i zhashowanych haseł może się okazać, że trzeba będzie robić listę haseł do różnych domen
A po co Ci ta lista, skoro on za kazdym razem wygeneruje Ci haslo z adresu i hasla glownego ? Co najwyzej, jak Ci sie nie chce zmieniac hasla po zmianie adresu hosta lub nazwy domeny, pod jaka jest strona logowania, to wystarczy zrobic liste odpowiednich nazw ( domen,hostow) jakich uzywasz do logowania i ewentualnie przypisac je, jakbys mial kiedy zapomniec, do dobrze znanych Tobie i rozpoznawalnych "identyfikatorow" stron.
"Identyfikator" to tutaj nic innego jak dowolne pojecie, pod jakim funkcjonuje strona w Twej pamieci. "Zwykly" adres strony tez moze byc...
Originally posted by Gargamel
Chciałbym mieć tu jeszcze zapisywanie zhashowanych haseł z odpowiadającymi domenami do szyfrowanego pliku.
Nie zalecaja robienia takich list, ze wzgledow bepieczenstwa, ale szyfrowany plik w polaczeniu z docelowym zastosowaniem tego skryptu, tylko do operacji typu "low risk", to pewnie przeciwskazan by nie mieli.
Originally posted by Gargamel
Nie wiem co rozumiesz przez funkcjonalność. W każdym razie skryptozakładka, którą znalazłem, nie ma odwołań do żadnych zewnętrznych plików.
W tym przypadku ilosc opcji, aczkolwiek teraz Ci nie wylicze, ktorych nie ma.
Pozdrawiam,
janbar.
)
Originally posted by janbar
O tym to nie masz pojecia, bos tego nie projektowal, drogi Gargusiu.
Ale przeczytałem fragment "Problem" i "Solution".
Nie będę się kłócił o listy haseł i temu podobne, bo widzę, że główną motywacją do napisania posta jest u Ciebie (w każdym razie w tym wątku) chęć, żeby wyszło na Twoje
. janbarusiu