mboost-dp1
newz.dk
Husk at den skal besvares fra det samme ip-nummer som du anmodede den fra
Vil de sige at os som rejser rundt med vores bærbare til steder der har dynamiske IP-numre, pænt sagt bare er f*cked og skal oprette en ny bruger ?
#2
nej, du skal bare have samme ip i den halve time du venter på den aktiveringsmail fra newz.dk
forresten, os der er blevet medlemmer indefor nyere tid vi er allerede kommet igennem den aktiveringsprocess fra start af ikke? for det mener jeg jeg SKULLE dengang jeg oprettede min bruger....
nej, du skal bare have samme ip i den halve time du venter på den aktiveringsmail fra newz.dk
forresten, os der er blevet medlemmer indefor nyere tid vi er allerede kommet igennem den aktiveringsprocess fra start af ikke? for det mener jeg jeg SKULLE dengang jeg oprettede min bruger....
Lidt sen nyhed... skulle nok have været udgivet d. 1
Blev lidt forvirret, da den meldte fejl ved login, og jeg kunne ikke se nogen nyhed om det, men fandt da ud af det - men hvis jeg ikke vidste, at det ville ske, ville jeg nok have været endnu mere forvirret.
Blev lidt forvirret, da den meldte fejl ved login, og jeg kunne ikke se nogen nyhed om det, men fandt da ud af det - men hvis jeg ikke vidste, at det ville ske, ville jeg nok have været endnu mere forvirret.
#4
Det kommer an på om du er blevet aktiveret allerede, for hvis du er så kan jeg ikke se en grund til at du skulle gøre dette igen. Men jeg tror jeg kan se hvad du er bange for. Det er ikke nødvendigt at have samme IP som den første gang du loggede/aktiverede brugeren, det skal bare være samme IP som på det tidspunkt du anmoder / bliver bedt om en aktiveringsmail...
Sådan forstår jeg det for der er vel ikke grund til at folk laver ny bruger ...
Det kommer an på om du er blevet aktiveret allerede, for hvis du er så kan jeg ikke se en grund til at du skulle gøre dette igen. Men jeg tror jeg kan se hvad du er bange for. Det er ikke nødvendigt at have samme IP som den første gang du loggede/aktiverede brugeren, det skal bare være samme IP som på det tidspunkt du anmoder / bliver bedt om en aktiveringsmail...
Sådan forstår jeg det for der er vel ikke grund til at folk laver ny bruger ...
Synes bare det er trist, at newz.dk er nød til at gøre sådan noget, bare fordi der er nogle mennesker der gør sådan noget l***.
Bare trælst at den mail jeg havde opgivet for min bruger i mellemtiden er blevet defekt, så jeg kan ikke længere logge ind og læse aktiveringsmailen... Buggers :P
Men så kan jeg vel bare oprette en ny bruger, værre er den vel ikke.
Men så kan jeg vel bare oprette en ny bruger, værre er den vel ikke.
[url=#9]#9[/url] neckelmann2
Jeg synes egentlig man burde kunne logge ind alligevel og bare ikke poste kommentaterer. Så kan man se hvilken email der står i profilen, rette den om nødvendigt, og i øvrigt få vist siderne på den måde man har valgt i indstillingerne.
Bare trælst at den mail jeg havde opgivet for min bruger i mellemtiden er blevet defekt, så jeg kan ikke længere logge ind og læse aktiveringsmailen.Ja, det synes jeg også er ret upraktisk. Min egen virkede nu stadigvæk, men det er jo ret upraktisk, når jeg ikke kunne huske hvilken email adresse jeg havde brugt til at registrere mig med.
Jeg synes egentlig man burde kunne logge ind alligevel og bare ikke poste kommentaterer. Så kan man se hvilken email der står i profilen, rette den om nødvendigt, og i øvrigt få vist siderne på den måde man har valgt i indstillingerne.
Hvorfor fanden har man også flere mails?
Jeg kan forstå 2 mail kontorer, men der er bestemt ikke brug for flere..
Spam / Normal - Derfor jeg bruger en web mail klient, istedet for de medfølgende til et internet abbonement...
Jeg kan forstå 2 mail kontorer, men der er bestemt ikke brug for flere..
Spam / Normal - Derfor jeg bruger en web mail klient, istedet for de medfølgende til et internet abbonement...
Jeg trykkede på "Send aktiverings mail" den gang for længe siden, da i sagde at vi skulle skynde os med at aktivere vores bruger.
I går, da jeg forsøgte at logge på fra et andet netværk end mit eget, fik jeg ikke lov til dette, og fik besked på at jeg skulle aktivere min bruger.
Dette gjorde jeg så, cirka 3 gange.
Er det meningen at man ikke skal kunne logge på fra andre maskiner end sin egen?
I går, da jeg forsøgte at logge på fra et andet netværk end mit eget, fik jeg ikke lov til dette, og fik besked på at jeg skulle aktivere min bruger.
Dette gjorde jeg så, cirka 3 gange.
Er det meningen at man ikke skal kunne logge på fra andre maskiner end sin egen?
Jeg synes da ikke jeg kan mindes at jeg er blevet bedt om at aktivere min konto og jeg kan da slet ikke finden nogen steder at gøre det nu. Nå det finder jeg nok ud af hvis det er mig der har gjort noget forkert
Jeg kunne ikke aktivere min gamle bruger, så jeg måtte oprette en helt ny.
Min mail-adresse i den gamle bruger var nemlig en fiktiv en, da jeg i sin tid aldrig troede, at den skulle bruges til noget, og dermed får man jo ikke en aktiveringsmail.
Min mail-adresse i den gamle bruger var nemlig en fiktiv en, da jeg i sin tid aldrig troede, at den skulle bruges til noget, og dermed får man jo ikke en aktiveringsmail.
#18
Hvis man har eget domæne med stjerne alias er det nu meget praktisk, man signer up under en email der siger noget om hvad den bruges til, og hvis man bliver spammed, kan man se hvilken email adresse der sendes til, og blokere den, og eventuelt brokke sig der hvor den er brugt :)
Men har nu også en del email kontoer, en jeg bruger nu, en gammel jeg stadig modtager lidt på, firma konto, og 2 fra arbejde (og gmail/hotmail der ikke bruges).
Næste poll ? :)
Hvis man har eget domæne med stjerne alias er det nu meget praktisk, man signer up under en email der siger noget om hvad den bruges til, og hvis man bliver spammed, kan man se hvilken email adresse der sendes til, og blokere den, og eventuelt brokke sig der hvor den er brugt :)
Men har nu også en del email kontoer, en jeg bruger nu, en gammel jeg stadig modtager lidt på, firma konto, og 2 fra arbejde (og gmail/hotmail der ikke bruges).
Næste poll ? :)
ip adresse og jeg ved ikke hvad....
det er vidst mere bare for teknikkens skyld at der kommer al det gøgl hva.
det er vidst mere bare for teknikkens skyld at der kommer al det gøgl hva.
grrr, så blev det endeligt til noget, syntes det er trist at man er nød til at "registere sig" ikke fordi jeg ikek stoler på newz.dk. Men jeg er træt af at min mail addrese nu står der for alle at se, og gider ikke at lave en duplicate, det burde ikke være nødvendigt. btw, min rigtige bruger havde sjovt nok en fake mail, så den skal ændres, først :P før jeg kan brokke mig over det, med den.
edit: [Det er ved at blive fikset, mail support går sgu hurtigt hos jer, det må i sgu ha]
edit: [Det er ved at blive fikset, mail support går sgu hurtigt hos jer, det må i sgu ha]
Jeg kan ikke se hvorfor IP'en skal matche, er der nogen der gider forklare det?
Hvis jeg opretter en bruger, skal jeg gå ind på min mail og aktivere brugeren, fra samme IP. Det vil sige at andre ikke kan gå ind på min mail(øh?) og aktivere min bruger, fra en anden computer?
Eller hvis en person opretter en bruger og skriver min mail, så kan jeg ikke aktivere hans bruger (hvilket tjener absolut intet formål) ?
Hvis jeg opretter en bruger, skal jeg gå ind på min mail og aktivere brugeren, fra samme IP. Det vil sige at andre ikke kan gå ind på min mail(øh?) og aktivere min bruger, fra en anden computer?
Eller hvis en person opretter en bruger og skriver min mail, så kan jeg ikke aktivere hans bruger (hvilket tjener absolut intet formål) ?
terrak:
Først og fremmest: undskyld jeg var så kort for hovedet, ikke din skyld.
Sådan som jeg har forstået det fungerer så kan man, hvis man spoffer en andens cookie (får fat på den på en eller anden måde), og følger linket i mailen bliver man automatisk logget ind som den bruger. Ved hele tiden at holde den cookie i live kan man hijacke en anden konto, hvilket nok ikke er at foretrække. Ganske korrekt kan man ikke ændre adgangskoden (kræver man kender den gamle).
Btw. så er MD5 ikke den mest sikre måde at gemme et password på, da md5 er let at brute force ved meget korte datastrømme, derfor bør man også enten bruge en SALT-string eller en anden hashing-teknik der ikke er følsom over for små datamængder.
Først og fremmest: undskyld jeg var så kort for hovedet, ikke din skyld.
Sådan som jeg har forstået det fungerer så kan man, hvis man spoffer en andens cookie (får fat på den på en eller anden måde), og følger linket i mailen bliver man automatisk logget ind som den bruger. Ved hele tiden at holde den cookie i live kan man hijacke en anden konto, hvilket nok ikke er at foretrække. Ganske korrekt kan man ikke ændre adgangskoden (kræver man kender den gamle).
Btw. så er MD5 ikke den mest sikre måde at gemme et password på, da md5 er let at brute force ved meget korte datastrømme, derfor bør man også enten bruge en SALT-string eller en anden hashing-teknik der ikke er følsom over for små datamængder.
#36
Spoofing af cookies tvivler jeg på der er nogen der har særlig stor succes med, med mindre man målrettet ved hvad man leder efter. Skulle dette eksistere, tvivler jeg stærkt på at det vil blive brugt til at logge ind på en newz.dk bruger.
Jeg er ikke meget inde i hashing, men jeg tvivler på at md5 er "let" at bruteforce. Et md5 hash indeholder 32 bogstaver(lower-case) og tal, hvor der ved hver karakter er 36 muligheder. Jeg kender ikke til algoritmen, men antager at tegnene må genbruges, dvs. at der teoretisk eksisterer hash'es der består af 32 af den samme karakter, hvilket giver 36^32 muligheder(ca 63340000000000000000000000000000000000000000000000).
Den eneste bruteforce metode man muligvis ville have held med, ville nok være med en ordliste, men så er det ikke metoden den er gal med, nok rettere valg af kodeord.
Desuden gemmes passwordet vel ikke i et md5-hash, hvorfor man ikke kan få gensendt sit password, men kun anmode om et nyt. Derfor kan jeg ikke se hvordan der kan være en større risiko(af betydning) ved at bruge md5, frem for andre, men - please enlighten me :-)
Spoofing af cookies tvivler jeg på der er nogen der har særlig stor succes med, med mindre man målrettet ved hvad man leder efter. Skulle dette eksistere, tvivler jeg stærkt på at det vil blive brugt til at logge ind på en newz.dk bruger.
Jeg er ikke meget inde i hashing, men jeg tvivler på at md5 er "let" at bruteforce. Et md5 hash indeholder 32 bogstaver(lower-case) og tal, hvor der ved hver karakter er 36 muligheder. Jeg kender ikke til algoritmen, men antager at tegnene må genbruges, dvs. at der teoretisk eksisterer hash'es der består af 32 af den samme karakter, hvilket giver 36^32 muligheder(ca 63340000000000000000000000000000000000000000000000).
Den eneste bruteforce metode man muligvis ville have held med, ville nok være med en ordliste, men så er det ikke metoden den er gal med, nok rettere valg af kodeord.
Desuden gemmes passwordet vel ikke i et md5-hash, hvorfor man ikke kan få gensendt sit password, men kun anmode om et nyt. Derfor kan jeg ikke se hvordan der kan være en større risiko(af betydning) ved at bruge md5, frem for andre, men - please enlighten me :-)
FYI.
Det er meget nemt at spoofe en cookie.
Prøv at skrive
Derefter skriv
Godt så, så har vi kort etableret hvordan man læser en cookie (På den nemme måde), og hvordan man ændrer i en cookie.
Hvis din session ikke specifikt er bundet til din IP, kan jeg udnytte et XSS hul på newz.dk, for at sætte en kode ind der læser din cookie og gemmer den i en tekstfil på min server.
Derefter, kan jeg hurtigt erstatte alle værdierne i newz cookie'n med dine, og ellers bare skrive "Hej, mit navn er bob" i debatterne, så du får dårlig karma (Og dermed bliver ked af det).
Derfor, er det en god idé at have sådan nogle ting bundet fast til en IP.
Det er meget nemt at spoofe en cookie.
Prøv at skrive
javascript:alert(document.cookie)i din addressebar.
Derefter skriv
javascript:void(document.cookie="Hej Bob!");alert(document.cookie)
Godt så, så har vi kort etableret hvordan man læser en cookie (På den nemme måde), og hvordan man ændrer i en cookie.
Hvis din session ikke specifikt er bundet til din IP, kan jeg udnytte et XSS hul på newz.dk, for at sætte en kode ind der læser din cookie og gemmer den i en tekstfil på min server.
Derefter, kan jeg hurtigt erstatte alle værdierne i newz cookie'n med dine, og ellers bare skrive "Hej, mit navn er bob" i debatterne, så du får dårlig karma (Og dermed bliver ked af det).
Derfor, er det en god idé at have sådan nogle ting bundet fast til en IP.
#40
Som sagt er jeg ikke meget inde i hashing, og jeg er derfor ikke sikker på hvad en collision er. Det eneste det link fortæller mig er at md5 er mindre sikkert end andre hashing metoder, ikke om der er en betydelig forskel.
#41
"Derfor, er det en god idé at have sådan nogle ting bundet fast til en IP."
Det er vel kun så længe at XSS hullet eksisterer? Teoretisk set kunne man vel også benytte ip spoofing, hvis der var yderligere sikkerhedhuller i systemet.
Desuden kan jeg stadig ikke se hvordan et aktiveringslink kan bruges som led i cookie spoofing.. forklaring?
Som sagt er jeg ikke meget inde i hashing, og jeg er derfor ikke sikker på hvad en collision er. Det eneste det link fortæller mig er at md5 er mindre sikkert end andre hashing metoder, ikke om der er en betydelig forskel.
#41
"Derfor, er det en god idé at have sådan nogle ting bundet fast til en IP."
Det er vel kun så længe at XSS hullet eksisterer? Teoretisk set kunne man vel også benytte ip spoofing, hvis der var yderligere sikkerhedhuller i systemet.
Desuden kan jeg stadig ikke se hvordan et aktiveringslink kan bruges som led i cookie spoofing.. forklaring?
#43
Man kan aldrig blive sikker nok.
Hvem ved, måske tilføjer du en ekstra funktion til produktionskoden, og det er så sent, og du er så træt, at du kom til at overse muligheden for et XSS exploit i din kode.
Der er i hvert fald en ting der er sikker, hvis en gruppe som TGG finder frem til sådan en exploit, vil de under ingen omstændigheder dele med hmn :)
hmn: Jeg har to aktiveringsmails liggende i min indbakke.
En fra d. 8 december, og en fra d. 9. december.
Jeg har i begge tilfælde, klikket på linket og fået en status 8 (OK).
Hjemmefra kan jeg sagtens logge på min newz bruger.
Fra arbejde, kan jeg kun få en "Din bruger er ikke aktiveret" side.
Lige nu har jeg opdaget, at der er et "Aktiver din bruger" link på min profilside. Dette har jeg så trykket.
Man kan aldrig blive sikker nok.
Hvem ved, måske tilføjer du en ekstra funktion til produktionskoden, og det er så sent, og du er så træt, at du kom til at overse muligheden for et XSS exploit i din kode.
Der er i hvert fald en ting der er sikker, hvis en gruppe som TGG finder frem til sådan en exploit, vil de under ingen omstændigheder dele med hmn :)
hmn: Jeg har to aktiveringsmails liggende i min indbakke.
En fra d. 8 december, og en fra d. 9. december.
Jeg har i begge tilfælde, klikket på linket og fået en status 8 (OK).
Hjemmefra kan jeg sagtens logge på min newz bruger.
Fra arbejde, kan jeg kun få en "Din bruger er ikke aktiveret" side.
Lige nu har jeg opdaget, at der er et "Aktiver din bruger" link på min profilside. Dette har jeg så trykket.
Nu forstår jeg hvorfor jeg ikke var blevet bedt om at aktivere min konto. Jeg havde for et stykke tid siden, bedt computeren logge ind på Newz automatisk, og det medførte åbenbart, at den kom uden om registreringsprocessen.
Da jeg slog automatisk 'indlogning' fra, og loggede ind igen, ville den have jeg aktiverede kontoen :)
Da jeg slog automatisk 'indlogning' fra, og loggede ind igen, ville den have jeg aktiverede kontoen :)
#36:
Nu kræver det så at en potentiel hacker har adgang til databasen med disse md5 hashes..
#39:
Der findes rainbow tabeller specifikt designet til at bryde blandt andet md5 hashes, hvormed det kan gøres på få minutter.
Lidt information kan blandt andet findes her..
Nu kræver det så at en potentiel hacker har adgang til databasen med disse md5 hashes..
#39:
Der findes rainbow tabeller specifikt designet til at bryde blandt andet md5 hashes, hvormed det kan gøres på få minutter.
Lidt information kan blandt andet findes her..
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund