Na blogu magistra Radka Hulána se objevil post o správci souborů Total Commander, ve kterém autor tomuto programu vytýká, že si hesla k FTP serverům ukládá do svého konfiguračního souboru v podobě, která je během zlomku vteřiny dešifrovatelná.
Milý Radku, ono to nijak jinak nejde!
Autentifikace uživatele při FTP přenosu funguje tak, že klient musí na server odeslat uživatelské jméno a heslo. Žádný hash, žádná challenge-reply, žádná SSL, prostě dva textové řetězce. Takto to ve FTP funguje vždycky. Pokud to funguje jinak, nejde o FTP.
Selským rozumem si z toho každý (skoro) vyvodí, že pokud se můj FTP klient umí připojit k serveru bez toho, abych zadával nějaké „master“ heslo (jehož pomocí by se teprve nějak dekódovalo FTP heslo), znamená to, že ono FTP heslo musí být nějak uloženo přímo v klientovi. Nikoliv nějaký jeho fingerprint nebo hash, jak píše Rado, nýbrž přímo ono heslo, zakódované 1:1, písmeno po písmenu! Hexadecimální sekvence, kterou se Rado ohání, tudíž není hash, jak on tvrdí, nýbrž přímo zakódované heslo, jehož jednoduchá enkrypce má pouze zabránit tomu, aby si ho každý mohl prohlédnout v Notepadu. Je úplně jedno, jak kvalitně je toto heslo zakódováno, protože pokud ho umí během zlomku sekundy při připojování bez něakého uživatelského vstupu rozkódovat váš klient, musí ho umět stejně rychle rozkódovat i hackerský prográmek.
Totéž platí o heslech ve všech FTP klientech, o heslech uložených ve vašem WWW browseru nebo o heslech ve vašem e-mailovém klientu (a v jakýchkoliv jiných aplikacích, kde se autentifikuje plaintextovým heslem). Pokud se ta hesla používají „automaticky“, bez nutnosti zadávat nějaké vaše centrální „master“ heslo, znamená to, že kdokoliv, kdo získá přístup na váš disk, může z vašich souborů rekonstruovat přesné znění všech těchto hesel. Nemusí na to být žádný velký hacker a už vůbec na to nepotřebuje nějaký velký výpočetní výkon!
Pokud používáme SFTP, SCP nebo cokoliv jiného, co běží skrz SSL, je situace samozřejmě jiná a můžeme se bavit o tom, jak je to potom bezpečné. Ovšem, to, na co Rado poukazuje jako na nedostatek Total Commanderu, je featura a jinak to z principu být nemůže. U Total Commanderu ani u žádného jiného FTP klienta! Je dobré si to uvědomit a vyvodit si z toho, jestli má dneska ještě smysl tento protokol pro socky používat.
Nemohu tak docela souhlasit co se tyka zabezpecni na lokalnim pocitaci. Proc nemit tato hesla (ktera lze snadno sniffnout pri prenosu, wtz) dobre zabezpecena lokalne? kuprikladu na notebooku, ze ktereho se pripojuji na mistni (lokalni) servery - pokud notebook ztratim, hesla muze nekdo zjistit (netusim jak jsou ve windows ulozena hesla pro WPA u WiFi) a pripadne sit+servery napadnout. takze dobre zabezpecena hesla na lokale maji vyznam i u FTP.
U Mac OS X je systemova klicenka, do ktere se tyto udeje ukladaji (pokud to aplikace podporuje, ale podporuje jich to vetsina) a hesla jsou chranena sifrou 3DES.
RH toho jeste nevi spoustu jen si mysli, ze co napise to je pravda. Jinak dekuji za hezky clanek o FTP :) Jeste jsem se chtel zeptat, to je normalni, ze pri cteni tvich clanku vidim na pozadi prozky??? Podle me to dela tem bili text na tom modrem pozadi fakt hustej efekt. :)))
[3] karel : RH samozrejme magistr neni tak maximalne lzimagistr :))
vice si pocti zde at se trosku pobavis.
http://search.seznam.cz/searchScreen?w=hul%C3%A1n+nen%C3%AD+magistr&mod=f
Idiotské články nestojí o reakci na mém super-mega-hyper navštěvovaném webu, takže jen krátký komentář.
FK je zjevně technolama, která nechápe, že i lokálně se dají hesla zabezpečit tak, aby byla dešifrovatelná pouze na pokyn uživatele (privátní klíč, heslo atd.), a přitom běžně nepřístupná.
Říká ti něco třeba AES, technolamo?
hmm,
rekneme spis, ze RH nevi co je to hash.
Na druhou stranu bych byl opatrny s tim, ze TC hesla *z principu* jinak ukladat nemuze - proc by nemohl?
Nicmene na to, ze hesla nejsou bezpecne ulozena explicitne upozornuje.
Takze RH by si mel precist manual k TC a proletet wikipedii :-)
MacOS . je to ten hypermoderni system (cti graficka nadstavba nad vykradenym Debianem) s absolutne minimalnim (me vzdelani tak male cislo jinak nez, ze se limitne blizi k nule) neumi napsat, podilem a predstavujicim skutecne know-how Applu, ktery se nyni pasoval do role vendora ekvivalentni divize v jinych firmach (personal audio hardware je me amaterske pojmenovani)
TC na FTP používám docela dost, ale nikdy by mě nenapadlo ukládat si v něm hesla...
[3] Tato okolnost zajímá na českém internetu hodně lidí. Není sporu o tom, že Radek Hulán je člověk velice inteligentní, ba, geniální. IQ 150.
Je ale opravdu Mgr., dle oficiálního papíru, jak tvrdí ve svém curriculum vitae, ptají se masy? Na tuto otázku není, bohužel, jednoznačná odpověď.
[3]
Samozřejmě, že R. Ulhán je magistr. Stalo se to takto:
http://weblog.plavacek.net/2006-08.html#1156449637
A protože RH umí, podle svého několikrát opakovaného tvrzení, anglicky ještě lépe, než česky, tak si uřčitě přečetl i tohle z nápovědy WC, nyní TC (text je pravděpodobně pořád stejný):
Password: Here you can enter the password for the site. Only enter the password here if your PC is completely secure! It's not a good idea to save the password on computers open to other people! Total Commander will ask you for the password when connecting (if the password isn't given here).
Noo, kamoš mi řikal že už na Internet nechodi, bo jsou tam sami blbosti a život je o něčem jinym, ale jak vidim tak měl pravdu. Do TC si heslo piše jen uplná ,ale úplná LAMA. Když tak si ho napíšu na klavesnici zespodu néé ?? Taky otevřená CD mechanika je dobrá. No samozřejmě že ne na papírek (to je pro ty blbý).
Dobrý večer ,
pánové a možná i nějaká dámo , co Vy na to se jednou na nějakého
p. R.H. pekně vykašlat a trvalo bojkotovat jeho weby . Vždyt na nich se jen dočteme jaký je King of PC . Ale myslím obecně , že si to jen někde vyčetl a ted o tom plácá . Proč proboha kritizuje TC vždyt je jeden z nejlepších a nejspolehlivějších filemanagerů ( + ješte Servant Salamander a Krudader pro Linux ) , ale to co psal , vidiím , že vůbec neví jakým způsobem se ukládají hesla apod. No prostě Lama a BFU .
btw. :) nečtete jeho blogy
AES, jasně... A to je problém rozšifrovat jakoukoliv známou symetrickou šifru, pokud mám klíč? TC prostě nenabízí master password, to je jediná jeho chyba a nutno podotknout, že počet jeho uživatelů je pořád několikanásobně větší než návštěvnost webu jedné egoistické lamy.
Ti, kteří potřebují bezpečnost už dávno používají úplně jiné nástroje. A svůj home mají na zašifrovaném loopbacku.
[28]
> Noo, kamoš mi řikal že už na Internet nechodi, bo jsou
> tam sami blbosti [snip].
Ale kdeže! Já musím říct, že na webu se dá nalézt leccos zajímavého. Tak třeba; už jste četl dějiny české literatury na Wikipedii? Moc pěkné, stačí proklikat linky a dostanete se až k dílům Havlíčka Borovského a nad jeho Perunem se opravdu zasmějete. A pokud chcete něco lehčího, nebo se jen pobavit, digg to jistí. A taky Slashdot.
jj je to tak ... Hulán zase plantá pátý přes devátý ... plete hrušky s jabkama (heslo který má sejvlý klient v kompu a pak to jak komunikuje se serverem)
za chvíli čekej vyhrožování, že pokud ten článek nesmažeš, tak že Radeček podá trestní oznámení :)) viz http://bylijsmezde.cz/radek-hulan-ma-made-for-adsense-web
Hulan ma trosku pravdu, ale zase prekrucuje. Vite proc nema rad komunisty? No protoze v rodine to uz zazil a je vychovan v tom jejich stylu. On je proste nasrany, že je spickovy jako byli ONI :-)
nevim kolik mu je let, typuju, tak kolem 50, ale jak sam pise.... ma rad lidi co jsou hezci (on sam ohava s bedarama na plesi), ma rad lidi chytre (on sam je jen nauceny text bez logiky, to umi i pavlovuv pes, viz chvastani se titulem a pak blaboleni o tom, ze mu titul na nic neni). jeho AjKju je mimoradne... smeji se :-) ja bez treninku mel IQ 140, s treninkem pulrocnim jej mam 171 :-D
p.s. je to vul, prase ne, to ma kopulacni organ, on jej sice ma, ale jak mi sdelila jedna neznama, tak jej ma ... receno mile... divny. nu coz, sulina nema magisterskeho.
chjo. ne že bych měl RH pro jeho názory rád nebo tak, ale tahle diskuze je opravdu o ho**ě. všichni si na radka zanadávejte a v rámci masturbace ukápněte trošku i do tohoto fóra. protože VY jste cool, kdežto radek je looser (sic).
vy se tu fakt bavíte o ničem - komentovat radkovo přirození a něco z toho vyvozovat je hluboce pod úrovní pivních slintů.
nu což, hlavně že jsme všichni "person of the year".
Tentokrát myslím v článku trochu převážilo rozhořčení nad autorem nad fakty a FF by zasloužil obdobný článek o své nekompetenci. Jestliže FTP protokol vyžaduje po klientovi zaslání hesla v otevřené podobě, opravdu z toho nelze s velkou slávou vyvodit, že se to heslo musí povalovat v otevřené podobě i někde na disku. Takže bych neskákal po kořisti tak bezhlavě.
And This Secure Site. drug addiction pharmacy. is your online pharmacy no prescription Save 65% Generic Now from free pain drug addiction relief medications drug addiction drug addiction drug addiction
<a href=http://ipoo.org/8k6z >drug addiction</a> [url=http://ipoo.org/8k6z]drug addiction[/url] http://ipoo.org/8k6z
Cods drug m358 pharmacy dubbed some of Amanda drug -- watson 349 online drug pharmacy drug prescription drug pharmacy drug prescription pharmacy pain Order Effexor/Venlafaxine
<a href=http://ipoo.org/6nyg >drug</a> [url=http://ipoo.org/6nyg]drug[/url] http://ipoo.org/6nyg
Meds available. how to affect pharmacy is the proven, all wal-mart drug plan wal-mart drug plan wal-mart drug plan wal-mart drug plan tests Total. insomnia. pharmacist. and save. Easy wal-mart drug plan daily specials. FedEx
<a href=http://ipoo.org/2ytr >wal-mart drug plan</a> [url=http://ipoo.org/2ytr]wal-mart drug plan[/url] http://ipoo.org/2ytr
Order Today. No consultation drug identification required, guaranteed fast delivery drug identification and drug identification quality. OT views: see lowest prices available. No consultation required, drug identification drug identification guaranteed
<a href=http://ipoo.org/7vdm >drug identification</a> [url=http://ipoo.org/7vdm]drug identification[/url] http://ipoo.org/7vdm
Přestože Radek Hulán je v podstatě politováníhodný člověk, musím konstatovat, že to, co ve svém článku tvrdí (tedy, že si TotalCommander ukládá do souboru hesla k FTP, která jsou poměrně lehce dešifrovatelná), je pravda (takhle to prostě je).
Naopak to, co říká (z mého hlediska) více respektovaný František Fuka (tedy to, že to jinak nejde), zase pravda není (jde to jinak - viz. některé příspěvky v diskuzi).
Navíc, přikláním se k názoru, že název tohoto článku je zcestný.
a proč si to píšeš na svůj web? bojíš se ho, nebo co?
jinak jsi debil, to že to jinak nejde neznamená, že se o tom nemůže mluvit ani psát. radši by sis měl milému radkovi hulánovi napsat na jeho web. ty jsi ještě horší než on. využíváš ho, k návštěvnosti tohoto webu a taky ke svojí popularitě milý františku
Vše je řečeno na www.fuxoft.cz
Přečteno 92 846×
Přečteno 84 662×
Přečteno 42 350×
Přečteno 40 420×
Přečteno 37 687×