Item:
Comentarios
|
|
Fàcil de utilizar y muy util.
+1 |
|
Aitor
26/09/09
18:13h |
usuario registrado | |
Oe! Ja teniu 1 FAN! |
|
Miquel
28/09/09
11:13h |
usuario registrado | |
Els norbt no caduquen? Per quantes entrades teniu? Que passarà quan s'acabin? Com has fet per tenir el norbt incrustat al vostre blog?
Soc l'únic que ho pronuncia /norbert/?
La idea em sembla genial. Em vaig començar a preparar una entrada per tenir a la signatura del mail, però resulta que només havia de contenir l'adreça mail. Bé, si ja has rebut un mail meu no aporta gaire més, així que estic esperant a tenir més informació per afegir.
Miquel |
|
Francesc
28/09/09
14:41h |
usuario registrado | |
1) No els norbt no caduquen de moment. Es poden esborrar. Si jo envio quelcom que s'ha de llegir sols un cop, incloc el password dins del text encriptat i li demana al lector q si us plau fagi click a admin i l'esborri.
2)Fes càlculs, de moment els norbt tenen IDs de 6 lletres i números (sense discriminar entre majúscules i minúscules) eliminant els números i lletres que provoquen confusió (0,1,8,O,B...) en total crec que son 28 caràcters. Si necessitem mes afegim una lletra... correu a fer norbt de 6 caràcters que s'acaben :P.
3)Incrustrar norbt. Al blog... resposta oficial :
blog plugin
Extra oficial: norbt.com/gx6972
4) No se com ho pronuncia la gent, hem fet un esforç per posar no robot al costat del logo norbt i al títol per donar un hint al personal (i també a en google).
Signatura:
Jeje, jo tenic el email i algunes personal en un de molt fácil (protecció per spamers) i dins d'aquest (via link) tinc un altre més complicat per el telefon i adreça.
|
|
|
|
Francesc: has pensat que la mateixa comprovació que fas tu quan poses la clau pot mirar-se d'utilitzar per crackejar la clau per força bruta? |
|
Francesc
30/09/09
00:22h |
usuario registrado | |
Agusti: molt bona pregunta.
Suposo que et refereixes a la comprovació dinàmica de la clau i la possibilitat de fer un atac de força bruta de la mateixa forma que nosaltres comprovem la clau de forma dinàmica.
T'explico com funciona la comprovació dinàmica de la clau.
(Hi haura un post al blog que ho explicarà un dia d'aquests.)
Al fer el load de la pàgina el browser té:
salt,
module(SHA1(clau, salt), 64) (a partir d'ara número màgic)
Amb el número màgic (valor entre 0..63) saps si es possible que la resposta sigui correcte però no et serveix per fer un atac de força bruta.
Quan estàs escrivint la clau calculem el número màgic. Si el número màgic és correcte, aleshores preguntem al servidor per comprovar la clau.
Per fer un atac de força bruta, si la clau no és trivial, hauràs de preguntar al servidor sovint, això relentitzarà força el teu atac.
El servidor veurà que la teva màquina fa masses preguntes i que el norbt en questiò està essent atacat.
Espero q això sigui el que em preguntaves.
Hi ha altres detalls de seguretat a la pàgina de seguretat del blog que varem afegir recentment.
|
|
|
|
Era això exactament :-)
Força enguinyos :-) Entenc que la majoria de claus faràn una sola comprovació contra el server.
Així, que a la n comprovació (podria ser la 4 o 5) de claus diferents, d'una mateixa IP, en un espai de temps petit podria "bloquejar" temporalment la pregunta, o la IP.
|
|
|
|
Francesc [proposta]:
El crear el norbt posar opcionalment un email per què així:
1) T'enviï la URL del norbt que acabes de crear.
2) Poder recuperar tots el norbts que en algun moment has creat.
:)
|
|
|
|
Per cert el norbt, tb es pot fer servir com a joc de preguntes/respostes, on el secret es la url de la següent pregunta. :-) |
|
Francesc
01/10/09
10:51h |
usuario registrado | |
Hola, en Miquel preguntava quants norbt podem crear... https://norbt.com/EXX32H |
|
Francesc
01/10/09
11:07h |
usuario registrado | |
Agustí: si joc de respostes, a més si afegeixes que tens un QRCode per cada norbt, pots fer un joc de pistes (treasure hunt) una mica geek.
Tb per evitar spoilers (com el comentari anterior).
|
|
Francesc
01/10/09
11:21h |
usuario registrado | |
Norbt embeded. El norbt plugin va millorant, tot i que encara està en beta, es cada cop més fàcil.
Posant un js com el de google analytics abans del body i una mica de css. Pots afegir un norbt en qualsevol lloc de la plana amb una línea de html.
A més hi han algunes functionalitats ja implementades com:
Permetre full HTML quan poses un norbt a la teva plana.
Permetre que el usuari generi el seu propi formulari HTML pel norbt. (normalment es genera automàticament dins un div)
|
|
|
|
No trobo la clau del norbt de Bola de Drac (H3Z6KP) que es proposa a la noticia, però en canvi he trobat aquestes imatges, crec que censurades a TV3 ( https://norbt.com/UPJH35 ) |
|
Miquel
01/10/09
16:39h |
usuario registrado | |
Francesc, a veure si ho he entés bé (que jo no vaig fer criptografia):
Quan demanes un Norbt, el servidor et dona:
- La pregunta
- El salt
- El número màgic
El client, amb la resposta, primer avalua el número màgic.
Si coincideix aleshores xifra la resposta i li envia al servidor.
Si el servidor veu que la resposta xifrada que li envies és igual a la que té guardada, aleshores t'envia el text secret xifrat i la resta d'informació (salt2 i altres paràmetres de xifrat).
El client desxifra el text.
En tot aquest procés, el servidor en cap moment té la informació necessària per desxifrar el text secret o la resposta que també guarda xifrada. Suposo que la funció de salt1 i salt2 és precissament assegurar això, no?
Miquel |
|
Francesc
01/10/09
21:25h |
usuario registrado | |
Miquel: Crec que ho has entès bé.
A més, sempre s'utilitza https. |
|
|
|
Francesc,
Felicitats per haver implementat una molt bona idea!. Ara tinc una altra pregunta per a tu de seguretat:
Dius que el sistema comprova si des d´una mateixa IP s´està intentant una brute force a un Norbert (no hi ha manera que em surti cap altre nom :) ), però que passa si és un atac distribuït des de vàries IP´s? ara potser no es donarà el cas, però si això s´extèn és possible que passi. Ja ho controles això?.
Per cert, molt bona idea lo de limitar el tamany de la url, això ajudarà a que ho puguin fer servir directamente als tweets (En qualsevol cas podrien fer servir un tinyurl però millor directe).
Els Norberts aniràn de fàbula per guardar passwords :) |
|
|
|
Continuant amb el tema anterior:
"Amb el número màgic (valor entre 0..63) saps si es possible que la resposta sigui correcte però no et serveix per fer un atac de força bruta."
Llavors només necessiten 64 intents amb 64 ordinadors/IP´s diferents per poder obtenir el missatge xifrat del servidor i a partir d´aquí fer força bruta per obrir-lo.
Seria possible incrementar aquest rang a 2^16 per exemple?
/Jordi
PD: Els atacs distribuit són ben difícils de detectar doncs no saps si és que molta gent vol veure el missatge (publicat a un fòrum, per exemple) o és que algú vol obtenir el missatge xifrat de forma fraudulenta. |
|
Miquel
02/11/09
19:35h |
usuario registrado | |
Jordi,
jo entenc que un atacant que vol aplicar força bruta, primer s'aprofitarà que pot conèixer el número màgic per fer força bruta en local. Quan trobi una possible resposta que compleix el número màgic, aleshores haurà de demanar al servidor el text secret. Si la petició al servidor falla (molt probable en cas d'un password complicat), seguirà buscant respostes que compleixin el número màgic i quan trobi una altra tornarà a provar-la al servidor.
Aquesta és la diferència entre un atac per força bruta i una entrada molt popular: la força bruta generarà moltes peticions errònies al servidor, mentre que per les entrades molt visitades les respostes errònies pràcticament no sortiran mai del client perquè no compliran el número màgic.
Està clar, però, que Francesc té la darrera paraula ;-)
Miquel
|
|
Francesc
10/11/09
16:59h |
usuario registrado | |
Es exactament com ho explica el Miquel.
Un comentari sobre els attacs per forca bruta. De moment, no ens preocupem de si algú intenta accedir a un norbt amb massa insistència (masses peticions fallides). Mirant els awstats (no utilitzem google analytics) diria que ningú ho ha intentat de moment ;).
En un futur segurament, en el moment que comprovem que hi han massa accessos erronis (independent de IP) a un norbt, el marcarem com que està sota atac i augmentarem el temps de resposta i fins i tot potser el bloquejarem temporalment i avisarem al propietari si tenim el seu email.
Inicialment teníem una funcionalitat que en el cas de petició erronea responia un text que l'usuari podia definir, o un text aleatori d'error per despista als robots, potser recuperarem aquesta funcionalitat algun dia. |
|
|
|
A veure si ho he entès bé: el número màgic de 0..63 només serveix per pre-validar el password al client i no fer peticion innecessàries al servidor amb la resposta invàlida, però un cop el número màgic coincideix llavors s´envia la resposta al servidor i aquest si coincideix amb el que té guardat llavors retorna el norbt encriptat oi?.
Ok... llavors tot correcte. Un altre cop felicitats per una molt bona idea ben implementada. |
|
|
