Comments on: FUD: cuidado, o Google pode invadir seu blog!

By: Blog da Maysa

Blog da Maysa — Tue, 27 Nov 2007 12:40:12 +0000

Senha do Wordpress em perigo…

Google ajuda a descobrir senhas de blogs
Quinta-feira, 22 de novembro de 2007 - 11h36
Pesquisador de Cambridge descobriu que o buscador pode decodificar senhas do Wordpress.
Steven J. Murdoch, do departamento de segurança da universidade inglesa, publ…

By: Maysa

Maysa — Tue, 27 Nov 2007 12:32:27 +0000

Ótimo texto, Élcio. Vou editar a notícia que passei em meu blog.

Maysa

By: Wagner Elias

Wagner Elias — Mon, 26 Nov 2007 18:21:04 +0000

Boa tarde pessoal.

Na verdade isto não pode ser considerado uma vulnerabilidade, pois, é muito mais uma definição simples de arquitetura que uma falha.

O fato de os hashs gerados não possuir salt é uma fraquesa. Pois o hash pode ser identificado. Por exemplo usando uma Rainbow Table (http://en.wikipedia.org/wiki/Rainbow_table) um hash sem salt pode ser identificado sem computadores com alto processamento.

Concordo que o Google nesta história não tem nada ver mas, que existe uma fraquesa no sistema de autenticação existe. Ainda mais com esta falha (http://br-linux.org/linux/bugtraq-bug-do-wordpress-afeta-ate-mesmo-a-versao-corrente) o potencial aumenta muito.

By: ASPECTO.Net - Notícias » Google não ajuda a descobrir senhas de blogs

ASPECTO.Net - Notícias » Google não ajuda a descobrir senhas de blogs — Mon, 26 Nov 2007 15:53:22 +0000

[…] segurança noticiada, resolveu apurar e o resultado é muito diferente do divulgado. Convido-os a visitar o Blog Fecha Tag para ver o que ele escreveu (e também convido-os a acompanhar, pois há conteúdo de primeira qualidade). De qualquer forma, […]

By: Google não ajuda a descobrir senhas de blogs | Rafael Bernard Araújo

Google não ajuda a descobrir senhas de blogs | Rafael Bernard Araújo — Mon, 26 Nov 2007 15:50:58 +0000

By: De Tudo Um Pouco » Leigos, tremei!

De Tudo Um Pouco » Leigos, tremei! — Mon, 26 Nov 2007 15:37:44 +0000

[…] A Info volta-e-meia pisa na bola. Recentemente ela espalhou essa notícia que deve ter apavorado metade dos blogueiros amadores que usam WordPress, como esse que vos fala. Felizmente, Rafa, meu clone, amigo, consultor para assuntos informáticos e parceiro de projetos, me esclareceu na hora: a verdade dos fatos está aqui. […]

By: felipe tonello

felipe tonello — Mon, 26 Nov 2007 15:32:11 +0000

nao funciona tag html =(

By: felipe tonello

felipe tonello — Mon, 26 Nov 2007 15:31:35 +0000

Esse negocio de tentar hash igual é bobeira… como o Élcio provou, é um probabilidade entre 1/25616 = 2.938735877055718769×10-39

Quer dizer, algo inviável.. é mais fácil o cara usar um bruteforce para descobrir num 486 do que achar uma senha do gênero: 'f4p12Er'

By: Daniel Luz

Daniel Luz — Sat, 24 Nov 2007 00:20:07 +0000

Tudo bem, Murilo, foi só uma confusão. Estranhei você estar propondo isso, por isso que não parti já "acusando" você
E quanto ao ataque de dicionário, aí entra a questão do salting. O invasor precisaria de um tanto de sorte pra encontrar em alguma tabela ou no Google a senha com o mesmo salting que você usou. E se cada senha tiver um salt diferente, então, torna-se inviável até mesmo ele construir uma tabela para consulta para aplicar a todas as senhas ao mesmo tempo, ou sequer deduzir que duas pessoas, por terem o mesmo hash, têm a mesma senha.

By: Murilo

Murilo — Fri, 23 Nov 2007 22:35:27 +0000

Daniel, não fiz essa proposta não. Muito pelo contrário aliás, proponho que a Wordpress corrija isso =].
E boa observação Élcio, realmente o cara ia ter que ter uma "mega sorte" para achar um hash correspondente. Mas e se tiver muitas hashs de senhas expostas?
Pegar os hashs que ele encontrou pelo Google e procurar nos dicionários deles?
Isso seria muito fácil, não? Bom, talvez não achem. Talvez todos os hashs expostosque acharem pelo Google não tenham encontrado o valor mas, vai saber né?
Como eu disse. Wordpress é muito visada. É uma coisa grande. Muita gente iria querer fazer o que não presta.
Abraço.