Как стать автором
Обновить

Комментарии 30

Отлично, постаюсь быть :)
Будет чем заняться в субботу
Отлично, спасибо за приглашение. Вот только беда: зачем же пароли участников присылать (и, соответственно, хранить) в открытом виде в письме с подтверждением?
Или организаторы быстренько исправились, или я просто не обнаружил пароль в своем письме.
Всего пришло 2 письма. Второе от noreplay, вот в нем и логин с паролем.
Из открытого пароля в письме вовсе не следует, что он и хранится открытым.
Если злоумышленник может читать вашу почту, то отсутствие пароля в письме ничем не спасет, ссылка на сброс пароля придет в открытом виде.
Если для безопасности улучшений нет, то зачем ограничивать удобство?
Письмо с подтверждением приходит через несколько часов, откуда ж пароль берется тогда? А по открытости пароля в почте беда в том, что в случае использования этого же пароля на других сайтах (или же пароли разные, но паттерн формирования легко увидеть) злоумышленник получает доступ к другим ресурсам, если сможет прочитать данное письмо. (например, перехватит сессию при проверке почты или как-то еще)
Текст письма готовится, отправляется почтовому демону, пароль солится, сохраняется в базу. Очередь и задержки на стороне почтового демона. Я так вижу ситуацию.
Если вы используете одинаковые (почти одинаковые) пароли на разных сайтах, то сами устраиваете брешь.
Если злоумышленник может перехватить сессию и смотреть письма, ничто не мешает ему восстановить пароли на других сайтах.
Так что еще раз повторюсь, что безопаснее не становится, но удобство уменьшается.
Текст письма готовится, отправляется почтовому демону, пароль солится, сохраняется в базу. Очередь и задержки на стороне почтового демона. Я так вижу ситуацию

Хочется верить, что это действительно так. Но исходя из комментариев ниже (оповещение о смене логина и пароля для доступа к сети с чужими учетными данными), возникают сомнения.

Если вы используете одинаковые (почти одинаковые) пароли на разных сайтах, то сами устраиваете брешь.

Тут абсолютно с вами согласен. К сожалению, многие пользователи продолжают использовать похожие пароли и хорошо бы позаботится и о них.

Если злоумышленник может перехватить сессию и смотреть письма, ничто не мешает ему восстановить пароли на других сайтах.

Согласен, но здесь еще один момент: восстановить пароль можно, но в данном случае получится узнать существующий пароль и пользоваться им незаметно для пользователя.
Напомнило мне такой ответ от некого «технического директора крайне известного в рунете проекта»:
«Практика одна — учитывать браузер для каждой конкретной сессии. Не позволять разных браузеров, разных операционок, хорошо бы еще и версии сверять. Мы вообще все по-фашистски делаем — браузер обновился — тебя разлогинило.»
Все это иллюзия защиты, но создаёт крайнее неудобство пользователям (даже сами признаются, что «по-фашистски делаем»).
Этот метод не добавляет ничего, ничто не мешает злоумышленнику подставить не только куку, но и данные браузера, ОС один-в-один.
В примере «простого задания» не тот текст…
Very well done! Something weird happened to this text.

И третий шаг не нужен…

Что я делаю не так?
Я тоже не понял. Возможно, нам дали понять, что смысла начинать CTF нет, раз это «пример простого задания» :)
Да просто обрезался текст. Посмотрите на сайте CROC полный шифротекст.
Скорее всего, у вас парсер Хабра загнал кусок строки за край видимого поля. Попробуйте скопировать из кода страницы или сильно уменьшить масштаб страницы.
.txet siht ot deneppah driew gnihtemoS !enod llew yreV
========================================= TRATS TXET DEDOCNE ===========================================
«e.it sgeenllha Conw doin werswane tht ah»K8hLJ8h37D2ZUm«3e od cistht pue asle pedrdwaree btor deorn „I
=========================================== DNE TXET DEDOCNE ===========================================
Третий шаг у меня немного не такой получился как в ответах. Там после первых 2х шагов, строка между блоком «ENCODED TEXT STARTS/END» декодируется заменой местами каждых пары байт. Задание немножко легкое оказалось, но не менее интересно)
хе) у пробелы в исходнике остались… потому не до декодировалось)
Работает однако
Скрытый текст
echo $src | base64 --decode |rev |sed -n '3p' | sed -r 's/(.)(.)/\2\1/g'
Почему не нужен? Нужен, но как будто не этот. Потому что никаких Ciao не видно.
Тем временем кто-то эпично попутал все регистрации.
картинка


Учитывая, что с затертой частью пароля он был явно введен ручками, то получается очень не красиво. Всем советую пройти сделать сброс пароля.
+1

Логин: DmitryRemalov
Пароль: 23****

товарищ, поменяйте пароль, если увидите.

Наверное и мой кому-нибудь свалился
Парни, не пугайтесь. Это ваши пароли и ваши логины. Просто вы анонимусы. Извините, что не предупредили.
Я прошу прощения, но это не мой логин и не мой пароль. Мой работает и работает успешно.
Ваш логин и ваш пароль работают как и прежде для входа на сайт.

«Не вашими» учетными данным Вам следует воспользоваться для того, чтобы принять участие в самом мероприятии. Они станут активными 15.08 в 06.00 (мск).

Буквально несколько минут назад получил предельно ясные объяснения по телефону. :) Это никакая не ошибка и никто ничего не напутал.
Мне тоже отзвонились. Пришлось правда кирпичей нагенерить при фразе ."… это cnews по поводу хакерского турнира". А вообще спасибо за быстрые и внятные пояснения по телефону.
А можно нам, технарям, поподробнее объяснить, что значит «сейчас, за несколько дней до старта, невозможно добавить новые учетные данные»?

Каждая учетная запись требовала какой-то ручной работы со стороны организатора?
Это особенность процедуры регистрации менее, чем за 5 дней до турнира.
Яснее не стало. Но всё равно спасибо.
До старта еще 5 часов, а регистрация уже закрыта. Почему? Дайте регнуться-то!
Зарегистрируйтесь на Хабре , чтобы оставить комментарий