Сброс пароля пользователя Суперадминистратор

Необходима ли утилита MS_Password.exe?

Опрос закончился 02 дек 2012, 09:46

1. Да, утилита необходима.
12
63%
2. Нет, утилита нарушает безопасность работы с системой.
5
26%
3. Затрудняюсь ответить.
2
11%
 
Всего голосов : 19

Re: Сброс пароля пользователя Суперадминистратор

Сообщение ООО Роман » 23 дек 2012, 21:55

Кому это надо? Пароль в виде хеша хранится только в этом файле. Если злоумышленник получил доступ к этому файлу - значит есть доступ к компьютеру, а там проще новый пароль забить. Или поставить сниффер - логин/пароль передаются в открытом виде при подключении
Аватара пользователя
ООО Роман
 
Сообщения: 89
Зарегистрирован: 30 сен 2009, 17:14
Откуда: Луховицы

Re: Сброс пароля пользователя Суперадминистратор

Сообщение General4 » 23 дек 2012, 22:17

ООО Роман, был вопрос: можно ли расшифровать. Это не вам ответ. :) Я использовал просто вашу фразу как цитату. Ничего личного. ;)

А кому это надо? В основном защита от своих же. Свои могут стырить, кто замещает, например, но пароль не знает от БД PostgeSQL. Только имеет доступ к перезапуску сервера и т.д. Как есть фраза: "Знают двое, знают все.. со временем".

Мечта, если доберусь, хочу проверить как общается клиент Миража с сервером Миража при авторизации на предмет уязвимости и защиты. При сканировании портов, утилиты выдают "неизвестная программа" - это хорошо. :!:

ООО Роман писал(а):Или поставить сниффер - логин/пароль передаются в открытом виде при подключении

Если про PostgeSQL, то в нём можно включить SSL-туннель, SSH, Stunel. Промежуточный сниффер в таком случае ничего не увидит. :(

P.S. Всё что привожу выше, это ТОЛЬКО к размышлению, не дискуссия. Защита у Миража будет совершенствоваться только тогда, когда система Мираж завоюет большую часть рынка РФ или, когда выйдет на зарубежный рынок, вот тогда начнутся серьёзные взломы.

Пример. Есть SpGate, SpRecord, для прослушки телефонных линий. Так вот, анализируя эту программу я нашёл куда она в реестр записывает строчки пользователей и пароли. Да, код запаролен (просто уж очень), но пользователь нет. Удалил всю ветвь в реестре, и вуа-ля, при старте программа не запрашивает пароль админа, а запускается и делай что хочешь. Программа новая, но малоизвестная, поэтому и защита такая. Разработчики не учли, что надо защищать ветки реестра от удаления средствами Windows. Так вот к чему я, если о программе мало кто знает, защиту в основном делают слабую. Конечно же я направил им письмо с найденной уязвимостью. Но есть обходной путь: загрузиться с флешки и открыть реестр для редактирования оффлайновой системы, тогда уже ничего не поможет. В худшем случае сброс пароля windows через спец. программки. Ой, это я уже в ностальгию детства впал... :)

Вывод: Взломать можно много чего, главное не дать попасть некоторым частям головоломки злоумышленнику и постоянно улучшать защиту, а также, как вы правильно заметили, ООО Роман - менять пароли при подозрении. :)
Stemax: 6.4 - (Windows 7 Home x64 - 6 ГБ) - PostgreSQL 9.5.25 - 64-бит
Мираж Drive: 2.12 - (Windows 7 Pro x64 - 3 ГБ) - PostgreSQL 9.5.25 - 64-бит
Stemax Mobile: 1.6.4 - (Android 13 - 6 ГБ)
Аватара пользователя
General4
 
Сообщения: 670
Зарегистрирован: 18 янв 2012, 20:55
Откуда: Красноярск

Пред.

Вернуться в Архив

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 19

cron