Fork Clansuite on GitHub

Internet Relay Chat - Logs for #koch
Collected by k-logbot on chat.freenode.net

IRC Log for Dienstag, 06. Mai 2014

  1. [12:08:05] <BlueBox> oi
  2. [12:08:07] <BlueBox> jakoch ...
  3. [13:09:19] <BlueBox> hast du dann vielleicht noch eine antwort auf meine Frage der vergangenen Tage: Warum kann es mir mit HTTP_AUTH passieren, dass der Shop spontan down ist, wie du erwähnt hast?
  4. [17:04:01] <jakoch> hey
  5. [17:04:49] <BlueBox> hi
  6. [17:04:58] <BlueBox> hast du noch eine Antwort parat..?
  7. [17:05:16] <jakoch> f�r http auth? klaro..
  8. [17:06:13] <jakoch> http auth is einfach zu schnell, d.h bei schlechter server config und mit dem entsprechenden tool kannste entweder den service pl�tten oder reinkommen
  9. [17:19:46] <BlueBox> ok, das ist doch mal ein argument... d.h. du würdest auf langsamere Auth via POST/GET/SSH setzen..?
  10. [17:20:18] <jakoch> also wie du mit ssh auf nen shop verbindest, wei� ich gerade nich
  11. [17:20:36] <jakoch> aber HTTP AUTH in HTTPS AUTH zu verwandeln ist schonmal ein anfang
  12. [17:20:45] <jakoch> bringt allerdings ein zertifikate problem mit sich
  13. [17:20:52] <BlueBox> weil..?
  14. [17:21:23] <jakoch> na mit nem self-gesignten zert kommst nich weit, wenns nen trusted shop oder sowas werden soll
  15. [17:21:48] <BlueBox> schon klar, aber mit nem richtigen Zertifikat schon...
  16. [17:22:00] <jakoch> jo..
  17. [17:22:38] <jakoch> HTTPS hat auch den vorteil das die PW nicht mehr bei jedem request als cleantext �bertragen werden
  18. [17:24:33] <jakoch> ja, generell w�rde ich eher ein langsames auth verfahren w�hlen, also keine schnellen hash-verfahren nehmen sondern absichtlich langsame
  19. [17:25:01] <jakoch> da macht der angreifer einfach weniger durchsatz, beim brute-forcen
  20. [17:25:40] <jakoch> die entsprechenden tools findeste ja inzwischen an jeder ecke.. fiddlr2, burp, wasp, wei� der geier was es da noch alles gibt
  21. [17:26:30] <jakoch> ich w�rde auch immer ein session basiertes verfahren nehmen, weil nicht bei jedem request das pw ausgetauscht werden muss
  22. [17:30:31] <jakoch> naja, gibt tausend wege f�r mehr sicherheit zu sorgen, als sich auf HTTP AUTH zu verlassen
  23. [17:31:13] <jakoch> hydra.. https://www.thc.org/thc-hydra/
  24. [17:31:58] <jakoch> https://www.thc.org/thc-hydra/network_password_cracker_comparison.html
  25. [17:39:04] <jakoch> wenn zeit hast, dann bau das hier ein: http://www.php.net/manual/en/function.hash-pbkdf2.php
  26. [17:44:56] * D (stats@stats.quakenet.org) Quit (*.net *.split)
  27. [17:45:20] <jakoch> qnet is auch nich mehr, was es fr�her mal war
  28. [17:45:21] * D (stats@stats.quakenet.org) has joined #clansuite
  29. [17:46:34] <jakoch> sk 14, dkh 13
  30. [17:47:27] <jakoch> k�nnte sinn machen ins freenode zu verlagern
  31. [17:50:24] <jakoch> hmm.. was die leute alles anfragen.. techaudit f�r nen activerecord layer..
  32. [18:20:28] <BlueBox> bin erstmal raus...
  33. [18:20:30] <BlueBox> bis später
  34. [18:20:30] <BlueBox> cu
  35. [18:21:08] * BlueBox is now known as BlueBox|off
  36. [18:21:55] <jakoch> ok cu

Links of Dienstag, 06. Mai 2014

1) http://www.php.net/manual/en/function.hash-pbkdf2.php
2) https://www.thc.org/thc-hydra/network_password_cracker_comparison.html
3) https://www.thc.org/thc-hydra/

These logs were automatically created by k-logbot on chat.freenode.net using the Clansuite IRC LogBot. Find the project at Github.