個人積分:38分
文章編號:51952071
個人積分:270分
文章編號:51957483
個人積分:37287分
文章編號:51957675
個人積分:33分
文章編號:51960105
兩階段燈入會跳出要你打驗證碼的時機 設計的很詭異
似乎只有在 appleid.apple.com 登入, 或 在 iTunes 上購買/下載東西的時候才會跳出。
在非受信任的PC裝置下 登入 iCloud.com,
非受信任的Mac裝置下 登入 iColud (設定 > Internet 帳號)
非受信任的iDevice裝置下 登入 iCloud (設定 > iCloud)
非受信任的iDevice裝置下 登入 Find my iPhone (不過這種狀況本來就不該要我打驗證碼, 我手機都掉了, 還去哪裡收驗證碼...)
好像都不會要我輸入驗證碼?
那麼如果密碼被盜出後, 用台Mac 登入 iCloud, 再開iPhoto 不就看光 Photo Streaming 的東西了嗎?
登入iCloud.com 也可以把聯絡人資訊看光光。
兩階段登入光擋購買, 這個狀況確不擋, 會不會太詭異了!
個人積分:48分
文章編號:51963070
今天認證用Server可以處理全世界request.. 那代表他的計算能力驚人...
暴力破解並不是用本地端的PC去解任何東西.. 他只要持續發出request.. Server端會自動幫他驗證..
處理是在Apple 的Server..
另一種則是取得驗證密碼用的檔案 然後local端去嘗試.. 這也是不被允許的..
不管是哪一種.. 都是蘋果嚴重的錯誤..
還有 12個字的密碼根本不用這麼久.... 現在的計算能力也不需要花到40000年..
現在的金鑰長度都要2048 bit以上了....
加密解密不要想得這麼簡單.. 麻煩專業點再來幫蘋果辯解好嗎..
先搞清楚icloud是什麼再來說明會比較好.. 如果你看不懂它漏洞是什麼..
就不要亂說明了...
ulyssesric wrote:
不用腦補了。
App...(恕刪)
個人積分:2982分
文章編號:51963549
個人積分:38分
文章編號:51964494
moonmoon0728 wrote:
今天認證用Server可以處理全世界request.. 那代表他的計算能力驚人...
暴力破解並不是用本地端的PC去解任何東西.. 他只要持續發出request.. Server端會自動幫他驗證..
處理是在Apple 的Server.. ...(恕刪)
或許我會錯意但聽起來你是想說這個密碼是Apple伺服器端在算,而Apple伺服器計算能力很強所以很快就能算出密碼?
這類的暴力/字典攻擊法花時間的處理是在算密碼跟送出Request,而只會在本地端PC算,Apple 的 Server只負責驗證,不會幫攻擊者算密碼。除非攻擊者另外找到了可以遠端執行程式碼的漏洞之類的,但現在講的漏洞不是這樣的,只不過是不會限制嘗試次數。如果你說攻擊者可能有個 Botnet 在大量運算還比較能信服人...但我個人覺得只要是稍微懂一些東西的伺服器管理員對短時間內大量try同一帳號密碼的流量多多少少都會有些警報機制可以察覺。
蘋果Find My iPhone的漏洞絕對是蘋果的錯,責無旁貸,但目前浮現的種種資訊來判斷,我不認為這次的洩密事件完完全全是這個漏洞造成的。如果硬要把全部的錯怪在蘋果身上,未免有點矯枉過正。當然,很多人的態度只是想看好戲而已。
個人積分:212分
文章編號:51964829
個人積分:157分
文章編號:51965207
moonmoon0728 wrote:
你真的有做過資訊安全嗎?? 你知道驗證密碼用的檔案是不能被取得的嗎??
今天認證用Server可以處理全世界request.. 那代表他的計算能力驚人...
暴力破解並不是用本地端的PC去解任何東西.. 他只要持續發出request.. Server端會自動幫他驗證..
處理是在Apple 的Server..
另一種則是取得驗證密碼用的檔案 然後local端去嘗試.. 這也是不被允許的..
不管是哪一種.. 都是蘋果嚴重的錯誤..
還有 12個字的密碼根本不用這麼久.... 現在的計算能力也不需要花到40000年..
現在的金鑰長度都要2048 bit以上了....
加密解密不要想得這麼簡單.. 麻煩專業點再來幫蘋果辯解好嗎..
先搞清楚icloud是什麼再來說明會比較好.. 如果你看不懂它漏洞是什麼..
就不要亂說明了...
...(恕刪)
人家說的是iOS的備份檔
你說的是/etc/shadow
差很多......
扯到/etc/shadow,那iCloud的資料根本用倒的下載到駭客的電腦
不會只有這101位啦
個人積分:56分
文章編號:51965285
moonmoon0728 wrote:
你真的有做過資訊安全嗎?? 你知道驗證密碼用的檔案是不能被取得的嗎??
今天認證用Server可以處理全世界request.. 那代表他的計算能力驚人...
暴力破解並不是用本地端的PC去解任何東西.. 他只要持續發出request.. Server端會自動幫他驗證..
處理是在Apple 的Server..
呃..我可以很確定你沒做過資訊安全。
認証Server不會幫你反解密碼,他只要驗證你給他的東西對不對。一般來說密碼都是one-way function,要驗證的計算能力並不需要多強,這中間一定有什麼誤會XD
至於持續送request...這種server都會擋掉,真的是想太多了。
關閉廣告