Gå til innhold

Opera lanserer Unite

knut

Anbefalte innlegg

qualbeen

qualbeen

Skrevet
Skrevet
Er filoverføringen kryptert? går passord i klartekst?

 

Om du skrur på at du trenger passord for tilgang, vil du se at den URL'en du "kan linke til venner", inneholder passordet ditt på slutten, så de skal slippe å skrive inn dette. Så hvor sikre dataene dine er fra å bli kopiert, er vel så-som-så. Vi står dog skulder til skulder i vår skepsis til hvor sikkert det her kan være på andre måter :)

 

Jepp, innholdet er beskyttet via passord - og ikke kombinasjon av brukernavn/passord som er langt mer vanlig. Så det er bare å begynne å prøve seg frem med alle mulig ulike passord man kan generere på 6-8 tegn, så vil man nok treffe i mange tilfeller. Men at Unite tillatter passord oppgitt direkte i URL istedenfor at det må sendes inn via et POST-kall har ingen ting å si. Det er akkurat like lett å sette opp POST-kall mot nettsteder, som GET-kall.

 

(Også vil jeg jo anta at de har anti-bruteforce-mekanismer som forhindrer skissert fremgangsmåte for å komme seg inn i dine "private" mapper)

 

Men ja; det kunne vært interessant å fått høre mer om sikkerheten som ligger til grunn i Opera Unite. Har f.eks. alle Opera-ansatte administrator-tilgang og kan se alt, eller blir mitt innhold virkelig sperret for andre? Og finnes det cache av mine data noe sted, eller har jeg til en hver tid 100% kontroll over mine filer? Det er jo mange spørsmål som reiser seg, og jeg antar det til nå ikke finnes mye offentlig dokumentasjon på dette. Me det kommer sikkert etter hvert.

 

Uansett ingen tvil om at jeg liker idéen!

Så vil tiden vise hvorvidt rammeverket får fotfeste rundt om i de tusen hjem.

Lenke til kommentar

Videoannonse

Videoannonse
Annonse
Occi

Occi

Skrevet
Skrevet
Jeg mener, er det 100% direkte og er det kun sender/mottaker som er involvert? Eller må man "stole på Opera"?

Hvis UPnP fungerer er det direkte. Hvis ikke rutes det via en server hos Opera (men lagres ikke der).

 

Ok takk. Men hvordan kan jeg enkelt vite om UPnP fungerer? Og avhenger dette noe av mottaker eller har dette med min router/firewall og gjøre?

Lenke til kommentar
Ponnypetra

Ponnypetra

Skrevet
Skrevet

Supergenialt når man er på LAN eller Workshops, bare å slenge opp en midlertidig side med det du vil dele/vise frem, dagends plan, fremgang etc! Helt supert!

 

Og for dere som skrur av pc eller ikke har en server hejmme... Jeg har ikke rebootet på 3,5 månder... Linux :love:

Lenke til kommentar
OnetroM

OnetroM

Skrevet
Skrevet
Og for dere som skrur av pc eller ikke har en server hejmme... Jeg har ikke rebootet på 3,5 månder... Linux :love:

Ubuntu ber om restart rett som det er etter større oppdateringer, så Linux kan ta seg en bolle :p Det er forøvrig ikke spesielt vanskelig å sette auto-oppstart av Opera i Windows heller, så en restart der trenger ikke være spesielt ødeleggende for serverfunksjonaliteten.

Lenke til kommentar
Demantios

Demantios

Skrevet
Skrevet (endret)
Og for dere som skrur av pc eller ikke har en server hejmme... Jeg har ikke rebootet på 3,5 månder... Linux :love:

Ubuntu ber om restart rett som det er etter større oppdateringer, så Linux kan ta seg en bolle :p Det er forøvrig ikke spesielt vanskelig å sette auto-oppstart av Opera i Windows heller, så en restart der trenger ikke være spesielt ødeleggende for serverfunksjonaliteten.

Kun ved kerneloppdateringer, og det er ikke ofte ;)

edit: hver tredje måned

Endret av Demantios
Lenke til kommentar
Kahuna

Kahuna

Skrevet
Skrevet
Jeg mener, er det 100% direkte og er det kun sender/mottaker som er involvert? Eller må man "stole på Opera"?

Hvis UPnP fungerer er det direkte. Hvis ikke rutes det via en server hos Opera (men lagres ikke der).

 

Ok takk. Men hvordan kan jeg enkelt vite om UPnP fungerer? Og avhenger dette noe av mottaker eller har dette med min router/firewall og gjøre?

Det har med din router/firewall å gjøre. Søk etter 'test upnp' på google, er en del relevante verktøy/tester der.

Lenke til kommentar
GCardinal

GCardinal

Skrevet
Skrevet
...

 

Det vi har sett til nå er jo tross alt veeeldig enkle "http templates". Potensialet er enormt, imho.

 

...

 

Greit nok med community. Hvordan blir det med strømbruket da? La maskin stå bare for at noen kanskje får lyst til å sjekke nettsiden?..

 

Som ikke det er nok med hjemme FTP'er og torrents bokser som står på 24x7.

Lenke til kommentar
Sokkalf™

Sokkalf™

Skrevet
Skrevet
Og for dere som skrur av pc eller ikke har en server hejmme... Jeg har ikke rebootet på 3,5 månder... Linux :love:

Ubuntu ber om restart rett som det er etter større oppdateringer, så Linux kan ta seg en bolle :p Det er forøvrig ikke spesielt vanskelig å sette auto-oppstart av Opera i Windows heller, så en restart der trenger ikke være spesielt ødeleggende for serverfunksjonaliteten.

Kun ved kerneloppdateringer, og det er ikke ofte ;)

edit: hver tredje måned

 

Ksplice

Kexec

 

;)

Lenke til kommentar
tendilenz

tendilenz

Skrevet
Skrevet
Greit nok med community. Hvordan blir det med strømbruket da? La maskin stå bare for at noen kanskje får lyst til å sjekke nettsiden?..

 

Som ikke det er nok med hjemme FTP'er og torrents bokser som står på 24x7.

Du syns altså at Opera og andre skal utvikle tjenester som gjør at vi slår av pc'n oftere. En original tanke som neppe slår an.

 

For strømforbruket er det vel bedre med en ad-hoc server som er oppe når den trengs fremfor en web-server som durer i vei hele tiden?

Lenke til kommentar
Occi

Occi

Skrevet
Skrevet
Det har med din router/firewall å gjøre. Søk etter 'test upnp' på google, er en del relevante verktøy/tester der.

 

Takk for kort og relevant svar :) I følge så fikk jeg PASSED på alle. Men da lurer jeg på, fungerer Opera da som en DNS/proxy? Eller blir det feil å si?

 

Og jeg hørte også snakk om at med UPnP kan man endre urlen. Trenger man et annet domene da, eller holder det med IP? Litt mer info rundt dette hadde vært kjekt :) Altså erstatte http://x.x.opearunite.com med f. eks http://x.x.IP.com el.l.

Lenke til kommentar
Pricks

Pricks

Skrevet
Skrevet
Jepp, innholdet er beskyttet via passord - og ikke kombinasjon av brukernavn/passord som er langt mer vanlig. Så det er bare å begynne å prøve seg frem med alle mulig ulike passord man kan generere på 6-8 tegn, så vil man nok treffe i mange tilfeller.

:lol:

 

Jada, særlig det.

Lenke til kommentar
CoolBeer

CoolBeer

Skrevet
Skrevet

Totalt off topic men...

Nå er ikke bruteforce det man ville brukt for å hacke en slik løsning, ville nok heller bli brukt ordbok, proxy og hit keywords, eneste man ville merket var at en hel haug med proxyer koblet til og prøvde seg på passordet.

Der har vi noe jeg ikke har funnet i Unite enda, logging til text fil. Får håpe på en implementasjon av det etterhvert :)

Lenke til kommentar
qualbeen

qualbeen

Skrevet
Skrevet
Med en latency på 30 ms tar det bare to år i gjennomsnitt å brute force et passord på seks tegn. Øker du til åtte tegn tar det tre tusen år.

Blir veldig offtopic å snakke om disse passordene, men det jeg prøvde å hinte til er at Unite foreslår et 8-tegn langt passord som default. Jeg kan se for meg at mange ikke gidder å finne på noe eget her - selv har jeg ikke endret passord på musikktjenesten iallefall.

 

Så istedenfor å prøve alle mulige komboer av a-z1-9 med lengde åtte tegn, bør man heller prøve å se om det er noe mønster i passordgeneratoren til Unite. Ikke at jeg kommer til å sette meg ned å studere det, men rent teoretisk sett så kan man med et stort nok datagrunnlag se mønstre.

 

Men igjen; Om noen skulle klare å hacke seg inn på én unite side, så er det ett av de minst kritiske systemene man kan få tilgang til.

 

---

 

Hvis noen her virkelig har lyst til å utføre bruteforce-angrep mot diverse sites, så har jeg et lite tips: Kjøp tilgang til et større botnett, så kan du få utført temmelig mange sjekker "samtidig". Bare pass på så du ikke utøver DoS-angrep i samme slengen.. Nå aner ikke jeg hva som er normalt antall maskiner i et medium bot-nett, men med f.eks. en mill maskiner får man synket tidsperspektivet betraktelig..

 

Til sist: Det aller mest effektive er nok en omvendt bruteforce; gå gjennom alle brukerene og logg på med "password". Tar nok ikke mange timene før man har tilgang til en god del "beskyttede" områder. :p

Lenke til kommentar
ATWindsor

ATWindsor

Skrevet
Skrevet
Med en latency på 30 ms tar det bare to år i gjennomsnitt å brute force et passord på seks tegn. Øker du til åtte tegn tar det tre tusen år.

Blir veldig offtopic å snakke om disse passordene, men det jeg prøvde å hinte til er at Unite foreslår et 8-tegn langt passord som default. Jeg kan se for meg at mange ikke gidder å finne på noe eget her - selv har jeg ikke endret passord på musikktjenesten iallefall.

 

Så istedenfor å prøve alle mulige komboer av a-z1-9 med lengde åtte tegn, bør man heller prøve å se om det er noe mønster i passordgeneratoren til Unite. Ikke at jeg kommer til å sette meg ned å studere det, men rent teoretisk sett så kan man med et stort nok datagrunnlag se mønstre.

 

Men igjen; Om noen skulle klare å hacke seg inn på én unite side, så er det ett av de minst kritiske systemene man kan få tilgang til.

 

---

 

Hvis noen her virkelig har lyst til å utføre bruteforce-angrep mot diverse sites, så har jeg et lite tips: Kjøp tilgang til et større botnett, så kan du få utført temmelig mange sjekker "samtidig". Bare pass på så du ikke utøver DoS-angrep i samme slengen.. Nå aner ikke jeg hva som er normalt antall maskiner i et medium bot-nett, men med f.eks. en mill maskiner får man synket tidsperspektivet betraktelig..

 

Til sist: Det aller mest effektive er nok en omvendt bruteforce; gå gjennom alle brukerene og logg på med "password". Tar nok ikke mange timene før man har tilgang til en god del "beskyttede" områder. :p

 

Hvorfor skulle de lage passord etter et bestemt mønster? Finnes jo plenty av måter å lage passord på som er random (ihvertfall random i praksis). Å drive å herje med et botnet med en million maksin for å få tilgang til en uinteressant unite-side er ihvertfall bortkastede penger. Men for all del, sikekrt endel som lager seg et usikkert passord, men det er ikke noe spesielt usikkert med passord-pålogging i seg selv.

 

AtW

Lenke til kommentar
Occi

Occi

Skrevet
Skrevet
kjeksomanen:

Skriv opera:config i addresselinja.

 

Der står det "port".

Dette fungerer altså for meg:

http://localhost:8840/_root/content/

 

 

Jeg kan altså bruke en hvilken som helst DNS-tjeneste (eller direkte IP) for å koble til nettleseren min og er ikke avhengig av Opera. (Så lenge jeg ikke trenger Operas proxy)

 

 

Ah strevde litt med å få det til istarten, siden du nevnte localhost. Men bare for å oppklare for andre også; det blir slik om en annen skal koble til deg:

 

http://*DINIP*:*PORT*/_root/content/

f. eks

http://11.111.11.111:8840/_root/content

 

Hvor 8840 er standard port.

 

Ellers vil jeg bare nevne at jeg hadde også litt problemer med at Sygate Personal Firewall blokkerte Port Scans, som tydeligvis var viktig for Opera Unite å fungere. Var snakk om port scans fra 192.168.0.1 (altså lokalt, så er ingenting "farlig" selv om firewallen påstår det). Kan være kjekt å sjekke dette om du har feil :)

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste
×
×
  • Opprett ny...