Corleone
Master Plaster
Vaya nivel de adiction!!!! 
- Estado
Findor
Miembro habitual
Explicación técnica de lo que ha pasado.
Hay dos maneras de logarse al foro automáticamente. Una es haciendo que el navegador recuerde tu contraseña (caso KLopek, que le rellena automáticamente pero pasa siempre por el login) y otra es marcando la check de "conectarse automáticamente". En el primer caso, el password se guarda en la máquina del usuario y si se te cambia el pass, no puedes entrar. En el segundo, no se guarda el pass, sino una cookie que dice que ese usario en ese ordenador está identificado. Esa cookie no puede usarse desde otro ordenador para autentificarse, es personal, intransferible y NO guarda información comprometida, sólo dice "este usuario está logado".
En el segundo caso, si alguien borra mi pass en la base de datos, yo puedo seguir entrando sin problemas (igual que os pasaba a muchos, aunque no os diéseis cuenta), porque en mi disco está la cookie que dice que puedo entrar sin pasar por el login, porque ya me había logado antes.
Como el ataque lo que ha hecho ha sido ponernos a todos un password igual, el atacante puede conectarse con un usuario, decir "logueame automáticamente" y en caso de que el usuario de verdad se cambie el password, no pasa nada, porque ese tipo ya tiene en su ordenador la cookie que dice "soy digno".
Solución: TOL MUNDO PA LA PUTA CALLE Y A VOLVER A PONER EL PASSWORD, así uno se asegura de que el que se logue, es el de verdad...
Hay dos maneras de logarse al foro automáticamente. Una es haciendo que el navegador recuerde tu contraseña (caso KLopek, que le rellena automáticamente pero pasa siempre por el login) y otra es marcando la check de "conectarse automáticamente". En el primer caso, el password se guarda en la máquina del usuario y si se te cambia el pass, no puedes entrar. En el segundo, no se guarda el pass, sino una cookie que dice que ese usario en ese ordenador está identificado. Esa cookie no puede usarse desde otro ordenador para autentificarse, es personal, intransferible y NO guarda información comprometida, sólo dice "este usuario está logado".
En el segundo caso, si alguien borra mi pass en la base de datos, yo puedo seguir entrando sin problemas (igual que os pasaba a muchos, aunque no os diéseis cuenta), porque en mi disco está la cookie que dice que puedo entrar sin pasar por el login, porque ya me había logado antes.
Como el ataque lo que ha hecho ha sido ponernos a todos un password igual, el atacante puede conectarse con un usuario, decir "logueame automáticamente" y en caso de que el usuario de verdad se cambie el password, no pasa nada, porque ese tipo ya tiene en su ordenador la cookie que dice "soy digno".
Solución: TOL MUNDO PA LA PUTA CALLE Y A VOLVER A PONER EL PASSWORD, así uno se asegura de que el que se logue, es el de verdad...
Findor
Miembro habitual
Ah, y por cierto, yo personalmente no he hecho nada, solo estoy coordinando y dando ideas con la persona que lleva el servidor.
Christian Troy
Miembro habitual
- Mensajes
- 36.549
- Reacciones
- 18.839
Yo opto por reiniciarlo todo y migrar.
Elliott
Desconozco
Yo opto por migrar y reiniciarlo todo.
Y luego migrar otra vez.
Y luego migrar otra vez.
Yo voy a ser sincero, cuando me paso, pensé que era sólo a mi, que alguién me había robado la identidad, luego vi que a Duss y a Troy también les había pasado y me quedé un poco más tranquilo.
Y claro en el primero que pensé como usurpador de mi identidad fue en VMM, que se que está muy celoso de mi avatar.
Y claro en el primero que pensé como usurpador de mi identidad fue en VMM, que se que está muy celoso de mi avatar.
Flainet
Miembro habitual
ya me he cambiado la contraseña. Me acabo de dar cuenta que no estaba loginado al ver que no aparecian los subforos de sexo, y pensaba que me habian quitado el acceso, y al ir al general me he encontrado con todo el percal.
Sobre la crisis, cita: "El hombre es un lobo para el hombre"
Manu y cia, las estadísticas van bien??
Hay 203 Usuarios identificados :: 54 registrados, 16 ocultos y 133 invitados
La mayor cantidad de usuarios identificados fue 308 el Vie Abr 24, 2009 20:33
Me estoy perdiendo algo? acabo de llegar y no se si estoy viendo bien?¿? q coño habeis hecho esta tarde para que salgan más de 300?¿? !!!!
Uy, y cuanto invitado no?¿'
Hay 203 Usuarios identificados :: 54 registrados, 16 ocultos y 133 invitados
La mayor cantidad de usuarios identificados fue 308 el Vie Abr 24, 2009 20:33
Me estoy perdiendo algo? acabo de llegar y no se si estoy viendo bien?¿? q coño habeis hecho esta tarde para que salgan más de 300?¿? !!!!
Uy, y cuanto invitado no?¿'
v_w_us
Miembro habitual
- Mensajes
- 1.007
- Reacciones
- 213
Yo debo ser raro pues nunca hago que el ordenador recuerde ni contraseñas ni haga uso de cookies para entrar, siempre pongo el password a mano.
Ahora he podido entrar con mi password de siempre. También debo actualizar la contraseña?
Es que primero al ver el mensaje me he asustado pensando que igual habían robado las contraseñas. Aunque imagino que el sistema las almacena cifradas, ya se sabe que con un ataque de fuerza bruta se pueden recuperar.
Luego por la explicación que he visto, parece que el problema es que han cambiando las contraseñas de los usuarios. Pero la mía no. Ha sido algo general? Ha afectado solo a algunos usuarios? Mejor me cambio la contraseña o si puedo entrar me quedo tranquilo?
He seguido los pasos que ha indicado Manu excepto último de cambiar la contraseña, por si las moscas.
Ahora he podido entrar con mi password de siempre. También debo actualizar la contraseña?
Es que primero al ver el mensaje me he asustado pensando que igual habían robado las contraseñas. Aunque imagino que el sistema las almacena cifradas, ya se sabe que con un ataque de fuerza bruta se pueden recuperar.
Luego por la explicación que he visto, parece que el problema es que han cambiando las contraseñas de los usuarios. Pero la mía no. Ha sido algo general? Ha afectado solo a algunos usuarios? Mejor me cambio la contraseña o si puedo entrar me quedo tranquilo?
He seguido los pasos que ha indicado Manu excepto último de cambiar la contraseña, por si las moscas.
Manu1001
Au revoire.
- Mensajes
- 76.211
- Reacciones
- 20.254
TODOS debéis cambiar la contraseña. Aunque os funcione todo normalmente. 
Y las contraseñas se cambiaron, lo que ocurre es que nosotros las hemos restaurado mediante un backup. Pero no sabemos si el tipejo las tiene guardaditas. De ahí la solicitud.
Manu1oo1
Y las contraseñas se cambiaron, lo que ocurre es que nosotros las hemos restaurado mediante un backup. Pero no sabemos si el tipejo las tiene guardaditas. De ahí la solicitud.
Manu1oo1
Findor
Miembro habitual
Sobre lo que dice Manu, estoy escribiendo un comunicado en el otro hilo para que quede también centralizado...
Personalmente creo que no las tiene, allí explico porqué, y aunque las tuviera, también pienso que no le sirve de nada... también lo explico... Dadme 10 minutos para acabar unas intrucciones y lo tendréis...
Personalmente creo que no las tiene, allí explico porqué, y aunque las tuviera, también pienso que no le sirve de nada... también lo explico... Dadme 10 minutos para acabar unas intrucciones y lo tendréis...
Alfredo
Miembro habitual
Si necesitais algún tipo de ayuda dadme un toque... Suerte con el tema
Manu1001
Au revoire.
- Mensajes
- 76.211
- Reacciones
- 20.254
No, si está claro que COMO MUCHO, las tiene encriptadas. Pero coño, que cambiar la contraseña son diez segundos, y todos nos quedaremos mucho más tranquilos, ¿no?
Como me cabreéis, os meto caducidad diaria al password y formato forzado, y os vais a cagar...
Manu1oo1
PD) Gracias, Alfredo...
Como me cabreéis, os meto caducidad diaria al password y formato forzado, y os vais a cagar...
Manu1oo1
PD) Gracias, Alfredo...
- Mensajes
- 22.821
- Reacciones
- 7.346
Mi contraseña es inviolable 
Findor
Miembro habitual
Bueno, ya tenéis unas sencillas instrucciones y unas explicaciones en el otro hilo... 
Findor
Miembro habitual
Es que a veces la gente cree que generar una contraseña segura y recordable es complicadísimo, y nada más lejos de la realidad.
Incluso si os registrais en varios sitios y no queréis tener el mismo password en todos, yo lo que uso son variaciones numéricas al final. Es decir, por poner ejemplos... En los foros concateno al final el año de mi nacimiento más mi número de la suerte. En los sitios porno concateno al final el número de mi jugador favorito de basket... etc... y en los correos, uso variaciones únicas pero RECORDABLES (número + 1, número + 2...)
De manera que, en caso de olvidarme, sólo me muevo por un número limitado de variaciones (tipo, en este sitio, si no es el número + 1 es el número + 2). Con eso tengo como 15-20 passwords distintos y que no me supone ningún esfuerzo recordarlos a pesar de tener mayúsculas, minúsculas, números, espacios, símbolos...
Incluso si os registrais en varios sitios y no queréis tener el mismo password en todos, yo lo que uso son variaciones numéricas al final. Es decir, por poner ejemplos... En los foros concateno al final el año de mi nacimiento más mi número de la suerte. En los sitios porno concateno al final el número de mi jugador favorito de basket... etc... y en los correos, uso variaciones únicas pero RECORDABLES (número + 1, número + 2...)
De manera que, en caso de olvidarme, sólo me muevo por un número limitado de variaciones (tipo, en este sitio, si no es el número + 1 es el número + 2). Con eso tengo como 15-20 passwords distintos y que no me supone ningún esfuerzo recordarlos a pesar de tener mayúsculas, minúsculas, números, espacios, símbolos...
Elliott
Desconozco
yo uso una indescifrable, que es mi nick seguido de la diabolica secuencia de numeros 123.
- Estado