Sunday, November 23, 2008

Wordpress ආරක්ෂිතද?

මිනි බ්ලොග් මැරතන් ගැන ගොඩක් අය කතා වෙනව. මටත් ආස හිතුණ මොනව හරි බයිල ටිකක් පැය කාලෙන් කාලට ලියල දාන්න. ඒත් තාම හරි අයිඩියාවක් නෑ. :( කැම්පස් එකේ assignment එකක් සෙට් වුණොත් නම් ඉතින් අනිවා එන්නෙ නෑ. කෝකටත් සහ වෙනසකට කියල මම Wordpress එකේ බ්ලොග් එකක් පටන් ගත්ත. ඒක http://shaakunthala.wordpress.com
---
මේ කියන්න යන්නෙ Wordpress account එකක් හදද්දි වෙච්ච දෙයක්. Wordpress account එක හදන්නෙ මෙහෙමයි. Wordpress.com අඩවියට තමන්ගෙ විද්‍යුත් තැපැල් ලිපිනය, අළුත් පරිශීලක නම හා මුරපදය ලබා දුන්නම ඔවුන් conformation විද්‍යුත් ලිපියක් එවනව. Wordpress ඉතිං පොල් ගෙඩි අකුරු වලින්නෙ වැඩ. අර විද්‍යුත් ලිපියෙ තියෙන conformation link එක ක්ලික් කළාම යනව ආයෙම Wordpress අඩවියට. මෙන්න මගේ password එක පොල්ගෙඩි සයිස් අකුරෙන් screen එක මැද!!!

මෙතන ගැටළු දෙකක් තියෙනවා.
  1. ළඟපාත කවුරුත් හිටියනම් මගේ password එක දකිනව.. පැහැදිලිව.


  2. මේක ටිකක් තාක්ෂණික කරුණක්. මං වැරදි නම් කවුරුහරි මාව නිවැරදි කරන්න. සාමාන්‍යයෙන් යම් අඩවියකට මුරපදයක් ලබා දුන්නම ඔවුන් එය ගබඩා කරගන්නෙ එය encrypt කරල. Encrypt කළාම ලැබෙන hash එක තමයි database එකේ ගබඩා වෙන්නෙ. Wordpress හි ලියාපදිංචි වන විට අප ලබා දෙන මුරපදය encrypt වී ඔවුන්ගේ database එකේ ගබඩා වූවා නම් එය අපට නැවත දර්ශනය වීමේ හැකියාවක් නෑ. මොකද hash එකක් නැවත එහි මුල් ස්වරූපය බවට පත් කරන්න නොහැකි නිසා (මම කියන්නෙ MD5 ගැන). ඒ කියන්නෙ මගේ password එක එහි මුල් ස්වරූපයෙන්ම Wordpress දත්තමූල වල ගබඩා වෙනවා!!! එහි ආරක්ෂාව පිළිබඳ අවදානමක් තියෙනව කියලයි මගේ හැඟීම.
තවත් එකක් තියෙනව https නැති එක. ඒක ගොඩක් වෙබ් අඩවි වල නැති නිසා ඒ ගැන එච්චර කියන්නෙ නෑ. https නෑ කියන්නෙ ඉතින් හරි පොරකට අහුවුනොත් සොරි තමා (කැම්පස් එකේ අත්දැකීම් වලින් කියන්නෙ).

---
කොහොම වුණත් මේක මට නම් ඇත්තටම අවුලක් නෑ. :D

෴සමීර ශාකුන්තල | Sameera Shaakunthala෴

14 comments:

  1. නැහැ වර්ඩ්ප්‍රෙස් database එකේ මුරපද ගබඩා වෙන්නෙ encrypt කරලා තමයි. වර්ඩ්ප්‍රෙස් ස්ථාපනයක් තියෙනවා නම් database එකට ගිහින් බලන්න. මුරපදය ගැන බයවෙන්න දෙයක් නෑ (මම හිතන්නෙ) :)

    ReplyDelete
  2. Database එකේ පෙන්නන්නෙ hash එක නම් බය වෙන්න දෙයක් නෑ තමයි. ඒත් මම enter කරපු password එක ලෝකෙ වටේ රවුමක් ගිහින් ආපහු මං ළඟටම ආපු විධියට බය හිතෙන්නෙ නැද්ද? :D
    hash එක නැවත password එක බවට පරිවර්තනය වුණු හැටි මට තාම ගැටළුවක්. PHP වල සාමාන්‍යයෙන් පාවිච්චි වෙන්නෙ MD5 නේද?

    ReplyDelete
  3. ඔයාලගේ සාකච්ඡා වලින් මම සෑහෙන දෙයක් ගන්නවා. කොමෙන්ට්ස් දාන්න තරම් මම වැඩකාරයෙක් නෙමේ. ඔයාලට ස්තූතියි....

    ReplyDelete
  4. දුන්නු ඉගියට බොහොම ස්තුති....

    මමත් පොඩ් උත්සහයක් දරලා කියන්නම් , ආරක්ශිතද නෑද්ද කියලා .

    ReplyDelete
  5. වෙලාවක් තියනවනම් firefox එක්ක එන tamper data කියන වෑඩසටහනේ භාවිත ටිකකුත් විස්තර කරන්න....එකත් හොර වෑඩවලට කියාපු භාන්ඩේ

    ReplyDelete
  6. @Kawshala,
    අපොයි මමත් වැඩකරු නෙවෙයි. ඔය hash, MD5 වගේ සමහර දේවල් දැනගත්තෙ කැම්පස් ආවට පස්සෙ. ඔය ලියල තියෙන දේ මම කරපු අනුමානයක් විතරයි. නිගමනයක් නෙවෙයි.

    @Priyankara,
    "එකත් හොර වෑඩවලට කියාපු භාන්ඩේ"
    අඩේ එහෙමද? :P
    බලන්නම් බලන්නම්...

    ReplyDelete
  7. වර්ඩ්ප්‍රෙස් පාස්වර්ඩ් එක තියන්නේ md5 විදිහටනං නෙමේ. හැබැයි සෑහෙන ආරක්ෂිතයි. එක අතකින් md5 නොවෙන එකත් හොඳා
    හේතුව ඇයි කියලා මේකට ගිහින් බලන්ඩ
    www.md5oogle.com
    ඕක එච්චර හොඳවැඩක් නොවෙන්නේ බැරිවෙලාවත් ඒක පේන තැනක කවුරු හරි හිටියොත්නං තමා :D
    අයියේ ඕකෙ ඔය කලුකරල තියෙන තැන තිබ්බ අකුරුටික මොනවද? ;)

    ReplyDelete
  8. @Tharindu,
    ඔව් මම බැලුවා. මේක දැනට crack කරන්න පුළුවන් වෙච්ච MD5 hashes වල එකතුවක්. මේක try කරල බලන්න: aaf6e5f639a178334c84899fabf848e7
    ඔවුන්ගේ database එකේ මෙය නෑ. ඒ කියන්නේ MD5oogle ගෙන් මේක ඇහුවම උත්තරයක් නෑ. මෙය crack කරන්න දින ගණනාවක්/ සමහරවිට සති කීපයක් යාවි. මෙහි characters 42ක් අඩංගුයි.

    මම හිතන්නෙ ඔය අවදානම cryptography වල මොන ඇල්ගොරිතමය පාවිච්චි කළත් තියෙනව කියල. මොකද මම දැකල තියෙනව ඔය හා සමාන NTLM hash database එකක් (SAMInside අඩවිය වගේ මතක).

    කොහොම වුණත් ඔය අඩවිය ගැන මම කලින් දැනං හිටියෙ නෑ. බොහොම ස්තුතියි ඒක මෙතන ලිව්වට.. ඉදිරියට ගොඩක් ප්‍රයෝජනවත් වෙයි... :P

    කළු කරපු අකුරු ටික නේද? දෙන්නම්.. එන්නකො තව ටිකක් ළඟට... :D

    ReplyDelete
  9. දැන් වර්ඩ්ප්‍රෙස් පාවිච්චි කරන්නෙ salted password. මේක 2.5 වල ඉඳන් තමයි යොදලා තියෙන්නෙ. ඒ හින්දා දැන් අවුලක් වෙන එකක් නෑ.

    From 2.5 release notes:
    Salted passwords — we now use the phpass library to stretch and salt all passwords stored in the database, which makes brute-forcing them impractical.

    ReplyDelete
  10. http://ගන පොඩි හෑදින්විමක් කරන්නකො අය්ය..මොකද්ද WWW අවොත් අති අවුල? අනේ සමවෙලා මෙ ගනත් දාන්නකො පොස්ට් එකක්....

    ReplyDelete
  11. තෝ අහුවෙන්නෙපා තෝව හොයාගෙන එන්නං. ලිස්ට් එකේ යටම ඉන්න නිසා බය නැතුව හිටපං ටික කලක්.

    තොගේ කොණ්ඩේ කපලා ගන්නව පාපිස්සට.

    මතක ඇතුව චූ කරල බුදියගනිං. නැත්තං හීනෙං බයඋනාම ඇ‍ඳේම යයි.

    ReplyDelete
  12. හොව් දවසකට පස්සෙනෙ මේක දැක්කේ. මේකෙන් බැ‍රිවෙයි නේ.
    http://md5decryption.com/

    ඇත්තටම md5 decript කරන php කෝඩ් එකක් හම්බුනොත් මටත් ‍කියන්න. මේ md5 විදියට පාස්වර්ඩ් එකක් දාගෙන මාත් Session වැඩක් කරා. retreive කරගන්න නම් විදියක් නෑ.

    @namal danushka
    http:// කියන්නේ ඔයා භාවිත කරපු protocol එක. වෙලාවකට ftp:// https:// එහෙමත් දැකල ඇතිනේ. වැඩිවිස්තර සඳහා බලන්න.

    @Anonymous
    චූ කරන්නැතුව නිදාගෙන ඇදේම ගිහිල්ල වගේ නේ කතාව. අත්දැකීමෙන්ද කියන්නේ.

    ReplyDelete
  13. @namal danushka,
    අනේ සමා වෙන්න ඕන වැඩ නිසා මඟහැරිලා මේකට උත්තර දෙන එක. ඔය ගැන Techකතා එකේ කතා කළා. මොන episode එකද කියල නම් මතක නෑ. ඒ අඩවියෙ ටිකක් සැරිසරල බලන්න වෙයි. :(

    @ගයාන් තාරක,
    ම්ම්ම්... මේ ලිපිය ලියන දවස් වල දැනගෙන හිටියට වඩා දෙයක් දැන් නම් crypto ගැන දන්නවා. :) MD5 decrypt කරන්න බැහැ. කරන්න පුළුවන් එකම දේ password guess කරල hash දෙකම සමානද කියල බලන එක තමයි. ඔය වගේ අඩවි වලට password දෙන්න එපා. ඒ අය hash එක store කරගන්නවා. කවුරු හරි ඒ hash එක decrypt කරන්න දුන්නම මැජික් බලෙන් වගේ decrypt වෙලා එන්නෙ ඔය database එකේ පිහිටෙන් තමයි.

    @Anonymous,
    I don't care. I have guardian angels around Colombo. Beat me if you can.

    ReplyDelete
  14. @Anonymous
    ආහ් පුතා ඔහේම තෙමාගෙනද ඉන්නේ ඇඳුමත්? මෙන්න නැපියක්.

    ReplyDelete

Facebook ප්‍රතිචාර