---
මේ කියන්න යන්නෙ Wordpress account එකක් හදද්දි වෙච්ච දෙයක්. Wordpress account එක හදන්නෙ මෙහෙමයි. Wordpress.com අඩවියට තමන්ගෙ විද්යුත් තැපැල් ලිපිනය, අළුත් පරිශීලක නම හා මුරපදය ලබා දුන්නම ඔවුන් conformation විද්යුත් ලිපියක් එවනව. Wordpress ඉතිං පොල් ගෙඩි අකුරු වලින්නෙ වැඩ. අර විද්යුත් ලිපියෙ තියෙන conformation link එක ක්ලික් කළාම යනව ආයෙම Wordpress අඩවියට. මෙන්න මගේ password එක පොල්ගෙඩි සයිස් අකුරෙන් screen එක මැද!!!මෙතන ගැටළු දෙකක් තියෙනවා.
- ළඟපාත කවුරුත් හිටියනම් මගේ password එක දකිනව.. පැහැදිලිව.
- මේක ටිකක් තාක්ෂණික කරුණක්. මං වැරදි නම් කවුරුහරි මාව නිවැරදි කරන්න. සාමාන්යයෙන් යම් අඩවියකට මුරපදයක් ලබා දුන්නම ඔවුන් එය ගබඩා කරගන්නෙ එය encrypt කරල. Encrypt කළාම ලැබෙන hash එක තමයි database එකේ ගබඩා වෙන්නෙ. Wordpress හි ලියාපදිංචි වන විට අප ලබා දෙන මුරපදය encrypt වී ඔවුන්ගේ database එකේ ගබඩා වූවා නම් එය අපට නැවත දර්ශනය වීමේ හැකියාවක් නෑ. මොකද hash එකක් නැවත එහි මුල් ස්වරූපය බවට පත් කරන්න නොහැකි නිසා (මම කියන්නෙ MD5 ගැන). ඒ කියන්නෙ මගේ password එක එහි මුල් ස්වරූපයෙන්ම Wordpress දත්තමූල වල ගබඩා වෙනවා!!! එහි ආරක්ෂාව පිළිබඳ අවදානමක් තියෙනව කියලයි මගේ හැඟීම.
තවත් එකක් තියෙනව https නැති එක. ඒක ගොඩක් වෙබ් අඩවි වල නැති නිසා ඒ ගැන එච්චර කියන්නෙ නෑ. https නෑ කියන්නෙ ඉතින් හරි පොරකට අහුවුනොත් සොරි තමා (කැම්පස් එකේ අත්දැකීම් වලින් කියන්නෙ).
---
෴සමීර ශාකුන්තල | Sameera Shaakunthala෴
නැහැ වර්ඩ්ප්රෙස් database එකේ මුරපද ගබඩා වෙන්නෙ encrypt කරලා තමයි. වර්ඩ්ප්රෙස් ස්ථාපනයක් තියෙනවා නම් database එකට ගිහින් බලන්න. මුරපදය ගැන බයවෙන්න දෙයක් නෑ (මම හිතන්නෙ) :)
ReplyDeleteDatabase එකේ පෙන්නන්නෙ hash එක නම් බය වෙන්න දෙයක් නෑ තමයි. ඒත් මම enter කරපු password එක ලෝකෙ වටේ රවුමක් ගිහින් ආපහු මං ළඟටම ආපු විධියට බය හිතෙන්නෙ නැද්ද? :D
ReplyDeletehash එක නැවත password එක බවට පරිවර්තනය වුණු හැටි මට තාම ගැටළුවක්. PHP වල සාමාන්යයෙන් පාවිච්චි වෙන්නෙ MD5 නේද?
ඔයාලගේ සාකච්ඡා වලින් මම සෑහෙන දෙයක් ගන්නවා. කොමෙන්ට්ස් දාන්න තරම් මම වැඩකාරයෙක් නෙමේ. ඔයාලට ස්තූතියි....
ReplyDeleteදුන්නු ඉගියට බොහොම ස්තුති....
ReplyDeleteමමත් පොඩ් උත්සහයක් දරලා කියන්නම් , ආරක්ශිතද නෑද්ද කියලා .
වෙලාවක් තියනවනම් firefox එක්ක එන tamper data කියන වෑඩසටහනේ භාවිත ටිකකුත් විස්තර කරන්න....එකත් හොර වෑඩවලට කියාපු භාන්ඩේ
ReplyDelete@Kawshala,
ReplyDeleteඅපොයි මමත් වැඩකරු නෙවෙයි. ඔය hash, MD5 වගේ සමහර දේවල් දැනගත්තෙ කැම්පස් ආවට පස්සෙ. ඔය ලියල තියෙන දේ මම කරපු අනුමානයක් විතරයි. නිගමනයක් නෙවෙයි.
@Priyankara,
"එකත් හොර වෑඩවලට කියාපු භාන්ඩේ"
අඩේ එහෙමද? :P
බලන්නම් බලන්නම්...
වර්ඩ්ප්රෙස් පාස්වර්ඩ් එක තියන්නේ md5 විදිහටනං නෙමේ. හැබැයි සෑහෙන ආරක්ෂිතයි. එක අතකින් md5 නොවෙන එකත් හොඳා
ReplyDeleteහේතුව ඇයි කියලා මේකට ගිහින් බලන්ඩ
www.md5oogle.com
ඕක එච්චර හොඳවැඩක් නොවෙන්නේ බැරිවෙලාවත් ඒක පේන තැනක කවුරු හරි හිටියොත්නං තමා :D
අයියේ ඕකෙ ඔය කලුකරල තියෙන තැන තිබ්බ අකුරුටික මොනවද? ;)
@Tharindu,
ReplyDeleteඔව් මම බැලුවා. මේක දැනට crack කරන්න පුළුවන් වෙච්ච MD5 hashes වල එකතුවක්. මේක try කරල බලන්න: aaf6e5f639a178334c84899fabf848e7
ඔවුන්ගේ database එකේ මෙය නෑ. ඒ කියන්නේ MD5oogle ගෙන් මේක ඇහුවම උත්තරයක් නෑ. මෙය crack කරන්න දින ගණනාවක්/ සමහරවිට සති කීපයක් යාවි. මෙහි characters 42ක් අඩංගුයි.
මම හිතන්නෙ ඔය අවදානම cryptography වල මොන ඇල්ගොරිතමය පාවිච්චි කළත් තියෙනව කියල. මොකද මම දැකල තියෙනව ඔය හා සමාන NTLM hash database එකක් (SAMInside අඩවිය වගේ මතක).
කොහොම වුණත් ඔය අඩවිය ගැන මම කලින් දැනං හිටියෙ නෑ. බොහොම ස්තුතියි ඒක මෙතන ලිව්වට.. ඉදිරියට ගොඩක් ප්රයෝජනවත් වෙයි... :P
කළු කරපු අකුරු ටික නේද? දෙන්නම්.. එන්නකො තව ටිකක් ළඟට... :D
දැන් වර්ඩ්ප්රෙස් පාවිච්චි කරන්නෙ salted password. මේක 2.5 වල ඉඳන් තමයි යොදලා තියෙන්නෙ. ඒ හින්දා දැන් අවුලක් වෙන එකක් නෑ.
ReplyDeleteFrom 2.5 release notes:
Salted passwords — we now use the phpass library to stretch and salt all passwords stored in the database, which makes brute-forcing them impractical.
http://ගන පොඩි හෑදින්විමක් කරන්නකො අය්ය..මොකද්ද WWW අවොත් අති අවුල? අනේ සමවෙලා මෙ ගනත් දාන්නකො පොස්ට් එකක්....
ReplyDeleteතෝ අහුවෙන්නෙපා තෝව හොයාගෙන එන්නං. ලිස්ට් එකේ යටම ඉන්න නිසා බය නැතුව හිටපං ටික කලක්.
ReplyDeleteතොගේ කොණ්ඩේ කපලා ගන්නව පාපිස්සට.
මතක ඇතුව චූ කරල බුදියගනිං. නැත්තං හීනෙං බයඋනාම ඇඳේම යයි.
හොව් දවසකට පස්සෙනෙ මේක දැක්කේ. මේකෙන් බැරිවෙයි නේ.
ReplyDeletehttp://md5decryption.com/
ඇත්තටම md5 decript කරන php කෝඩ් එකක් හම්බුනොත් මටත් කියන්න. මේ md5 විදියට පාස්වර්ඩ් එකක් දාගෙන මාත් Session වැඩක් කරා. retreive කරගන්න නම් විදියක් නෑ.
@namal danushka
http:// කියන්නේ ඔයා භාවිත කරපු protocol එක. වෙලාවකට ftp:// https:// එහෙමත් දැකල ඇතිනේ. වැඩිවිස්තර සඳහා බලන්න.
@Anonymous
චූ කරන්නැතුව නිදාගෙන ඇදේම ගිහිල්ල වගේ නේ කතාව. අත්දැකීමෙන්ද කියන්නේ.
@namal danushka,
ReplyDeleteඅනේ සමා වෙන්න ඕන වැඩ නිසා මඟහැරිලා මේකට උත්තර දෙන එක. ඔය ගැන Techකතා එකේ කතා කළා. මොන episode එකද කියල නම් මතක නෑ. ඒ අඩවියෙ ටිකක් සැරිසරල බලන්න වෙයි. :(
@ගයාන් තාරක,
ම්ම්ම්... මේ ලිපිය ලියන දවස් වල දැනගෙන හිටියට වඩා දෙයක් දැන් නම් crypto ගැන දන්නවා. :) MD5 decrypt කරන්න බැහැ. කරන්න පුළුවන් එකම දේ password guess කරල hash දෙකම සමානද කියල බලන එක තමයි. ඔය වගේ අඩවි වලට password දෙන්න එපා. ඒ අය hash එක store කරගන්නවා. කවුරු හරි ඒ hash එක decrypt කරන්න දුන්නම මැජික් බලෙන් වගේ decrypt වෙලා එන්නෙ ඔය database එකේ පිහිටෙන් තමයි.
@Anonymous,
I don't care. I have guardian angels around Colombo. Beat me if you can.
@Anonymous
ReplyDeleteආහ් පුතා ඔහේම තෙමාගෙනද ඉන්නේ ඇඳුමත්? මෙන්න නැපියක්.