Příspěvky

316

Software / Re:Obrovský txt soubor

« kdy: 29. 11. 2021, 10:12:27 »

response=$(curl -s https://api.pwnedpasswords.com/range/$prefix)

A tohle je prostě přesně o čem se snažím psát. Najednou tu používáte naprosto jinou doménu než haveibeenpwned.com.
Jak má normální člověk odlišit haveibeenpwned.com  pwnedpasswords.com [vymyšleno] iwannabepawned.cc gimmepswd.ru  ipawnu.org [/vymyšleno]. Prostě pokud jste odborník na úrovni pana Jirsáka, zadávejte si hesla telefony  haše mejly kam libo. Obyčejný BFU, nebo třeba dítě by to prostě dělat neměli. Nikam, prostě nikam kde to nepatří.  A už rozhodně ne na pokyn naprosto anonymních diskutérů někde na foru.

Link jsem opravil výše. Myslím, že osobní útoky sem nepatří, na rozdíl od protichůdných názorů.

Prosímpěkně jaký osobní útok máte na mysli? Pokud tím myslíte "odborník na úrovni pana Jirsáka" tak to jako invektivum nebylo míněno. Je to prostě jinými slovy řečeno: "Pokud jste velmi zkušený odborník".  Poukázat na jeho odbornost mi přišlo vhodné, vzhledem k tomu jak se tu odborně vyjadřuje, nejen k tomuto tématu. Kredit si podle mě zaslouží.   
Pokud někomu vadí, že napíšu že je odborník nebo pan, tak to je mi líto.

Ok, odvolávám.

317

Software / Re:Obrovský txt soubor

« kdy: 29. 11. 2021, 08:29:05 »

response=$(curl -s https://api.pwnedpasswords.com/range/$prefix)

A tohle je prostě přesně o čem se snažím psát. Najednou tu používáte naprosto jinou doménu než haveibeenpwned.com.
Jak má normální člověk odlišit haveibeenpwned.com  pwnedpasswords.com [vymyšleno] iwannabepawned.cc gimmepswd.ru  ipawnu.org [/vymyšleno]. Prostě pokud jste odborník na úrovni pana Jirsáka, zadávejte si hesla telefony  haše mejly kam libo. Obyčejný BFU, nebo třeba dítě by to prostě dělat neměli. Nikam, prostě nikam kde to nepatří.  A už rozhodně ne na pokyn naprosto anonymních diskutérů někde na foru.

Link jsem opravil výše. Myslím, že osobní útoky sem nepatří, na rozdíl od protichůdných názorů.

318

Software / Re:Obrovský txt soubor

« kdy: 29. 11. 2021, 08:25:44 »

Pro zajímavost - skript na pouziti HIBP api:
#!/bin/bash

echo -n Password:
read -s password
echo
hash="$(echo -n $password | openssl sha1)"
upperCase="$(echo $hash | tr '[a-z]' '[A-Z]')"
prefix="${upperCase:0:5}"
response=$(curl -s https://api.pwnedpasswords.com/range/$prefix)
while read -r line; do
  lineOriginal="$prefix$line"
  if [ "${lineOriginal:0:40}" == "$upperCase" ]; then
    echo "Password breached."
    exit 1
  fi
done <<< "$response"

echo "Password not found in breached database."
exit 0
Credits to : https://blog.cloudflare.com/validating-leaked-passwords-with-k-anonymity/

Edit: zdroj ze kterého jsem to převzal sice tvrdí, že je to skript pro HIBP, ale je to jen jím převzatý obecný příklad. Aktuální link je https://haveibeenpwned.com/API/v3……

319

Software / Re:Obrovský txt soubor

« kdy: 27. 11. 2021, 10:51:57 »

haveibeenpwned.com

To je ta stránka, kam zadáte přihlašovací údaje objektu zájmu a ona vám promptně vypíše jestli už někde, heslo nebo aspoň jeho hash, neunikl a pokud ano, tak nasměruje kde ten potřebný údaj hledat?
To je přece super služba pro začínající hackery....

Nee.
Je to kompilát z již zveřejněných úniků.
Nikam to nikoho nenasměruje, najde vám to buď uniklé heslo nebo mail nebo telefon, nikdy ne kombinaci a nic takto využitelného. Zadáte jen jedno z toho, ne kompletní přihlašovací údaje.
Nepitval  jsem to, ale zhruba řečeno, Java Script na webu nebo váš skript heslo lokálně zašifruje sha1, prvních pět znaků odešle na HIBP, ten vrátí množinu hesel, průměr je cca 480 ks , ty se lokálně dešifrují a porovnají se zadaným heslem.
Filipe, kdyžtak mne opravte.

Je to přesně jak píšete. Resp. přijaté hashe hesel se nedešifrují, to ani nejde – vezme se hash vypočítaný v prohlížeči a zjistí se, jestli je mezi těmi zaslanými hashy.
Jasně, dík, psal jsem rychleji než myslel.

Ten požadavek na hashe začínající na těch prvních pět znaků je GET požadavek, ve kterém je jen adresa obsahující těch pět znaků a běžné HTTP hlavičky. Žádná jiná komunikace se serverem pak není. Pokud zdejší experti dokážou do pěti hexadecimálních znaků zakódovat svá hesla, měli by si to patentovat – nebo mají hodně slabá hesla.

320

Software / Re:Obrovský txt soubor

« kdy: 27. 11. 2021, 10:47:52 »

Pro zajímavost - skript na pouziti HIBP api:
#!/bin/bash

echo -n Password:
read -s password
echo
hash="$(echo -n $password | openssl sha1)"
upperCase="$(echo $hash | tr '[a-z]' '[A-Z]')"
prefix="${upperCase:0:5}"
response=$(curl -s https://api.pwnedpasswords.com/range/$prefix)
while read -r line; do
  lineOriginal="$prefix$line"
  if [ "${lineOriginal:0:40}" == "$upperCase" ]; then
    echo "Password breached."
    exit 1
  fi
done <<< "$response"

echo "Password not found in breached database."
exit 0
Credits to : https://blog.cloudflare.com/validating-leaked-passwords-with-k-anonymity/

321

Software / Re:Obrovský txt soubor

« kdy: 27. 11. 2021, 10:43:09 »

Důrazně nedoporučuju nikomu svoje přihlašovací údaje, emaily ani telefony vkládat do jakýchkoliv formulářů jen tak "pro kontrolu".

To, ze je pro tebe sluzba "haveibeenpwned" neduveryhodna, nic neznamena, pravdepodobne ji pouzivas a ani o tom nevis.

Integraci pouziva napriklad Mozilla Firefox (https://monitor.firefox.com), Chrome ma take vlastni integraci. Spousta webu je jiz dnes za Cloudflare, tam se take pouziva haveibeenpwned API na prihlasovaci formulare (https://blog.cloudflare.com/privacy-preserving-compromised-credential-checking/).

Temer kazda velka webova sluzba pouziva jejich API na kontrolu uniklych hesel pri registraci uzivatelu (https://haveibeenpwned.com/API/v2), bere se to dnes jako celkem standard. Samozrejme i nase vlada ma plny pristup do databaze (https://www.troyhunt.com/welcoming-the-czech-republic-government-to-have-i-been-pwned/).

tldr; velmi jiste sluzbu haveibeenpwned neprimo pouzivas, pouze netusis, o cem mluvis ...

Hezký! Dík.

322

Software / Re:Obrovský txt soubor

« kdy: 26. 11. 2021, 23:47:26 »

haveibeenpwned.com

To je ta stránka, kam zadáte přihlašovací údaje objektu zájmu a ona vám promptně vypíše jestli už někde, heslo nebo aspoň jeho hash, neunikl a pokud ano, tak nasměruje kde ten potřebný údaj hledat?
To je přece super služba pro začínající hackery....

Nee.
Je to kompilát z již zveřejněných úniků.
Nikam to nikoho nenasměruje, najde vám to buď uniklé heslo nebo mail nebo telefon, nikdy ne kombinaci a nic takto využitelného. Zadáte jen jedno z toho, ne kompletní přihlašovací údaje.
Nepitval  jsem to, ale zhruba řečeno, Java Script na webu nebo váš skript heslo lokálně zašifruje sha1, prvních pět znaků odešle na HIBP, ten vrátí množinu hesel, průměr je cca 480 ks , ty se lokálně dešifrují a porovnají se zadaným heslem.
Filipe, kdyžtak mne opravte.

323

Software / Re:Obrovský txt soubor

« kdy: 26. 11. 2021, 18:26:24 »

Já myslel, že je máš v plaintextu, protože já mám přeložených asi jen 80%.

No tak to by byl Troy Hunt už asi v base :-)

324

Software / Re:Obrovský txt soubor

« kdy: 26. 11. 2021, 18:22:31 »

Prosím o link na stažení nebo to zaheslovat a dát na ulož to.

Ahoj, běž na https://haveibeenpwned.com/Passwords , nech vyhledat nějaké profláklé heslo a sjeď dolů. Torrent nebo cloudflare, ale jsou to asi jen hashe.
Třeba toto https://downloads.pwnedpasswords.com/passwords/pwned-passwords-sha1-ordered-by-hash-v7.7z
Více info na https://www.troyhunt.com/introducing-306-million-freely-downloadable-pwned-passwords/

Vy myslíte, že podle mě pochybné weby, jako haveibeenpwned.com, nejsou lapadla do něčí (vládní?) databáze hesel pro nějaké budoucí použití?  To jako fakt zadáváte svoje hesla na nějaký web pro "kontrolu"?

.
HBP je renomovaný a důvěryhodný web a Troy je jedním z nejlepších expertů.
Tentokrát musím bezvýhradně souhlasit s kolegou Jirsákem  a to ve všem co tu dosud napsal.

325

Software / Re:Obrovský txt soubor

« kdy: 26. 11. 2021, 08:32:03 »

Prosím o link na stažení nebo to zaheslovat a dát na ulož to.

Ahoj, běž na https://haveibeenpwned.com/Passwords , nech vyhledat nějaké profláklé heslo a sjeď dolů. Torrent nebo cloudflare, ale jsou to asi jen hashe.
Třeba toto https://downloads.pwnedpasswords.com/passwords/pwned-passwords-sha1-ordered-by-hash-v7.7z
Více info na https://www.troyhunt.com/introducing-306-million-freely-downloadable-pwned-passwords/

326

Software / Obrovský txt soubor

« kdy: 25. 11. 2021, 22:43:50 »

Zdravím,
Potřebuju otevřít   cca 20GB velký .txt, nebo aspoň jejho část, abych aspoň viděl jeho strukturu, jestli to stojí za další výzkum.Pokud ne na Windows, tak v linuxu.
Poradíte ?
Dík
P.S. Uniklá hesla z haveibeenpwned. Nějaké tipy jak to použít při validaci hesel v AD ?

327

Software / Re:V podacím lístku České pošty nelze vytisknout české znaky (v Linuxu)

« kdy: 21. 11. 2021, 18:29:30 »

Tak jsem zkusil nainstalovat Edge jak doporučoval FKoudelka z STS Chvojkovice Brod a světe div se, fakt to funguje. Nejsou problémy s rozpalama jak v Opeře, diakritika funguje, žádný problém. Pouze velikost písma se mi zdá malá, ale možná to byl záměr tvůrců PDF. Dík za radu, zřejmě slušnej oddíl. 

Rádo se stalo. Vtipný je, že ten samej formulář jsem vyplňoval  potřetí po pár měsících a předtím to šlo bez problémů. Jo a nebyla to ČP, ale freaking modrý zóny. Jinej OS, stejnej  prohlížeč. Čichám čichám - Adobe Acrobat. :-)

*Acrobat Reader + pluginy.
Mám pocit, že zdejší redakční systém má svoje mouchy :-(

328

Software / Re:V podacím lístku České pošty nelze vytisknout české znaky (v Linuxu)

« kdy: 21. 11. 2021, 18:16:51 »

Tak jsem zkusil nainstalovat Edge jak doporučoval FKoudelka z STS Chvojkovice Brod a světe div se, fakt to funguje. Nejsou problémy s rozpalama jak v Opeře, diakritika funguje, žádný problém. Pouze velikost písma se mi zdá malá, ale možná to byl záměr tvůrců PDF. Dík za radu, zřejmě slušnej oddíl. 

Rádo se stalo. Vtipný je, že ten samej formulář jsem vyplňoval  potřetí po pár měsících a předtím to šlo bez problémů. Jo a nebyla to ČP, ale freaking modrý zóny. Jinej OS, stejnej  prohlížeč. Čichám čichám - Adobe Acrobat. :-)

329

Software / Re:V podacím lístku České pošty nelze vytisknout české znaky (v Linuxu)

« kdy: 21. 11. 2021, 18:10:48 »

Nedávno jsem to poprvé taky zažil, ale na Windows ve Firefoxu a zaboha to nešlo. Tak jsem to otevřel v Edge a dobrý.

Edge na Linuxu nemám, tak jsem zkusil v Chromiu a při napsání písmenka "ř" celý ten chromí extensions spadl - místo formuláře se mi objevila černá obrazovka se zamračenou ikonkou puzzle

Bože :-))))

330

Software / Re:V podacím lístku České pošty nelze vytisknout české znaky (v Linuxu)

« kdy: 21. 11. 2021, 11:22:35 »

Čau Linuxáci. Při vyplňování podacího lístku se mi správně zobrazovaly znaky, ale když jsem dal tisk, tak v náhledu a pak i při tisku tam místo např. "ř" bylo "Y". Když jsem PDF vyplňoval v qpdfview nebo v Evince, tak tam se při psaní taky "ř" zobrazilo, ale po kliknutí mimo formulářové pole úplně zmizelo. Když jsem opětovně klikl do formulářového pole, tak se "ř" zase zobrazilo, ale taky se nevytisklo.

Narazil jsem na diskuzi na Linuxexpresu kde Jiří Eischmann z RedHatu psal, že v Evince by to mohlo být "opraveno" ve verzi 3.26, ale ani po 4 letech to asi "opraveno" není. Opraveno píši v uvozovkách, protože to prý není chyba v linuxu, ale ve specifikaci PDF.

Jediný způsob na který jsem přišel je nainstalování snapu Acrobat Readeru DC. Je to opravdu jediný způsob nebo jste někdo přišel na nějaký jiný a pohodlnější způsob (např. konfigurace písma nebo něco)?

Nedávno jsem to poprvé taky zažil, ale na Windows ve Firefoxu a zaboha to nešlo. Tak jsem to otevřel v Edge a dobrý.