Paylogic onveilig?

Denk je dat in die code de informatie zit over de tickets? Da's gewoon een identificatienummer.

Verder: de portiers kunnen controleren of een kaartje al gebruikt is of niet, en zo wel of jij wel of niet de rechtmatige gebruiker ervan bent.

Het systeem is in ieder geval "veilig genoeg" voor het doel. We hebben 't hier niet over de beveiliging van de nationale goudvoorraad tenslotte.

wiene schreef op donderdag 19 maart 2009 @ 00:11:
Maar als ik het nu goed heb, dan is dit toch heel onveilig? Als iemand achter hun codegenerator komt dan kun je toch willekeurig tickets printen? Of begrijp ik dit niet goed?

Die "code" is een GUID*. De kans dat je er een "raadt" is 2^128 en dat is huge-ass-klein. Nul zeg maar. De manier waarop zo'n GUID gegenereerd wordt zou een handvat kunnen bieden om die code te 'kraken' maar zolang die code niet afhankelijk is van factoren als klantid, naam etc. (en dus feitelijk gewoon een 'random nummer' is) dan is het, voor deze doeleinden, IMHO, meer dan voldoende veilig.

* En zo te zien met nog wat extra bits erin, want hij is langer dan 128 bits als ik me niet verteld heb

wiene schreef op donderdag 19 maart 2009 @ 00:11:
Is mijn klacht gegrond of niet?

Hangt er van af. Als het staatsgeheim is en er doden kunnen vallen dan is het misschien verstandig om die code met nog wat andere factoren als een login etc. te combineren. Maar anders: ongegrond.

Dit alles op basis van de beschikbare info uit TS en dus geen diepgaande kennis van de uiteindelijke technische implementatie van het systeem.

@Cyber: Ej, voorkruipert

[ Voor 5% gewijzigd door RobIII op 19-03-2009 00:19 ]

wiene schreef op donderdag 19 maart 2009 @ 00:19:
[...]

Het gaat mij niet om de veiligheid van de code. Wel dat iemand willekeurig links kan raden om iemand anders zijn kaarten te printen.

Als je 2¹²⁸ (of meer) codes wil gaan proberen dan be my guest. Zelfs een DPC of andere distributed projecten zullen daar duizenden jaren (met de huidige stand van zaken althans) mee bezig zijn. Forget it. "Raden" gaat niet werken.

wiene schreef op donderdag 19 maart 2009 @ 00:19:
Jij kunt dus mijn kaarten printen want je hoeft niet mijn inloggegevens te hebben om ze te printen.

Moet je dus wel even die code "raden". Die kans is nul. Basta.

wiene schreef op donderdag 19 maart 2009 @ 00:19:
Daarbij, waarom hangen ze de tickets zelf niet achter de inlog? Dat is toch veel makkelijker?

Dat zou kunnen maar maakt het (wellicht, ik ken de tent verder niet) overbodig omslachtig. Dat zou betekenen dat ik een account moet aanmaken blablabla terwijl bestellen + linkje ontvangen al voldoende is en ik geen account nodig heb.

wiene schreef op donderdag 19 maart 2009 @ 00:19:
programmacodes worden toch ook altijd gekraakt...

Dit heeft niets met een programmacode te maken (of het genereren van die "sleutels" moet een probleem bevatten, maar dat is hele andere koek).

[ Voor 52% gewijzigd door RobIII op 19-03-2009 00:23 ]

wiene schreef op donderdag 19 maart 2009 @ 00:22:
[...]

Ik ga echt geen codes raden hoor, ik betaal wel gewoon voor mijn kaarten. Vond het alleen een raar systeem.

Het is geen raar systeem. Sterker: als jij inlogt hier op T.Net krijg je een ReactID; dat is eenzelfde code. Als ik die van jou kan "raden" kan ik onder jouw account surfen en heb ik heel je login niet nodig (en jij dus ook op de mijne, mocht je mijn ReactID kunnen raden). Nou; ik wens je veel plezier ermee

En dat is dan ook nog voor elke sessie; zo heb ik momenteel een stuk of 5-10 sessies (zie zelf je eigen sessies hier). En met een paar honderdduizend users en een gemiddeld aantal sessies van (ik roep maar wat) 3 of 4 kun je nagaan hoeveel sessies er in omloop zijn. En dan nog is de kans 0 dat je er een "raadt".

[ Voor 25% gewijzigd door RobIII op 19-03-2009 00:26 ]

Op zich kan je op deze manier wel een script schrijven wat random gaat raden, dan moet je toch een keer iets nuttigs tegenkomen zou je zeggen.

Hooglander1 schreef op donderdag 19 maart 2009 @ 00:24:
Op zich kan je op deze manier wel een script schrijven wat random gaat raden, dan moet je toch een keer iets nuttigs tegenkomen zou je zeggen.

Je hebt werkelijk geen idee hoeveel 2¹²⁸ is he?

Dat is 340.282.366.920.938.463.463.374.607.431.768.211.456 combinaties; (give or take, want sommige implementaties reserveren een paar bits).

[ Voor 18% gewijzigd door RobIII op 19-03-2009 00:27 ]

HEEEEUUUULLLLL VEEUEUUUUUULLLLLL (klopt dat papa RobIII? )

Maar dan nog, het "kan" wel natuurlijk.

Niemand doet het, iets met tijd en energie en resultaat. (Joepie, ik kan naar MOH, maar dan moet ik er wel heel vroeg zijn, voordat die andere er is )

@wiene Als je in kan loggen als bepaalde admins, dan heeft t.net wel echt een probleem hoor.

[ Voor 15% gewijzigd door Hooglander1 op 19-03-2009 00:29 ]

wiene schreef op donderdag 19 maart 2009 @ 00:27:
[...]

T.net is natuurlijk wel wat minder uitdaging als een systeem waarmee je kaarten á ruim 40 euro kunt kopieëren...

Je kunt veilig een prijs uitloven van 1 miljard voor degene die een door jou gekozen getal uit 2¹²⁸ combinaties weet te raden (en dan is de geldigheid bij jouw stelling ook nog eens een factor, dus je moet het ook nog eens raden binnen, zeg, 5 jaar). For-get it. Die hoef je nooit uit te keren.

quote: http://en.wikipedia.org/wiki/Guid

A globally unique identifier or GUID (pronounced /ˈguːɪd/ or /ˈgwɪd/) is a special type of identifier used in software applications in order to provide a reference number which is unique in any context (hence, "globally"), for example, in defining the internal reference for a type of access point in a software application, or for creating unique keys in a database. While each generated GUID is not guaranteed to be unique, the total number of unique keys (2¹²⁸ or 3.4×10³⁸) is so large that the probability of the same number being generated twice is infinitesimally small. For example, consider the observable universe, which contains about 5×10²² stars; every star could then have 6.8×10¹⁵ universally unique GUIDs.

Je maakt werkelijk in eender welke loterij dan ook miljarden keren meer kans Kun je beter de lotto proberen te voorspellen, dan heb je je kaartjes een paar biljoen jaar eerder

Linksom of rechtsom; als enkel het "ticket id" dus in de link staat zoals jij aangeeft en de technische implementatie verder goed is en alle andere eventuele externe factoren goed ingecalculeerd zijn dan is het voor een ticketsysteem echt (véél) meer dan afdoende. Again; het is niet alsof je er de nationale goudvoorraad mee kunt laten bezorgen op je thuisadresje (En zelfs die zou ik, persoonlijk, nog wel durven uitkeren als je mijn gekozen GUID kunt raden).

[ Voor 63% gewijzigd door RobIII op 19-03-2009 00:35 ]

Sowieso is de entropie van een gemiddeld wachtwoord dat je moet kunnen onthouden om in te loggen óntzettend veel kleiner dan die van deze random string, dus als je het achter een login zou hangen wordt het waarschijnlijk alleen maar onveiliger

eamelink schreef op donderdag 19 maart 2009 @ 00:39:
Sowieso is de entropie van een gemiddeld wachtwoord dat je moet kunnen onthouden om in te loggen óntzettend veel kleiner dan die van deze random string, dus als je het achter een login zou hangen wordt het waarschijnlijk alleen maar onveiliger

Bij een combinatie van beide wordt het wél veiliger, maar dat is marginaal en niet de moeite waard

wiene schreef op donderdag 19 maart 2009 @ 00:27:
[...]

T.net is natuurlijk wel wat minder uitdaging als een systeem waarmee je kaarten á ruim 40 euro kunt kopieëren...

Geloof me, de moeite die het kost is die 40 euro gewoon niet waard.

Overigens hebben we 't leuk en aardig over 128 bits codes, maar 't ding is 160 bits lang. Da's dus 1.461.501.637.330.902.918.203.684.832.716.283.019.655.932.542.976 mogelijkheden.

CyBeR schreef op donderdag 19 maart 2009 @ 01:01:
Overigens hebben we 't leuk en aardig over 128 bits codes, maar 't ding is 160 bits lang. Da's dus 1.461.501.637.330.902.918.203.684.832.716.283.019.655.932.542.976 mogelijkheden.

Ik was te lam om 'm helemaal te tellen
Maar 128 was al afdoende geweest, 160 is haast overkill te noemen (hoewel meer altijd beter is natuurlijk in dit geval).

En dat dan gewoon weer combineren met iets dat iemand bijv max 1.000 foute tickets per ip per dag mag hebben, ga je over die 1.000 heen dan geblacklist voor 24 uur.

1.000 is hoog genoeg dat ik gok dat geen enkele school / bedrijf ( inclusief proxy ) hier last van heeft ( zoniet gooi je het omhoog naar 10.000 of naar 100.000 zoals hierboven beschreven maakt dat niets uit ), het enige wat je op deze manier bereikt is dat je bruteforcers er iets makkelijker tussenuit kan filteren

Gomez12 schreef op donderdag 19 maart 2009 @ 01:33:
En dat dan gewoon weer combineren met iets dat iemand bijv max 1.000 foute tickets per ip per dag mag hebben, ga je over die 1.000 heen dan geblacklist voor 24 uur.

1.000 is hoog genoeg dat ik gok dat geen enkele school / bedrijf ( inclusief proxy ) hier last van heeft ( zoniet gooi je het omhoog naar 10.000 of naar 100.000 zoals hierboven beschreven maakt dat niets uit ), het enige wat je op deze manier bereikt is dat je bruteforcers er iets makkelijker tussenuit kan filteren

Los van dat inderdaad blacklisten bij "zo vaak mis" wel slim is, is 1.000 al vet overbodig. 3 tot 25 is meer dan genoeg, ook voor scholen of bedrijven die allemaal eenzelfde IP delen. Er is namelijk geen hond die zo'n code met de hand gaat overkloppen en iedereen klikt gewoon op de link. In gevallen waarin klikken niet kan gaan ze copy/pasten (en dat zou wel eens een keertje fout kunnen gaan als je een of een paar letters/cijfers zou vergeten). En voor die eppo's die dan toch gaan zitten overkloppen en een typo maken heb je aan een paar pogingen meer dan genoeg voor je kunt gaan blacklisten om 'veilig' aan te nemen dat ze zitten te klooien. En dat moet dan ook nog eens allemaal van hetzelfde IP komen. Ik vind 1.000 dan ook behoorlijk royaal

wiene schreef op donderdag 19 maart 2009 @ 00:22:
[...]

Dus ik die link bezoek op school, iemand anders gaat achter mijn pc zitten als ik eventjes wegben kan hij het ook zien.

Je maakt je druk om de beveiliging van dit systeem maar intussen loop je wel van een openbare computer weg zonder uit te loggen of de pc te locken?

NMe schreef op donderdag 19 maart 2009 @ 02:10:
[...]

Je maakt je druk om de beveiliging van dit systeem maar intussen loop je wel van een openbare computer weg zonder uit te loggen of de pc te locken?

Feit blijft wel dat de link per definitie de sleutel is. Dat betekend dat bij inbraak op zijn email account er per definitie misbruik mogelijk is. Ik vind het dan ook niet zo vreemd dat de TS het genoemde systeem als onveilig ervaart. De link koppelen aan een verplichte inlog (waarbij het ww dus niet per email is "bevestigd") zou het systeem wel veiliger maken, zonder dat het systeem technisch veel lastiger wordt of usability in het gedrang komt.

rodie83 schreef op donderdag 19 maart 2009 @ 02:32:
[...]


Feit blijft wel dat de link per definitie de sleutel is. Dat betekend dat bij inbraak op zijn email account er per definitie misbruik mogelijk is. Ik vind het dan ook niet zo vreemd dat de TS het genoemde systeem als onveilig ervaart. De link koppelen aan een verplichte inlog (waarbij het ww dus niet per email is "bevestigd") zou het systeem wel veiliger maken, zonder dat het systeem technisch veel lastiger wordt of usability in het gedrang komt.

Dan doe je eerst een "I forgot my password"-aanvraag, gezien die in 9 van de 10 keer via een username/email-combinatie werken. Gewoon zorgen dat je emailaccount niet 'gekraakt' wordt dus;)