[ Príspevkov: 30 ] 
AutorSpráva
Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Bezpečnosť $_COOKIE

Registrovaný: 01.05.05
Príspevky: 12424
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
NapísalOffline : 26.10.2014 22:12 | Bezpečnosť $_COOKIE

S cookies nemam ziadnu velku skusenost, riesim automaticke prihlasovanie a chcel by som informacie do cookies ukladat zasifrovane, toto mam uz vsetko spravene ako ma to napadlo spravit a teraz ma zaujima nacitanie danej hodnoty, treba $_COOKIE['asdf'] osetrit cez nejake bezpecne funkcie ako sa to robieva pri $_POST ci $_GET?

Ukladanie ma napadlo asi takto nejak, to som uz aj spravil. Vytvorim si pole a ukladam donho na overenie id daneho profilu, zasifrovane heslo cez md5() z tabulky z uctom, dalej tam ukladam cas, vygenerovany retazec. Cele sa to zabali a zasifruje klucom. Kedze viem postup, tak obratene si z $_COOKIE['asdf'] viem vsetko vytiahnut a to nasledne overim s ulozenymi hodnotami v tabulke pre autoprihlasovanie. Neviem ci to je uz nejak moc prehnane, alebo blbo riesene, napadlo ma take riesene, mozno sa to da robit efektivnejsie, nechcem ale pouzit nejake hotovre riesenie ale sam by som si to chcel nejak spravit :) No a zaujima ma ci treba $_COOKIE['asdf'] pretiahnut cez nejake bezpecne funkcie v pripade ze by utocnik chcel manipulovat s cookies?


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Čestný člen
Čestný člen
Bezpečnosť $_COOKIE

Registrovaný: 21.02.06
Prihlásený: 08.12.14
Príspevky: 5447
Témy: 30 | 30
Bydlisko: Bratislava
NapísalOffline : 26.10.2014 22:21 | Bezpečnosť $_COOKIE

Počkať, ty do cookies ukladáš aj heslo? Lebo nič z takýchto informácií (kritických, pokiaľ ide o bezpečnosť) nepatrí do cookies.
Napr. tu sa o tom píše: http://jaspan.com/improved_persistent_l ... t_practice


_________________
Neradím a nekomunikujem cez SS, ak niečo potrebujete, máte iné možnosti: Ak vám zmizla téma, alebo sa vám niečo nepáči. Ak potrebujete nahlásiť príspevok/človeka, reportujte ho. Ak máte s niečim problém, riešte to v danej téme.
Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Bezpečnosť $_COOKIE

Registrovaný: 01.05.05
Príspevky: 12424
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 26.10.2014 22:27 | Bezpečnosť $_COOKIE

Aha, jasne, len som si ho tam dovolil ulozit preto, ze je to uz heslo z databazy ktore je uz spracovane cez md5, ja som ho este raz prebehol cez md5, ulozil do pola s dalsimi informaciami, to vsetko zabalil cez gzip a zasifroval svojim klucom. Slo mi len o to aby som mal s cim porovnat pri prvom overeni ze sa skutocne jedna o daneho uzivatela a to ma napadlo spravit ze jedna z moznosti by bolo aj samotne heslo, ale tak to odtial teda odstranim, myslel som si ze by to bola asi blbost, len ked cele cookies su zasifrovane, tak bez kluca by s tym aj tak nic nezmohol, ci? Idem mrknut na ten clanok....a treba $_COOKIE nejak osetrovat ako tomu je pri $_POST ci $_GET kde sa pouziva trebars mysqli_real_escape_string(), treba tiez take nieco pouzivat? Ci tam je to jedno?


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 13.11.07
Prihlásený: 20.08.16
Príspevky: 1719
Témy: 0 | 0
NapísalOffline : 26.10.2014 23:56 | Bezpečnosť $_COOKIE

Naozaj potrebuješ do cookie ukladať niečo iné ako session id? (má to zmysel len ak z nejakého špeciálneho dôvodu nechceš alebo nemôžeš používať session uložené na serveri)

To, či treba ošetrovať nejaké HTTP hlavičky záleží od toho, čo s nimi budeš robiť. (napr. ak nebudeš cookie zobrazovať priamo v html alebo v javascripte a nebudeš to ukladať do DB, tak s tým nič špeciálne robiť nemusíš)


Offline

Skúsený užívateľ
Skúsený užívateľ
Bezpečnosť $_COOKIE

Registrovaný: 24.01.08
Prihlásený: 13.09.17
Príspevky: 14691
Témy: 66 | 66
Bydlisko: Žilina
Vek: 30
NapísalOffline : 26.10.2014 23:57 | Bezpečnosť $_COOKIE

Na md5 úplne zabudni a ešte úplnejšie zabudni na hashovanie hashov...


_________________
C#, PHP, ...
Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 13.11.07
Prihlásený: 20.08.16
Príspevky: 1719
Témy: 0 | 0
NapísalOffline : 27.10.2014 0:08 | Bezpečnosť $_COOKIE

Keďže to celé zakóduje, tak je úplne jedno, akú hash funkciu tam použije (ak tam teda použije rozumne zložitú šifru). :)


Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Bezpečnosť $_COOKIE

Registrovaný: 01.05.05
Príspevky: 12424
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 27.10.2014 0:25 | Bezpečnosť $_COOKIE

chrono píše:
Naozaj potrebuješ do cookie ukladať niečo iné ako session id? (má to zmysel len ak z nejakého špeciálneho dôvodu nechceš alebo nemôžeš používať session uložené na serveri)

To, či treba ošetrovať nejaké HTTP hlavičky záleží od toho, čo s nimi budeš robiť. (napr. ak nebudeš cookie zobrazovať priamo v html alebo v javascripte a nebudeš to ukladať do DB, tak s tým nič špeciálne robiť nemusíš)

Chcel by som aby sa bolo mozne automaticky prihlasit s viacerych pocitacov, tiez chcem aby sa to nedalo zneuzit nejakou manipulaciou cookies, ako toto popravde robim prvy krat...

walther píše:
Na md5 úplne zabudni a ešte úplnejšie zabudni na hashovanie hashov...
co inde namiesto md5 pouzivat teda? pomocou md5 ukladam hesla, je nieco lepsie?

// Spojený príspevok Pon 27.10.14 0:26

chrono píše:
Keďže to celé zakóduje, tak je úplne jedno, akú hash funkciu tam použije (ak tam teda použije rozumne zložitú šifru). :)

pouzivam na to MCRYPT_RIJNDAEL_256, to som sa aspon docital ze je asi najlepsi algoritmus, neviem teda ci tomu tak skutocne je :)


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Skúsený užívateľ
Skúsený užívateľ
Bezpečnosť $_COOKIE

Registrovaný: 24.01.08
Prihlásený: 13.09.17
Príspevky: 14691
Témy: 66 | 66
Bydlisko: Žilina
Vek: 30
NapísalOffline : 27.10.2014 0:30 | Bezpečnosť $_COOKIE

Samozrejme, md5 je nepoužiteľné už niekoľko rokov..
Pozri si niečo o PBKDF2 a solení...
Napr

https://crackstation.net/hashing-securi ... sourcecode
http://en.wikipedia.org/wiki/PBKDF2


_________________
C#, PHP, ...
Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Bezpečnosť $_COOKIE

Registrovaný: 01.05.05
Príspevky: 12424
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 27.10.2014 1:13 | Bezpečnosť $_COOKIE

Cize mozem pouzit funkciu ktoru ma php uz priamo v sebe, ci? http://php.net/manual/en/function.hash-pbkdf2.php


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Skúsený užívateľ
Skúsený užívateľ
Bezpečnosť $_COOKIE

Registrovaný: 24.01.08
Prihlásený: 13.09.17
Príspevky: 14691
Témy: 66 | 66
Bydlisko: Žilina
Vek: 30
NapísalOffline : 27.10.2014 1:16 | Bezpečnosť $_COOKIE

Ak máš na serveri aspoň php 5.5.0, tak áno.


_________________
C#, PHP, ...
Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Bezpečnosť $_COOKIE

Registrovaný: 01.05.05
Príspevky: 12424
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 27.10.2014 1:19 | Bezpečnosť $_COOKIE

Hej mam, ale nerozumiem tomu, ako o sifrovani viem tolko a este na konci bodka :) proste je to absolutne mimo mna, ak pouzijem na salt $salt = mcrypt_create_iv(16, MCRYPT_DEV_URANDOM); tak he vygenerovany hash vzdy iny, ako ho mozem porovnat s mojim heslom ktore sa mi prvy krat ulozilo do databazy, ked dalsie vygenerovanie je ine...tomu moc dobre nerozumiem. Vysledok md5() som mal ako porovnat s tym co som mal v db, ale teraz? si salt mam mat vzdy ten isty?


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Skúsený užívateľ
Skúsený užívateľ
Bezpečnosť $_COOKIE

Registrovaný: 24.01.08
Prihlásený: 13.09.17
Príspevky: 14691
Témy: 66 | 66
Bydlisko: Žilina
Vek: 30
NapísalOffline : 27.10.2014 1:26 | Bezpečnosť $_COOKIE

V tom linku čo som dal je o hashovaní toho dosť popísaného, treba pokukať, ak ťa to zaujíma (prebehnúť by si to mal ale tak či tak, nech máš aspoň zhruba predstavu, keď chceš programovať takéto veci).
https://crackstation.net/hashing-security.htm

Hej, salt je ten istý, ale pre každého usera iný. V tom linku sú odporúčania aj ohľadne tohto...


_________________
C#, PHP, ...
Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Bezpečnosť $_COOKIE

Registrovaný: 01.05.05
Príspevky: 12424
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 27.10.2014 1:38 | Bezpečnosť $_COOKIE

No hej, len to mi nejde ako tak na rozum. Ak mam preddefinovany salt s nejakou hodnotou, tak viem heslo overovat. Mas pre kazdeho usera iny, to by som este ako tak zvladol, ze k nejakemu predefinovanemu by som pridaval nejaky vygenerovany na zaklade hesla ktore zada, netusim, z toho mam uz fakt poriadnu hlavu, nechcem si tym po nejakom case odpalit vsetko kvoli niecomu a budu nefunkcne vsetky hesla apod...


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Skúsený užívateľ
Skúsený užívateľ
Bezpečnosť $_COOKIE

Registrovaný: 24.01.08
Prihlásený: 13.09.17
Príspevky: 14691
Témy: 66 | 66
Bydlisko: Žilina
Vek: 30
NapísalOffline : 27.10.2014 1:51 | Bezpečnosť $_COOKIE

Príde user na stránku, zadá heslo. Vytvoríš si nejaký salt (je jedno aký, ale nemal by byť moc krátky). Salt zahashuješ a pomocou neho a zadaného hesla urobíš skombinovaný hash. K tomuto hashu pripojíš povedzme na koniec zahashovaný salt (napr, ide len o to, aby si použitý salt nestratil).

Napr:
zadané heslo - jano
tebou vygenerovaný náhodný salt - asfSľč24kfsfasf_daf
zahashovaný salt: 2AS2#FFASkF$%HJJS

teraz skombinuješ jano + 2AS2#FFASkF$%HJJS a prejdeš hashovacou funkciou
z toho ti vypľuje nejaký hash, napr. FAJFOJFHFMB35G39V

k tomuto pripojíš zahashovaný salt, takže výsledok v db bude v tomto prípade takýto: FAJFOJFHFMB35G39V2AS2#FFASkF$%HJJS


Keď príde user znovu a chce sa prihlásiť, znovu ti zadá heslo. Dostaneš napr správne heslo, teda "jano". Salt už negeneruješ, ten vytiahneš z toho uloženého reťazca v db. "Ako" je jednoduché - poznáš počet znakov výsledného hashu, takže vieš, odkiaľ pokiaľ je správny výsledný hash, a kde začína/končí salt.
Vezmeš teda zadané heslo a salt, zahashuješ a porovnáš to proti správnemu výsledku (tj. tá prvá časť z db stringu).


_________________
C#, PHP, ...
Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Bezpečnosť $_COOKIE

Registrovaný: 01.05.05
Príspevky: 12424
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 27.10.2014 1:56 | Bezpečnosť $_COOKIE

Jasne, teraz som sa k tomu dostal na tej stranke ze ako na to, toto mi presne neslo do hlavy, ako mam utajnit aj hash aj salt ale teraz citam aj tam, ze salt nemusi byt tajny a mozem ho ukladat do databazy, no skusim sa s tym pohrat, aj ked md5() mi bolo jednoduchsie, ale aj tak si prerabam cele prihlasovanie skrz tej automatickej moznosti prihlasenia, tak to spravim cele nanovo :) vdaka za nakopnutie ze ako sa na to asi...

// Spojený príspevok Pon 27.10.14 1:59

Vsade citam ze je dobre mat nastavenych aspon 1000 iteracii, na nejakom webe som sa ale docital ze pocet iteracii je kazdy rok dobre zdvojnasobovat a k roku 2013 tusim tam niekto uviedol ze je dobre uz okolo 90000, tomu este ako nejak moc nerozumiem, 100000 je este v pohode, ale to mi pride ako blbost, to by mala byt pre mna asi konstanta s ktorou nebudem manipulovat ci ano? to by som potom mal aj toto ukladat ku kazdemu heslo do databazy zvlast aby som sa vedel k tomu dostat nie?


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Skúsený užívateľ
Skúsený užívateľ
Bezpečnosť $_COOKIE

Registrovaný: 24.01.08
Prihlásený: 13.09.17
Príspevky: 14691
Témy: 66 | 66
Bydlisko: Žilina
Vek: 30
NapísalOffline : 27.10.2014 2:10 | Bezpečnosť $_COOKIE

Počet iterácií býva nastavený ako konštanta.. Ibaže by si počítal s tým, že v budúcnosti to budeš chcieť meniť, ale je otázne, či treba byť až tak paranoidný...
Na koľko presne to nastaviť je otázne a neviem, či na to existuje nejaká univerzálna odpoveď. Čím viac, tým lepšie, ale zároveň aj pomalšie. Ideálne by bolo asi vyskúšať, ako dlho bude trvať generovanie hashu na tvojom serveri a uvidíš, čo je akceptovateľné...


_________________
C#, PHP, ...
Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Bezpečnosť $_COOKIE

Registrovaný: 01.05.05
Príspevky: 12424
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 27.10.2014 2:24 | Bezpečnosť $_COOKIE

takze skusim otestovat, ved do 1 sekundy sa mozem zmestit, to nie je dlha doba a nemusim to riesit dlhsi cas aj tak sa to spracuvava len pri prihlasovani a registracii, ci zmene hesla, takze sa to da prezit asi :-) ok vdaka za rady, este s tym isto otravim, ale uz tomu trosku viac chapem, uz ma aj oci z toho clanku bolia, jedna vec mi este nie je jasna, aj ty sa zmienujes aj v tom clanku ze mam spravit hash, tym sa mysli co presne, ako spravim salt viem, ale hash? ako nejakou beznou hash funkciou? ci mam k tomu vyuzivat pbkdf2?

// Spojený príspevok Pon 27.10.14 2:28

a este jedna vec co ma napadla, je lepsie pri pbkdf2 pouzivat lenght = 0 a nechat to na alkgoritme tej funkcie, alebo to mam sam nastavovat?


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Skúsený užívateľ
Skúsený užívateľ
Bezpečnosť $_COOKIE

Registrovaný: 24.01.08
Prihlásený: 13.09.17
Príspevky: 14691
Témy: 66 | 66
Bydlisko: Žilina
Vek: 30
NapísalOffline : 27.10.2014 2:35 | Bezpečnosť $_COOKIE

Hashe urobíš práve pomocou pbkdf2 :)
No hej, jedna sekunda nie je dlhá doba, ale zasa počítaj, že naraz na tej stránke nebude len jeden user (predpokladám) a pri registrácii vytváraš vlastne hash 2x, pri logine potom "len" raz.
Pri webstránkach sa zvykne odporúčať okolo 10ms. (aspoň čo som sa zatiaľ dočítal)


_________________
C#, PHP, ...
Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Bezpečnosť $_COOKIE

Registrovaný: 01.05.05
Príspevky: 12424
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 27.10.2014 2:39 | Bezpečnosť $_COOKIE

Napr:
zadané heslo - jano
tebou vygenerovaný náhodný salt - asfSľč24kfsfasf_daf
zahashovaný salt: 2AS2#FFASkF$%HJJS //toto spravim cez pbkdf2?


teraz skombinuješ jano + 2AS2#FFASkF$%HJJS a prejdeš hashovacou funkciou //toto spravim opet pbkdf2?
z toho ti vypľuje nejaký hash, napr. FAJFOJFHFMB35G39V

k tomuto pripojíš zahashovaný salt, takže výsledok v db bude v tomto prípade takýto: FAJFOJFHFMB35G39V2AS2#FFASkF$%HJJS

// Spojený príspevok Pon 27.10.14 2:41

a este jedna vec co ma napadla, je lepsie pri pbkdf2 pouzivat lenght = 0 a nechat to na alkgoritme tej funkcie, alebo to mam sam nastavovat?


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Skúsený užívateľ
Skúsený užívateľ
Bezpečnosť $_COOKIE

Registrovaný: 24.01.08
Prihlásený: 13.09.17
Príspevky: 14691
Témy: 66 | 66
Bydlisko: Žilina
Vek: 30
NapísalOffline : 27.10.2014 2:41 | Bezpečnosť $_COOKIE

Áno.
Čo sa týka dĺžky, 128 by malo byť ok.
Však pozri sem http://security.stackexchange.com/quest ... e-of-the-s


_________________
C#, PHP, ...
Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Bezpečnosť $_COOKIE

Registrovaný: 01.05.05
Príspevky: 12424
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 27.10.2014 12:49 | Bezpečnosť $_COOKIE

ok dik, idem sa teda tym este chvilu zaoberat, snad to spravim dobre :-)

// Spojený príspevok Pon 27.10.14 2:49

inac ja som myslel ze md5() je este bezne pouzivana, dobre ze nerobim stranky ako na beziacom pase a ze je to len moja druha vec co sa snazim nakodit cele sam, asi by som mal vsade md5() :lol: mi to pride take jednoduche, ale tak uz ked som sa celkom dost venoval bezpecnosti vstupov a vsetkeho, tak by bolo asi smiesne mat hesla ulozene pomocou md5(), este tak vyriesit sifrovanie sprav medzi uzivatelmi aby som k tomu nemal ani ja ako prevaadzkovatel pristup, tak to by bolo uplne super, ale na to nemam uz kapacitu :lol:

// Spojený príspevok Pon 27.10.14 4:27

Cim dlhsia dlzka tym lepsie? skusil som 128, 512, 1024 a moc velky rozdiel v rychlosti tam nie je. Jedine v tej iteracii si na locale mozem dovolit pre obe hash_pbkdf2 zvolit 100000 a je to asi tak rychle ako na hostingu ked mam nastavenych 5000 :lol:


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Bezpečnosť $_COOKIE

Registrovaný: 01.05.05
Príspevky: 12424
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 04.11.2014 23:57 | Bezpečnosť $_COOKIE

Takze som to nejak zbastlil, chcem len vediet ci som na nieco nezabudol, popripade by sa to mozno dalo lepsie spravit, fakt netusim, mozno az moc paranoidne na to pozeram a zbytocne, neviem. Vymenil som vsetky md5 funkcie za pbkdf2 ako mi poradil walther. Uzivatel po prihlaseni moze zapnut automaticke prihlasovanie, ide mi o to aby sa dalo prihlasit z xy inych zariadeni sucasne a user o tom zaroven vedel, ze je prihlaseny zrovna na pocitaci, na mobile, na chladnicke... :) heslo ukladat do cookies bol fakt nezmysel ako napisal shaggy aj ked su cookies cele sifrovane, cize po zapnuti autoprihlasovania sa mi do tabulky ulozi id daneho profilu, datum vytvorenia, posledne prihlasenie cez cookies a vygenerovany token. Netusim ako riesit to, ze by niekto uchmatol cookies z ineho prehliadaca tak ma napadlo tam pridat $_SERVER['HTTP_USER_AGENT'], to je ukladane cez md5(), to mi pride asi zbytocne na to pouzivat cosi nove. Vsetky tieto informacie sa cez gzip skomprimuju a zasifruju mojim klucom a ulozia do cookies. Po prihlaseni sa cez cookies vsetko desifruje, rozbali a porovnaju data v tabulke, tiez sa overi momentalna informacia z $_SERVER['HTTP_USER_AGENT'] s tou ktora je ulozena v databaze a v cookies, ak sa nezhoduje tak prihlasenie sa neuskutocni, neviem ci je to zbytocnost, alebo to je pouzitelne, len ma to napadlo ak by niekto skopcil cookies z nejakeho pocitaca a chcel ich vyuzit na inom pocitaci, mozno sa to da lepsie vyriesit, snad niekto napise ako. Dalej sa overi id profilu a dany token a ked je vsetko splnene, tak uzivatela prihlasi, inac nie. Da sa to nejak lepsie a bezpecnejsie spravit? Ide mi hlavne o tu bezpecnost, aj kvoli tomu som tam pridal stlpec s poslednym prihlasenim aby som automaticky mohol mazat prihlasenia starsie ako x dni. Mozno to cele nejak komplikujem, neviem...


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 13.11.07
Prihlásený: 20.08.16
Príspevky: 1719
Témy: 0 | 0
NapísalOffline : 05.11.2014 10:08 | Bezpečnosť $_COOKIE

Naozaj potrebuješ ukladať do COOKIES čokoľvek iné ako SID? Aj tak musíš mať všetky potrebné údaje uložené na serveri, takže dávať ich aj do COOKIES ničomu nepomôže.


Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Bezpečnosť $_COOKIE

Registrovaný: 01.05.05
Príspevky: 12424
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 05.11.2014 14:06 | Bezpečnosť $_COOKIE

Ani neviem, chcem aby sa nedali nejak zneuzit, ono to je asi jedno nie? aj tak to je cele skomprimovane a zasifrovane, skor by ma zaujimalo ako zabranit tomu aby mohol niekto z pocitaca A skopirovat cookies na pocitac B a znefunkcnit moznost prihlasenia, ako docielit nieco take? $_SERVER['HTTP_USER_AGENT'] mi stacit asi isto nebude, mozno ukladat do db nejaky vkvazi odtlacok systemu, ktory by som mohol generovat asi len nejak obmedzene za pomoci $_SERVER[], ci je nejake dobre riesenie na to?


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 13.11.07
Prihlásený: 20.08.16
Príspevky: 1719
Témy: 0 | 0
NapísalOffline : 05.11.2014 20:26 | Bezpečnosť $_COOKIE

Odtlačok systému je zbytočné robiť, pretože ak budem chcieť ukradnúť session, tak si v prvom rade zistím, čo presne sa posiela serveru a budem posielať úplne rovnaké údaje. :)

Na internete je toho o "session hijacking" popísané dosť veľa a používajú sa rôzne techniky pre rôzne vektory útoku (napr. proti odpočúvaniu je najrozumnejšie použiť HTTPS). Proti tomu skopírovaniu pomôže napr. IP adresa, problém ale je, že sa môže meniť (hlavne na mobiloch), preto sa napr v phpBB dá nastaviť, aká časť IP adresy sa má používať. Ďalšia možnosť je meniť SID, takže SID bude časom neplatné pre útočníka alebo pre používateľa (a server v takom prípade môže vypísať upozornenie, že cez danú session pristupuje aj niekto iný).

Možností je viac a pravdepodobne žiadne univerzálne a dokonalé riešenie neexistuje.


Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Bezpečnosť $_COOKIE

Registrovaný: 01.05.05
Príspevky: 12424
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 17.11.2014 20:49 | Bezpečnosť $_COOKIE

Pises ze si v prvom rade zistis co sa posiela serveru, ale to ako zistis, ked cookies sa ulozi komprimovane a zasifrovane mojim klucom ku ktoremu nemas pristup? Jedine ze by si ziskal obsah cookies co su v danom pc ulozene, z toho dovodu pouzijem https a tym padom ich nedokazes odchytavat. Tak? Odltacok ma napadal preto, ze snad asi som tymto sposobom zabranil manipulovat s cookies a teda ak by som tam mal odlatock systemu, tak keby niekto fyzicky skopiroval obsach cookies a chcel ich pouzit u seba na inom pocitaci, tak by mu to bolo na nic, lebo odtlacok systemu by musel mat tiez rovnaky. Blba myslienka? Overovat ip nechcem, mna sameho by to otravovalo ak by som bol na mobile a dostal novu ip a mna odhlasilo...


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 13.11.07
Prihlásený: 20.08.16
Príspevky: 1719
Témy: 0 | 0
NapísalOffline : 18.11.2014 11:26 | Bezpečnosť $_COOKIE

Zistím to tak, že sa pozriem, kde sa generujú údaje, ktoré sa potom pošlú serveru (či už cez cookies, alebo cez GET/POST, HTTP hlavičku...). Prípadne to ani nemusím analyzovať, stačí, ak tú tvoju javascript knižnicu použijem na mojej stránke a nechám si poslať potrebný odtlačok. :)


Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Bezpečnosť $_COOKIE

Registrovaný: 01.05.05
Príspevky: 12424
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 18.11.2014 14:14 | Bezpečnosť $_COOKIE

A co ked dany odtlacok doplnim zo strany php servera este o nejaku informaciu ku ktorej sa ty nedostanes?


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
Offline

Skúsený užívateľ
Skúsený užívateľ
Obrázok užívateľa

Registrovaný: 13.11.07
Prihlásený: 20.08.16
Príspevky: 1719
Témy: 0 | 0
NapísalOffline : 18.11.2014 15:35 | Bezpečnosť $_COOKIE

A na základe čoho by si generoval tú hodnotu na serveri? Na identifikáciu používateľa nemôžeš použiť cookies, pretože bez tej hodnoty nevieš, či tá session len nebola skopírovaná.


Offline

Prevádzkovateľ fóra
Prevádzkovateľ fóra
Bezpečnosť $_COOKIE

Registrovaný: 01.05.05
Príspevky: 12424
Témy: 1447 | 1447
Bydlisko: Bratislava
Vek: 32
Napísal autor témyOffline : 18.11.2014 19:02 | Bezpečnosť $_COOKIE

No je to asi blbost, som asi moc paranoidny :lol: len som chcel co najlepsie zabezpecit ucet ako taky aj s automatickym prihlasovanim...


_________________
SilverStone SST CS01 | Corsair SF600 600W SFX | ASRock X99E-ITX/ac | Intel Xeon E5-2683 v4 (16 Cores / 32 Threads) & Noctua NH-U9DX i4 | Kingston HyperX Savage 32 GB DDR4 2400 MHz | PNY NVIDIA Quadro K1200 DP 4 GB DDR5 | Intel SSD 750 1.2 TB NVMe & Intel SSD 730 240 GB SATA & Seagate BackUp Plus Portable 12 TB USB | 31.5" 4K LCD EIZO FlexScan EV3237 & 2 x 24" LCD EIZO FlexScan EV2451 | Ergotron LX Wall Mount Keyboard Arm | Logitech Craft | Logitech Wireless G700s | Harman Kardon Nova | Microsoft Windows 7 Ultimate | APC Back-UPS ES 700 | Lenovo ThinkPad X250 - Intel Core i7 5600U, 8 GB DDR3 1600 MHz, Intel HD Graphics 5500, SanDisk SSD 512 GB, 12.5 FHD LED IPS, WWAN 3G 4G LTE, Microsoft Windows 7 Ultimate | Nintendo Classic Mini | BlackBerry Passport 96 GB
 [ Príspevkov: 30 ] 


Bezpečnosť $_COOKIE



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

bezpecnost

v PHP, ASP

6

371

05.02.2008 16:27

p360t

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpecnost stranky

v PHP, ASP

5

184

24.08.2013 22:04

shaggy

V tomto fóre nie sú ďalšie neprečítané témy.

bezpečnosť webu

v PHP, ASP

12

233

18.02.2013 15:18

PepperSK

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť COOKIE

v PHP, ASP

17

800

25.10.2008 14:02

Tominator

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť videa

v Krčma

11

378

30.01.2012 9:39

TESLA

V tomto fóre nie sú ďalšie neprečítané témy.

akú bezpečnosť

v Bezpečnosť a firewally

18

2077

06.08.2007 13:05

Rbot

V tomto fóre nie sú ďalšie neprečítané témy.

SKYPE bezpečnosť

v Sieťové a internetové programy

3

998

07.05.2010 15:32

tonky51

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť webu

v Ostatné

1

116

22.02.2016 19:08

chrono

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpecnost routeru

v Bezpečnosť a firewally

1

472

28.11.2009 11:32

Jaro

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpecnost $_POST

v PHP, ASP

26

666

15.01.2015 23:57

chrono

V tomto fóre nie sú ďalšie neprečítané témy.

VB-bezpečnosť

v Delphi, Visual Basic

6

581

21.05.2009 11:41

Fico

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť ICQ

[ Choď na stránku:Choď na stránku: 1, 2 ]

v Bezpečnosť a firewally

30

5528

19.08.2007 23:09

piskvorko

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť obrázkov

v PHP, ASP

8

320

10.01.2009 21:08

shaggy

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť MYSQL

v PHP, ASP

2

376

15.03.2008 18:55

Tominator

V tomto fóre nie sú ďalšie neprečítané témy.

Bezpečnosť Windows

v Antivíry a antispywary

7

232

17.11.2015 13:33

shiro

V tomto fóre nie sú ďalšie neprečítané témy.

Magio a bezpečnosť

v Siete

4

251

15.02.2009 9:53

j.matrix



© 2005 - 2017 PCforum, edited by JanoF