Commentaires sur : Pourquoi je ne crois pas au vol des mots de passe de Skyrock

Par : moi

moi — Sun, 06 Jun 2010 21:36:23 +0000

Rien d’oblige à dumper une base sur une seule rqt (faudrait être tres con d’ailleurs pour faire ça). Une fois que t’a accès à la base tu peux dumper ça à coup de 500 lignes et ça passe completement inaperçu.

Par : rez

rez — Thu, 03 Jun 2010 14:24:10 +0000

cool

Par : Paul

Paul — Tue, 01 Jun 2010 12:50:50 +0000

Même si effectivement il télécharge à 10Mo/s ce qui est peu probable étant donné que la personne en question, un minimum intelligent pour avoir percé les défenses de Skyrock, dois se protéger derrière un quelconque système anonymisant (proxy, vpn, tor, …) qui ralentissent fortement la connexion, quel intérêt aurait Skyrock à permettre des connexions aussi longues sur leurs serveurs ?

D’autant qu’encore une fois 1Go c’est vraiment une estimation très basse de la taille réelle du fichier. Refais tes calculs avec un fichier de 3Go et une connexion de 1Mo/s (relativement commun) planqué derrière un vpn qui la ralentisse de 20%…

Par : crashdump.fr

crashdump.fr — Tue, 01 Jun 2010 12:00:59 +0000

Mettons que l’attaquant ai fetché la DB depuis un lien a 100Mb, soit ~ 10Mo/s. Si la base était de l’ordre du Go, ça donne environ… 100s.

Soit a peine plus d’une minute.. la chose, glissée a 4 heures du mat’ peut facilement passer inaperçue jusqu’au lendemain.. Les données sont déjà loin !

Par : moi

moi — Mon, 31 May 2010 07:49:20 +0000

5go c’est tellement rien pour ce type de site…
Nous éditons des sites à trafic medium (+/- 2 millions de pap/jours) et nos bases prennent 2000 rqt/s et des centaines de Go par jours.
Même si on dumpait toute notre base (+/- 10 go) on le verrais pas alors vu le traf de sky, aucune chance

Par : Mr Xhark

Mr Xhark — Fri, 28 May 2010 14:29:08 +0000

Ils l’ont remarqué, mais après coup.
Vu le traffic qui passe sur Skyrock, un pic de 1go doit vraiment pas se noyer dans la masse. Et puis quand t’es incapable de crypter tes mots de passes, pas sûr que tu sois meilleur pour détecter des intrusions en temps réel…

Par : Simon

Simon — Wed, 26 May 2010 16:30:50 +0000

On notera qu’une fois de plus les « autorités » ont fait autorité en matière de choix technologiques

Par : val

val — Wed, 26 May 2010 10:54:20 +0000

deja pour camouflé le débit de telechargement tu peux faire programmer le download pour faire des pauses toutes les tant octets telechargé, changer l’apparance de l’ip et reprendre le telechargement, …
Et enfin quel est l’interet de posséder une tel base de donnée ? et bien seul une grosse société peux se permettre d’avoir un quelquonque interet pour ces données, aux meme fins que facebook, et dans quelques années le resultat de tout cela sera monstrueux

Par : Paul

Paul — Tue, 25 May 2010 21:11:39 +0000

C’est pas tant sur la quantité que sur la persistance de la connexion que je pense qu’il devrait y avoir des alertes : à part pour faire leur backups, il n’y a aucune raison qu’une connexion reste ouverte aussi longtemps compte tenu de leur contenu habituel (photos de quelques Ko + texte plein de fautes et de couleurs)…

Et je pense que la table utilisateur doit aller chiffrer dans les 5Go, tous les chiffres utilisés dans l’article sont minimisés pour arriver à la conclusion que même en prenant un cas de figure extrême ils auraient du s’en apercevoir…

Par : Keeg

Keeg — Tue, 25 May 2010 21:04:17 +0000

Article intéressant, mais je ne suis pas forcement en accord avec la conclusion. Je ne sais pas trop comment est foutu l’architecture des BDD de Skyrock, mais elles sont forcement ultra-sollicitées. Du coup 1GO de plus ou de mois, ça ne me semble pas énorme pour eux. Et sur un temps court, il suffit qu’il n’y ait personne qui suive l’utilisation à ce moment là, et le tour est joué.