Seleccionar idioma:
Realizar Donación - Mods Premium - Portfolio



Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.
* ¿Cómo lograr que los usuarios únicamente puedan acceder por webchat al IRC?
  Leído 2296 veces
* Viendo el foro
 0 Usuarios y 1 Visitante están viendo este foro.


*
Jul 21 2016


Hola amigos!! :)


Me gustaría hacer un aporte en mi foro pero voy a necesitar la ayuda de alguien con experiencia en páginas webs y de varios lenguajes de programación.

El aporte consistiría en usar un Chat IRC como webchat, es decir que solamente sea accesible por página web y no por cliente de IRC (como por ejemplo el mIRC).
El webchat que me gustaría usar sería LightIRC ya que el Software más usado, más completo y de mejor calidad.

Si bien ese webchat se puede instalar y configurarlo, pero no es posible usarlo por "defecto", es decir que solamente los usuarios puedan ingresar al chat IRC por medio de ese webchat y no por algún Software o script.

La razón de este aporte es que varios usuarios me han preguntado como se puede lograr hacer ésto y realmente hay servidores que usan técnicas/mañas para ingeniarselas y lograr que solamente los usuarios entren por webchat, pero.... algunos tienen un poco de conocimiento y logran vulnerar esa "protección".

Hace ya un tiempo he visto un webchat de un Servidor IRC que el dueño se la ha ingeniado para lograr que sus usuarios accedan únicamente por la página, pero no faltó quién logre vulnerar eso... éste admin logró cambiar el nombre del archivo de javascript "config.js" (que es uno de los archivos del webchat y que ahí tiene la configuración) a algo similar a esto:

eb7a68a6d2e832fdd49fae8d74432afc4b6fbb77

incluso ese archivo en javascript está codificado por dentro para que sea difícil poder saber que tiene ahí dentro... sin embargo al copiar el contenido de ese archivo y pegarlo en el campo de alguna página web que convierta X codificación a X codificación, se logra descifrar 2 cosas importantes:

1. El puerto que utiliza el webchat/IRC.
2. La contraseña del servidor para poder conectar, ya que en el IRC se puede configurar una clave para que solamente con esa contraseña se pueda acceder.

como verán amigos... el tema parece fácil pero a su vez difícil... por eso quisiera saber qué método puedo usar para lograr que los usuarios no puedan saber el contenido de ese archivo en Javascript y que sea por ejemplo altamente encriptado y que la única manera de que trabaje sería que lo use el mismo navegador.

Aunque se puede buscar otra manera para evitar que accedan por Software, muchos admins desean hacer esto en su chat para evitar "el ingreso masivo de clones/conexiones".

Yo he pensado una forma, sería que mediante Javascript se use un método para que se pueda leer un archivo de texto y dentro de ese archivo esté la contraseña del servidor, obviamente javascript leería el contenido del archivo y lo pondría en una variable, por supuesto que ese archivo que tendría la clave no podría ser accesible si se ingresa directamente a ese archivo por url, pero ¿también sería vulnerable?.

El contenido del archivo config.js sería este:

Código: (javascript) [Seleccionar]
/*
 * lightIRC configuration
 * www.lightIRC.com
 *
 * You can add or change these parameters to customize lightIRC.
 * Please see the full parameters list at http://redmine.lightirc.com/projects/lightirc/wiki/Customization_parameters
 *
 */

var params = {};

/* Change these parameters */
params.host                         = "irc.lightirc.com";
params.port                         = 6667;
params.policyPort                   = 843;

/* Language for the user interface. Currently available translations: bd, bg, br, cz, da, de, el, en, es, et, fr, hu, it, ja, nl, pl, ro, ru, sl, sq, sr_cyr, sr_lat, sv, th, tr, uk */
params.language                     = "en";

/* Relative or absolute URL to a lightIRC CSS file.
 * The use of styles only works when you upload lightIRC to your webspace.
 * Example: css/lightblue.css
 */
params.styleURL                     = "";

/* Nick to be used. A % character will be replaced by a random number */
params.nick                         = "lightIRC_%";
/* Channel to be joined after connecting. Multiple channels can be added like this: #lightIRC,#test,#help */
params.autojoin                     = "#test";
/* Commands to be executed after connecting. E.g.: /mode %nick% +x */
params.perform                      = "";

/* Whether the server window (and button) should be shown */
params.showServerWindow             = true;

/* Show a popup to enter a nickname */
params.showNickSelection            = true;
/* Adds a password field to the nick selection box */
params.showIdentifySelection        = false;

/* Show button to register a nickname */
params.showRegisterNicknameButton   = false;
/* Show button to register a channel */
params.showRegisterChannelButton    = false;

/* Opens new queries in background when set to true */
params.showNewQueriesInBackground   = false;

/* Position of the navigation container (where channel and query buttons appear). Valid values: left, right, top, bottom */
params.navigationPosition           = "bottom";


/* See more parameters at http://redmine.lightirc.com/projects/lightirc/wiki/Customization_parameters */




/* Use this method to send a command to lightIRC with JavaScript */
function sendCommand(command) {
  swfobject.getObjectById('lightIRC').sendCommand(command);
}

/* This method gets called if you click on a nick in the chat area */
function onChatAreaClick(nick) {
  //alert("onChatAreaClick: "+nick);
}

/* This method gets called if you use the parameter contextMenuExternalEvent */
function onContextMenuSelect(type, nick) {
  alert("onContextMenuSelect: "+nick+" for type "+type);
}

/* This method gets called if you use the parameter loopServerCommands */
function onServerCommand(command) {
  return command;
}

/* This loop escapes % signs in parameters. You should not change it */
for(var key in params) {
  params[key] = params[key].toString().replace(/%/g, "%25");
}

como verán es un pequeño archivo de configuración, pero quisiera lograr lo que comenté.

También he pensado en usar algo como cookies, pero cookies de sesión, que al cerrar el navegador la cookie se elimine, y al entrar de nuevo al chat se vuelva a crear, en ese caso sólo habría que programar un bot en Python por ejemplo que vaya leyendo el contenido de algún archivo y dentro de ese archivo esten las cookies de los usuarios, no sé si ésto se podría lograr.

Me gustaría que me puedan dar consejos, métodos, trucos, opciones e ideas para ver si logro hacer esto y así poder crear ese aporte que me gustaría dejarles a mis usuarios para que les pueda ser de utilidad.


Muchas gracias amigos de antemano!! :) :)

Foro de Ayuda de Programación General, IRC y mIRC Scripting 

Ninguno
2.0.14
http://www.argentinairc.net/foro/

Mensajes: 560

Ver Perfil  Ayuda de Programación General, IRC y mIRC Scripting 

« Última Modificación: Julio 21, 2016, 09:01:41 am por Príncipe_Azul »
En línea

*
Jul 21 2016


Lamento informarte que no hay manera de hacer lo que pedis... todo lo que sea js funciona del lado del navegador y no del lado del servidor.. Por lo tanto es imposible ocultar la informacion ya que todo lo que tenga el js sera accesible por cualquiera.

En cuanto a lo que decis del js codificado, eso se llama ofuscacion y no codificacion. Y tal como decis con cualquier web realizas la inversa y te deja el codigo original a la vista.

¿A quien se le ocurre poner una contraseña en un archivo js?
Es como que yo en la parte de ingreso a la administracion deje la contraseña en un campo de texto oculto. (Cualquiera en dos segundos se hace con la contraseña)

La verdad no mire el script al que haces mencion, pero para manejar eso se tendria que hacer desde el lado del servidor y no desde el lado del navegador.
Osea el puerto, contraseña y demas tendrian que manejarlo php y no js.

Sea cual sea el metodo que utilices (session, cookies, etc) si despues le tenes que pasar la variable a un js para que funcione el resultado es el mismo, el usuario obtiene los datos facilmente.

No seria mas facil realizar la comprobacion desde el propio servidor irc? Si vos podes ver desde el servidor irc que sistema utilizan para conectarce al servidor, si usan mIRC, si usar mIRC-Ircap, etc...
Y que sea el propio servidor irc quien realice la denegacion al conectar, osea si conectan con mIRC que los desconecte.


*¤×•·:.·.:·•×¤* ^HeRaCLeS^ *¤×•·:.·.:·•×¤*
*¤×• Todos los Mp seran ignorados | Solo seran considerados los Mp Solicitados por mi •×¤*
*¤×• All Mp will be ignored | Only considers the Mp requested per my •×¤*

SMFPersonal

Adk Portal 3.0.2
2.0.14
www.smfpersonal.net
#1

Mensajes: 13978

Ver Perfil  SMFPersonal 

En línea

*
Jul 22 2016


Citar
Lamento informarte que no hay manera de hacer lo que pedis... todo lo que sea js funciona del lado del navegador y no del lado del servidor.. Por lo tanto es imposible ocultar la informacion ya que todo lo que tenga el js sera accesible por cualquiera.

Qué lástima, sé que todo el contenido de los archivos en javascript lo recibe y procesa el navegador y no el servidor.


Citar
En cuanto a lo que decis del js codificado, eso se llama ofuscacion y no codificacion. Y tal como decis con cualquier web realizas la inversa y te deja el codigo original a la vista.

Exactamente, a eso me refería, a la ofuscación.
He probado con varios sitios online para ofuscar código javascript, si bien se lo logró ofuscar pero el script no funcionaba, habían otros sitios que eran pagos y sólo una parte me ofuscaban, otros ni siquiera una parte, de entrada era pago.


Citar
¿A quien se le ocurre poner una contraseña en un archivo js?
Es como que yo en la parte de ingreso a la administracion deje la contraseña en un campo de texto oculto. (Cualquiera en dos segundos se hace con la contraseña)

Cláro, estoy totalmente de acuerdo con vos, lo que pasa es que el webchat LightIRC dispone de esa opción y como el servidor es por decirlo así, privado, entónces en algún lado debería ir la clave, no es que al saber la clave hackeen el servidor, sino que tendrán acceso al Chat IRC por Software y eso es lo que he intentado ofuscar.


Citar
La verdad no mire el script al que haces mencion, pero para manejar eso se tendria que hacer desde el lado del servidor y no desde el lado del navegador.
Osea el puerto, contraseña y demas tendrian que manejarlo php y no js.

Exacto! algo así pensé, que usando php se podría lograr... el problema es si usan un sniffer o algún programa para capturar los datos enviados en la petición GET o POST, ahí van a saber la clave de igual manera, a menos que sea por conexión SSL y ya para eso la web tendría que ser https.


Citar
Sea cual sea el metodo que utilices (session, cookies, etc) si despues le tenes que pasar la variable a un js para que funcione el resultado es el mismo, el usuario obtiene los datos facilmente.

Cláro, pero bueno el decir de guardar la clave en js fué sólo un ejemplo, se puede probar otros métodos más seguros o al menos más laboriosos para el que intente vulnerar esa protección.


Citar
No seria mas facil realizar la comprobacion desde el propio servidor irc? Si vos podes ver desde el servidor irc que sistema utilizan para conectarce al servidor, si usan mIRC, si usar mIRC-Ircap, etc...
Y que sea el propio servidor irc quien realice la denegacion al conectar, osea si conectan con mIRC que los desconecte.

No amigo, no se puede y te explico porque:

Cuando alguien ingresa a un chat irc y alguna persona o bot quiere saber que programa está usando, realiza una CTCP Version y el usuario responde esa CTCP Version de forma automática, el problema es que esas respuestas se pueden falsear tranquilamente, por ejemplo yo puedo entrar desde mIRC o desde un simple script o desde una clonera y figurar como que entro desde Android o desde el webchat cuando en realidad no es así...

Falsear o anular esa información es más fácil que falsear el User-Agent de un navegador, también pueden anularla para que directamente ni responda, también pueden usar en las respuestas colores, negrita, subrayado y símbolos, como también escribir lo que se les de la gana, por ejempo "jajaja no vas a saber mi CTCP Version lero lero".

Otro método que he visto, es que insertan la contraseña en el "RealName" del usuario y al conectar al Servidor IRC se comprueba que su realname sea igual a la clave que se asignó, en caso afirmativo el usuario ingresa sin problema, en caso contrario, sale expulsado inmediatamente del chat, hay un servidor que trabaja de esa forma, es decir, cuando un usuario entrar por webchat, el mismo js le inserta la contraseña en su realname y cuando ese usuario conecta al IRC se verifica que en su realname tenga la clave correcta, si la tiene, entónces su realname será cambiado por por ejemplo:

http://michat.com/

pero ya tu sabes amigo.... lo mismo lo han vulnerado y han logrado sacar la clave...

Que mal estimado pero parece que no hay solución para esto :(
Pensaba que hacer algo complejo en js podría funcionar, por ejemplo la web ésta que convierte videos de YouTube en MP3 y te da una url para que descargues solamente el audio mp3:

http://www.youtube-mp3.org/es

utiliza javascript para todo ese proceso y realmente es complejo entender como funciona esa web ya que por más que el navegador descargue el js, lo mismo es muy difícil entenderle internamente lo que hace esa web y eso lo hacen para evitar que usen programas automáticas para bajar los mp3's, pues algo así complejo pensé que se podía.



Muchas gracias querido!! :) :)

Foro de Ayuda de Programación General, IRC y mIRC Scripting 

Ninguno
2.0.14
http://www.argentinairc.net/foro/
#2

Mensajes: 560

Ver Perfil  Ayuda de Programación General, IRC y mIRC Scripting 

« Última Modificación: Julio 22, 2016, 02:39:38 am por Príncipe_Azul »
En línea

*
Jul 23 2016


Citar
No amigo, no se puede y te explico porque:

Pues que raro amigo, porque yo cuando tenia mi servidor lo tenia realizado y jamas nadie lo vulnero (Y lo hice tanto con unreal como con ircxpro).. Y si yo pude hacerlo hace mas de 15 años, mejor ahora se podra hacer..

Y si como vos decis, pueden cambiar lo que quieran, pero tienen que saber exactamente que valor ponerle para que el servidor les de acceso... Por lo tanto, por mas que lo cambien si no saben que tienen que poner es lo mismo.
Exactamente asi funciona una contraseña, cualquiera puede poner un valor, pero si el valor no es el correcto pues no tiene acceso.
Y tan simple con hacer un script que si esa ip intenta 3 veces ingresar y el valor no es el indicado pues se le pone una prohibicion definitiva.
Y si, me diras, usan un proxy y bla bla bla... a esta altura ya tenes que saber como protejerte de ellos.


En resumen... le pones un valor a los que ingresan por web.. valor que obviamente no podran saber los demas. Y solo si ingresan con ese valor tienen acceso.
En su momento yo utilizaba un script en java para acceder por web.. Y como te digo jamas me vulneraron el ingreso.

Yo se que vos tenes los conocimientos para realizar esto... No me salgas con el "No se puede"

*¤×•·:.·.:·•×¤* ^HeRaCLeS^ *¤×•·:.·.:·•×¤*
*¤×• Todos los Mp seran ignorados | Solo seran considerados los Mp Solicitados por mi •×¤*
*¤×• All Mp will be ignored | Only considers the Mp requested per my •×¤*

SMFPersonal

Adk Portal 3.0.2
2.0.14
www.smfpersonal.net
#3

Mensajes: 13978

Ver Perfil  SMFPersonal 

En línea

*
Jul 24 2016


Citar
Pues que raro amigo, porque yo cuando tenia mi servidor lo tenia realizado y jamas nadie lo vulnero (Y lo hice tanto con unreal como con ircxpro).. Y si yo pude hacerlo hace mas de 15 años, mejor ahora se podra hacer..

Bueno hace 15 años vaya a saber como era mIRC, pero hoy en día las respuestas CTCP Version son fácilmente configurables, si bien mIRC no dispone de una opción para configurar una por defecto, pero si te da la posibilidad de anularla.

Y no creo que hoy en día sea más probable de no poder falsear esa información siendo que mIRC es un software bastante completo y muy configurable, como la programación que tiene cada vez dispone de más funciones, opciones, configuraciones, etc.

Te doy un ejemplo, yo uso mIRC versión 6.32 (en español) como se puede notar en la siguiente imagen ("Acerca de"):



pero he probado a desconectarme de mi servidor y volver a conectarme para que uno de los bots que tengo de nick "Chismoso" me diga la CTCP Version del usuario que conecta, que en este ejemplo sería yo mismo y como se puede notar la versión de mIRC es totalmente distinta:

*


así como yo he falseado tranquilamente esa información, así puedo puedo setear lo que yo quiera, poner colores, negrita, subrayado, setear la CTCP Reply con cualquier respuesta y demás, inclusive hasta se puede anular para que simplemente ni responda, también se puede configurar para que no tenga tán sólo 1 CTCP Reply, sino 2 o más, etc.

Quizás vos te preguntés ¿cómo lo he logrado?, pues hay varias formas de lograr eso, en el caso mío yo he modificado el binario de mIRC para anular directamente la CTCP Reply para que no tenga respuesta y de ahí creado el siguiente código:

Código: [Seleccionar]
ctcp 1:version: { .timer 1 1 .raw NOTICE $nick :VERSION mIRC v7.45 Khaled Mardam-Bey }
ahí se puede configurar lo que quieras y esa será la CTCP Reply.

GSi el creador de IRcap también ofrece un pequeño script/software para cambiar las respuestas CTCP Reply e inclusive hasta te da un listado de varias que puedes usar que ya vienen por defecto y vos podés elegir la que más quieras, por ejemplo setear alguna de un bot eggdrop y cuando alguien te haga un CTCP Version vos le responderás como si fuese que sos un bot eggdrop cuando es totalmente falso....

Por eso te digo con total seguridad y estoy seguro 100% de que esa información se puede falsear tranquilamente.


Citar
Y si como vos decis, pueden cambiar lo que quieran, pero tienen que saber exactamente que valor ponerle para que el servidor les de acceso... Por lo tanto, por mas que lo cambien si no saben que tienen que poner es lo mismo.
Exactamente asi funciona una contraseña, cualquiera puede poner un valor, pero si el valor no es el correcto pues no tiene acceso.

Exactamente, cláro, el problema es como ocultar esa contraseña de alguna forma para que no puedan saberla, ya que se la ingenian y logran sacarla...

He pensado varias ideas que quizá son un poco absurdas pero bueno no se me ocurre nada mejor, he pensado que un bot puede leer las peticiones GET de un archivo log para comprobar si se ingresó al chat, pero también habría que comprobar la fecha y hora y encima de eso pueden hacer la petición GET desde un script y lo mismo entrar al IRC con mIRC, bueno tengo ideas un poco locas pero es para tratar de lograr de realizar esto.


Citar
En resumen... le pones un valor a los que ingresan por web.. valor que obviamente no podran saber los demas. Y solo si ingresan con ese valor tienen acceso.
En su momento yo utilizaba un script en java para acceder por web.. Y como te digo jamas me vulneraron el ingreso.

Es que ese es el tema.... como narices hago para que los usuarios no puedan saber sobre esa contraseña, como te comenté, varias personas se la han ingeniado un poco y lo mismo le han sacado la contraseña y entran tranquilamente al chat por mIRC o desde algún otro cliente de IRC.


Citar
Y tan simple con hacer un script que si esa ip intenta 3 veces ingresar y el valor no es el indicado pues se le pone una prohibicion definitiva.
Y si, me diras, usan un proxy y bla bla bla... a esta altura ya tenes que saber como protejerte de ellos.

amigo, es que estos tipos que se dedican a molestar a los demás, van a pasar tranquilamente esa prueba, pues el tema es que cuando logren saber qué método usa el servidor, por ejemplo una contraseña para poder conectar, van a intentar sacar ese método y van a entrar, a la contraseña la van a buscar como sea y van acceder de igual forma.

Yo sé como estar protegido de los proxys masivos y de hecho cualquier servidor IRC debe tener un sistema anti proxys, pero si por ejemplo meten 400, 500, 600, 700 proxys/socks o más, siempre va a pasar que van a quedar proxys ahí sin expulsar y eso tiene una razón de porque quedan sin expulsar, la razón es que esas IPs no están aún listadas en las DNSBL's.

Lo que pasa es que cuando logran sacar esa contraseña o logran saber el método que el servidor usa para engañar a los usuarios y así lograr que sólo entren por webchat, ahí es cuando configuran sus cloneras/clonadores con cientos de proxys, por ejemplo hay un servidor que le han sacado la clave (el que ofuscó el javascript) y públicamente han ayudado a ese atacante a vulnerar ese servidor, el clonero ya estaba listo para ir a meter sus cientos de proxys en ese servidor pues ya tiene la clave y va a ir a molestar.

Y sí... hay foros que ayudan a personas como éstas a que logren molestar o intentar hacer daño en un IRC, públicamente le dejan los datos servidos e incluso hasta algunas veces les explican el engaño/método que usa el servidor para tratar de que solo entren por página web (n) (n)


Citar
Yo se que vos tenes los conocimientos para realizar esto... No me salgas con el "No se puede"

La verdad debe existir alguna forma de que solamente puedan entrar por webchat, estoy seguro que si existe.
Lo que no se puede es comprobar el software de la conexión entrante, eso es lo que no se puede ya que como dije se puede falsear tranquilamente.

Lo que he pensado y tengo en mente, es buscar alguna forma de que X método sólo pueda ser realizado por un navegador, obviamente mIRC carece de muchas cosas que lo limitan y creo que sería aprovechar esa limitación para lograr el objetivo.


Gracias amigo!! :) :)

Foro de Ayuda de Programación General, IRC y mIRC Scripting 

Ninguno
2.0.14
http://www.argentinairc.net/foro/
#4

Mensajes: 560

Ver Perfil  Ayuda de Programación General, IRC y mIRC Scripting 

« Última Modificación: Julio 24, 2016, 09:31:13 am por Príncipe_Azul »
En línea

*
Jul 24 2016


A ver... me parece que vos no entendes el punto...

A mi realmente me vale una mierd..... si ellos pueden o no modificar eso.... Es como dije, si cualquier usuario quiere ingresar en la administracion de smfp saben el link al que tienen que ir, pero de ahi a que descubran la contraseña hay un largo camino "NO imposible, pero lo mas parecido a ello"

Ahora, al conectar por web tambien utiliza un CTCP, es ahi donde vos tenes que trabajar y poner uno unico...(Este seria la contraseña)
En el servidor vos configuras que cualquiera que conecte con un CTCP distinto sea expulsado... Si la misma ip intenta ingresar 3 veces con un CTCP distinto expulsado definitivamente.

Ahora, como en la administracion es posible que alguien la descubra y logre acceder... (Nada es invulnerable) Pero aca es donde entra tu ingenio... Ese CTCP lo podes cambiar por semana, entonces achicas muchisimo la posibilidad de ser descubierto.... y si aun asi lo descubren no durara mucho tiempo esa contraseña ya que en menos de una semana sera reemplazada.
Sin contar que si alguien logra ingresar por mIRC pasando la contraseña tambien lo sabras... y ya podras expulsarlo de forma manual.

Es como en una web, uno pone sistema de seguridad para evitar que los bots ingresen y demas, siempre hay alguno que logra pasar, es ahi donde entra el administrador y toma acciones sobre ese bot, con ban, con denegacion por ip, etc...



PD: No me quieras enseñar como funciona o se programa en mIRC Scripting por favor!!
Yo programaba en ello y vos ni habias prendido una pc aun....

PD2: Segun tu version de mIRC utilizas la misma que utilizaba yo hace 15 años... por lo cual solo confirmas mas que esto que te digo se puede realizar...

PD3: NO hacia falta modificar el binario del mIRC para lograr eso  ;)

 

*¤×•·:.·.:·•×¤* ^HeRaCLeS^ *¤×•·:.·.:·•×¤*
*¤×• Todos los Mp seran ignorados | Solo seran considerados los Mp Solicitados por mi •×¤*
*¤×• All Mp will be ignored | Only considers the Mp requested per my •×¤*

SMFPersonal

Adk Portal 3.0.2
2.0.14
www.smfpersonal.net
#5

Mensajes: 13978

Ver Perfil  SMFPersonal 

En línea

*
Jul 24 2016


Ok se puede crear la manera que vos decís, pero si se llega a saber la clave que sentido tiene que dure unos días?, es como que yo todas las semanas tenga que cambiar la contraseña de mi cuenta de usuario o algo similar.
Usando un sniffer se puede sacar la clave.


Citar
A mi realmente me vale una mierd..... si ellos pueden o no modificar eso.... Es como dije, si cualquier usuario quiere ingresar en la administracion de smfp saben el link al que tienen que ir, pero de ahi a que descubran la contraseña hay un largo camino "NO imposible, pero lo mas parecido a ello"

Si eso te entiendo, pero justamente por eso pedí ayuda para saber si con algún lenguaje se podía lograr tratar de "acomplejar" la cosa, vos me comentaste sobre usar PHP ya que ahí trabajaría el servidor web y no el navegador del usuario, sin embargo hay muchos sitios webs que trabajan con javascript y tiene un algoritmo que es difícil de poder descifrar, por ejemplo como la web que te pasé en mi segundo mensaje, se puede notar que tiene como bien decís vos "un largo camino" para llegar a descargar el mp3.

Cambiar todas las semanas la contraseña pues no es la mejor idea, ya sé que a vos no te importa que un usuario saque la clave, pero si la logra descubrir, en 2 minutos ya está metiendo clones en el servidor.


Citar
Ahora, al conectar por web tambien utiliza un CTCP, es ahi donde vos tenes que trabajar y poner uno unico...(Este seria la contraseña)
En el servidor vos configuras que cualquiera que conecte con un CTCP distinto sea expulsado... Si la misma ip intenta ingresar 3 veces con un CTCP distinto expulsado definitivamente.

Ok se puede usar ese método, pero ¿que pasaría si alguien usa un sniffer?


Citar
Ahora, como en la administracion es posible que alguien la descubra y logre acceder... (Nada es invulnerable) Pero aca es donde entra tu ingenio... Ese CTCP lo podes cambiar por semana, entonces achicas muchisimo la posibilidad de ser descubierto.... y si aun asi lo descubren no durara mucho tiempo esa contraseña ya que en menos de una semana sera reemplazada.
Sin contar que si alguien logra ingresar por mIRC pasando la contraseña tambien lo sabras... y ya podras expulsarlo de forma manual.

Pero a ver amigo, como se puede saber o adiviniar que una conexión se está haciendo por mIRC y no por web...
Es lo mismo que yo programe un programa en Python que realice tareas de subir imágenes a un servidor web, pues si ese programa o script trabaja de la misma manera que un navegador y pasa por decirlo así "todas las posibles barreras" que puedan haber, ¿cómo se puede saber que lo que está subiendo una imagen es un programa escrito en Python y no navegador?, si los 2 trabajarían iguales.


Citar
PD: No me quieras enseñar como funciona o se programa en mIRC Scripting por favor!!
Yo programaba en ello y vos ni habias prendido una pc aun....

Solo estamos hablando, yo jamás quice enseñarte nada, solamente te expliqué que esa información se puede falsear y es cierto, no te estoy mintiendo, te dejé 2 capturas de pantalla, yo no digo lo mucho o poco que vos hayas aprendido en tus tiempos, yo solamente te comenté que eso no se puede porque es una simple conexión que lo único que hace es conectar a un IRC, es una conexión tán simple que ni siquiera se compara con una conexión a un sitio web en donde hay miles de otras cosas que en el IRC no existen, porque es un chat "básico" y siempre lo va a seguir siendo.

Si realmente se puede hacer lo que vos decís, ok entónces lo hago, vos me comentás que se puede poner en la respuesta CTCP la contraseña del servidor, ok perfecto, pero que pasaría si una persona usa un sniffer?, se va a ver el envío de esa contraseña al servidor y en 2 segundos la sacan e inmediatamente hay que ir al archivo para poner otra contraseña que lo mismo la pueden volver a descubrir?.

En tu anterior mensaje me dijiste que yo tengo los conocimientos para hacer posible ésto, pues realmente no los tengo, al menos no en ésto, si los hubiese tenido no hubiese abierto un tema y ya probé por mi cuenta tratar de hacerlo y no pude.


Citar
PD3: NO hacia falta modificar el binario del mIRC para lograr eso  ;)

Si lo sé, por eso te dije que yo solamente usé un método de los varios que existen y a mi me funciona perfectamente desde hace mucho tiempo.


Pedí ayuda aquí para ver si un usuario, o vos o el que sea me podía dar una mano, vos me diste la idea, pero no tengo el conocimiento para manejar javascript y poder de alguna manera acomplejar la visualización de esa contraseña.

Vos proponés de que si el usuario no responde con esa CTCP Reply, entonces que se lo banee, pero habría que usar un timer por cada conexión entrante, pues va a haber alguno que quizá quiera entrar desde mIRC sin tener alguna respuesta CTCP y nunca va a responder, entónces si en X tiempo no responde, que se lo banee.


Citar
Ahora, como en la administracion es posible que alguien la descubra y logre acceder... (Nada es invulnerable) Pero aca es donde entra tu ingenio...

Ahí está el punto, no tengo idea de como hacer para que esa clave tenga un largo camino para llegar a ella.


Saludos y gracias!!

Foro de Ayuda de Programación General, IRC y mIRC Scripting 

Ninguno
2.0.14
http://www.argentinairc.net/foro/
#6

Mensajes: 560

Ver Perfil  Ayuda de Programación General, IRC y mIRC Scripting 

« Última Modificación: Julio 24, 2016, 01:08:45 pm por Príncipe_Azul »
En línea

*
Jul 24 2016


Citar
es como que yo todas las semanas tenga que cambiar la contraseña de mi cuenta de usuario o algo similar.

Pues es lo recomendable tio... Las contraseñas nunca tienen que quedar fijas...

Citar
Cambiar todas las semanas la contraseña pues no es la mejor idea, ya sé que a vos no te importa que un usuario saque la clave, pero si la logra descubrir, en 2 minutos ya está metiendo clones en el servidor.

Por eso mismo dije, si alguno logra pasar la seguridad para eso esta el admin, para actuar en ese caso.
Vos das el ejemplo de subir imagenes por medio de un bot... Pues vos podras programar mucho un bot, el cual por mas que quiera imitar a un humano siempre actuara como bot... y es ahi donde vos como humano notas la forma de actuar.
Te doy el ejemplo del captcha de google... Antes todos los captcha ponian codigos de validacion y demas cosas que un bot podia imitar... que hizo google, pues comprobar algo que un bot no puede imitar, las irregularidades humanas..
El captcha de google con un simple click se da cuenta que sos humano o no, por el simple hecho que un bot va directo a realizar lo que se le programo, en cambio el humano realiza pequeñas irregularidades al momento de hacerlo... (Simple ejemplo de mover un mouse a un boton)
En el caso de un chat, vos sabes perfectamente si el que escribe es una persona o un bot.
Vos sabes como se pueden mover las personas y como se pueden mover los bots.

Ahora, vallamos al caso que una persona logro sacar la contraseña e ingreso por mIRC al servidor, para poder seguir conectado sin que nadie se de cuenta tiene que actuar exactamente como actua alguien por web, ya que si empieza a meter bots o algo por el estilo sabras automaticamente que ese usuario ingreso por mIRC y por obvias razones actuaras sobre el y sus bots.

A que apunto con esto, a que un usuario podra dedicarse a buscar la contraseña y demas... Si alguien pierde el tiempo en realizar eso no es para ingresar solo a charlar, lo hara para realizar algo...
Y como ingresara para realizar ese algo vos sabras de inmediato eso y podras eliminarlo.

Te doy el ejemplo de un foro...
Un usuario se registra y empieza a publicar spam, o a insultar o lo que sea fuera de las normas...
Obviamente el sistema no actuara automaticamente contra esa persona ya que es una persona como tal, y es ahi donde entra mi funcion como administrador y tengo que actuar contra esa persona.

Por otro lado, los dos sabemos perfectamente que si yo quiero perjudicar tu servidor ni siquiera hace falta que ingrese a tu irc... con solo tener una botnera puedo atacarte a la distancia..



Vos hablas de poner un timer para la comprobacion... pues no, la comprobacion tiene que ser inmediata, se conecta y lo primero que se hace es comprobar, si no responde a fuera esa conexion.



Citar
Solo estamos hablando, yo jamás quice enseñarte nada, solamente te expliqué que esa información se puede falsear y es cierto

Todo se puede falsear... pero hay que saber con que datos falsear exactamente.

Como dije, todos pueden intentar ingresar en mi administracion, pero tienen que saber con que datos ingresar.


Citar
Pero a ver amigo, como se puede saber o adiviniar que una conexión se está haciendo por mIRC y no por web...

Pues buscando...
Ingresa tanto por web como por mIRC, busca toda la informacion de las dos conexiones... Busca donde podrias poner datos para realizar comprobaciones...
Pudiendo no solo utilizar el CTCP, sino poner tambien informacion en otras partes.

Entonces ya no solo tendrian que saber que dato poner en el CTCP, sino tambien que datos poner en las otras partes....
Pudiendose decir que ya no estarias usando una sola contraseña, sino varias... Haciendo mas dificil el plagio.

Vos hablas de poder obtener los datos por snifers, pues en principio para obtener algo tenes que saber que buscas... En este caso, solo vos sabes que datos modificaras y comprobaras, por lo que hace mas dificil buscar algo ya que no se sabe que se busca..

Muy diferente seria hacer eso en un soft que sera entregado, ya que ahi si pueden buscar, mirar, investigar y llegar a saber que metodo utilizas para la comprobacion.

Como dije, nada es infalible, pero la idea es hacerlo mas complicado...
Y si lo llegan a vulnerar pues actuas vos como admin..



Que si tenes o no los conocimientos? pues si los tenes... Solo es cuestion de sentarse a pensar un poco en como lograrlo..

Vos decis que si los tuvieras no habrias abierto el tema...
Pues no tiene nada que ver conocimientos con ideas...

Vos los conocimientos para realizar el trabajo los tenes... Lo que te faltaba era una idea a seguir...


*¤×•·:.·.:·•×¤* ^HeRaCLeS^ *¤×•·:.·.:·•×¤*
*¤×• Todos los Mp seran ignorados | Solo seran considerados los Mp Solicitados por mi •×¤*
*¤×• All Mp will be ignored | Only considers the Mp requested per my •×¤*

SMFPersonal

Adk Portal 3.0.2
2.0.14
www.smfpersonal.net
#7

Mensajes: 13978

Ver Perfil  SMFPersonal 

En línea

*
Jul 24 2016


Me llevo un tiempo leer analizando ambos puntos de vista me lleva a preguntar ¿Para que hacerlo? ¿Vale el esfuerzo dado, el trabajo final? en cierta medida seria complicar al usuario ademas de como decirlo.... Una cooperación obligatoria, se puede guiar hacia donde uno quiere pero no obligar.


Saludos!

¡Regresando como cual Fenix! ~ Bomber Code © 2018
Ayudas - Aportes - Tutoriales - Y mucho mas!!!

Ninguno por ahora
2.0.15
https://www.bombercode.net/
#8

Mensajes: 206

Ver Perfil  Bomber Code ~ La nueva era del conocimiento 

En línea

*
Jul 24 2016


Citar
¿Para que hacerlo?

Pues para que solo se pueda ingresar al chat por medio de la web y no de programas externos como mIRC.

Citar
en cierta medida seria complicar al usuario ademas de como decirlo

Y al usuario como se le complicaria? no entiendo el punto, si el usuario no tiene que hacer nada, solo entrar en la web y chatear...

Citar
Una cooperación obligatoria, se puede guiar hacia donde uno quiere pero no obligar.

Ya con esto me mataste, si no entendi el punto anterior, este directamente se me sale de control...
Obligar a que? guiar a donde?

*¤×•·:.·.:·•×¤* ^HeRaCLeS^ *¤×•·:.·.:·•×¤*
*¤×• Todos los Mp seran ignorados | Solo seran considerados los Mp Solicitados por mi •×¤*
*¤×• All Mp will be ignored | Only considers the Mp requested per my •×¤*

SMFPersonal

Adk Portal 3.0.2
2.0.14
www.smfpersonal.net
#9

Mensajes: 13978

Ver Perfil  SMFPersonal 

En línea




Otros temas de su interes

Todo Smf Personal,Un lujazo papones Agosto 25, 2011, 12:57:30 pm
ayuda base de datos pipi2010 Febrero 27, 2011, 05:40:57 am
¿Servicio de Email en SMFPersonal? Príncipe_Azul Julio 04, 2016, 09:50:37 am
que es esto.. aeiou15 Julio 16, 2011, 03:28:47 pm
como va la version 3.0 de adk portal^^ adthz Septiembre 25, 2012, 04:33:39 pm
Aurfidensen, jejejejejej Princesa1 Julio 05, 2012, 01:54:14 pm



Usuario:
Contraseña:
Sesión:
hermes bracelet replica, christian louboutin replica, van cleef and arpels replica, red bottoms replica, cartier love bracelet replica christian louboutin replica, christian louboutin replica, hermes bracelet replica,