Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Форумы портала PHP.SU :: Версия для печати :: Вопрос - ответ
Форумы портала PHP.SU » PHP » Программирование на PHP » Вопрос - ответ

Страниц (1): [1]
 

1. Владимир87 - 19 Марта, 2011 - 11:15:02 - перейти к сообщению
Доброе время суток, подскажите пожалуйста, что такое "соль". Как вообще эта функция пишеться, для чго она нужна?
2. Мелкий - 19 Марта, 2011 - 11:24:01 - перейти к сообщению
Это не функция. Это нечто, добавляющееся в функции хэширования, например:
md5($pass."gejdsvcdslvkugr");
вот "gejdsvcdslvkugr" - и есть соль. Если её не знать, то даже если украсть значение md5, подобрать значение, дающее такой результат, то залогиниться всё равно не удастся.
3. Владимир87 - 19 Марта, 2011 - 17:18:31 - перейти к сообщению
Мелкий пишет:
Это не функция. Это нечто, добавляющееся в функции хэширования, например:
md5($pass."gejdsvcdslvkugr");
вот "gejdsvcdslvkugr" - и есть соль. Если её не знать, то даже если украсть значение md5, подобрать значение, дающее такой результат, то залогиниться всё равно не удастся.


Запись вида
PHP:
скопировать код в буфер обмена
  1. $log = md5($_POST['login']."qwertyu");
подойдет? Получается, что переменная $log, если ее "украдут", то значение злоумышленник получит не в полном объеме,а только значение $_POST, без "qwertyu". Я правильно понял? И еще сразу вопрос - если я правильно понял, то в базе ко всем паролям нужно конкатенировать "qwertyu". Это так или нет? Спасибо заранее.
4. Мелкий - 19 Марта, 2011 - 17:32:09 - перейти к сообщению
Владимир87 пишет:
Получается, что переменная $log, если ее "украдут", то значение злоумышленник получит не в полном объеме,а только значение $_POST, без "qwertyu".

Получится, что можно будет подобрать (если получится подобрать) только бесполезное значение, скорей всего не имеющее отношение ни к оригинальному паролю, ни к соли. Хэши подбирать довольно неблагодарное занятие, перебором самих паролей брутфорсом вероятности побольше подобрать.

Владимир87 пишет:
И еще сразу вопрос - если я правильно понял, то в базе ко всем паролям нужно конкатенировать "qwertyu". Это так или нет?

нет, не так.
5. ALEN - 19 Марта, 2011 - 20:08:13 - перейти к сообщению
Вся соль заключается втом, что даже если ты скажешь, что приставка к паролю при создании хэша равна "qwertyu" , то получив хэши самих паролей, злоумышленник вряд ли спокойно подберет сами пароли, покуда все базы которые ведут хранения хэшей не хранят пароли с такими приставками.
Например пароль: 123456 - его хэш = e10adc3949ba59abbe56e057f20f883e , этот хэш ты легко раскодируешь, а вот пароль 123456qwertyu - его хэш будет равен a4246fd151488e49d4118c8e691d33ce и практически нереальный шанс найти расшифровку этого хэша, т.к. вряд ли его кто вводил где - либо. Таким образом выходит, что проще заняться брутом, чем расшифровкой пароля.
В общем думаю понятно немного стало, как это работает!?
6. JustUserR - 20 Марта, 2011 - 00:17:27 - перейти к сообщению
Владимир87 пишет:
Доброе время суток, подскажите пожалуйста, что такое "соль". Как вообще эта функция пишеться, для чго она нужна?
Использование позиционной конкатенации специального salt-значений в процессе генерации ассоцированных hash-кодов для оригинальных информационных полей, позволяет осуществить усложнение процесса подбора оригинального значения пароля на основании применения механизма радужных таблиц Rainbow tables, в условиях отсутсивия возможно модификаиции локального элементного уровня трактования и информационного кодового описания для предполагаемого подобранного значения пароля
7. Владимир87 - 20 Марта, 2011 - 11:25:56 - перейти к сообщению
Спасибо, все понял )

 

Powered by ExBB FM 1.0 RC1