Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Форумы портала PHP.SU :: Версия для печати :: md5 js [3]
Форумы портала PHP.SU » » Вопросы новичков » md5 js

Страниц (3): « 1 2 [3]
 

31. Tox - 11 Августа, 2012 - 20:29:56 - перейти к сообщению
Hawkmoth
Цитата:
Вот здесь и кроется минус статической соли: злоумышленник сможет сгенерировать свою таблицу хешей со статической солью и получить значения большинства паролей из базы. Для устранения этого минуса используется уникальная соль к каждому хешу

ссылка
Я не знаю, так это или нет на 100%, но в любом случае лишний раз подстраховаться надо
32. Hawkmoth - 11 Августа, 2012 - 20:31:59 - перейти к сообщению
armancho7777777 пишет:
А как же ? )
Tox пишет:
если бд угонят


Ну, может, там функция хеширования будет выглядеть как-то так:
PHP:
скопировать код в буфер обмена
  1. $pass=sha1(md5(substr(md5($pass.$unique_salt).md5($pass.$unique_salt.$pass),2,25).substr($unique_salt,3)))


и sha1 еще в цикле 1000 разУлыбка

PS. На синтаксис этот бред не проверял, думаю, идея понятнаУлыбка
(Добавление)
Tox пишет:
Я не знаю, так это или нет на 100%, но в любом случае лишний раз подстраховаться надо

Тезис правильный, готов подписаться. Но дело в том, что если кто-то получил доступ к Вашим php-скриптам (откуда, собственно, он и узнал статическую соль?), то никакая уникальная соль уже не поможет - алгоритм-то он вот он.

Так что в большинстве случаев статической соли вполне хватает. Ну, может, еще чуть более усложненной функции хеширования, чем md5($password.$salt).
33. armancho7777777 - 11 Августа, 2012 - 20:38:39 - перейти к сообщению
Tox пишет:
Вот здесь и кроется минус статической соли

Её ещё узнать надо.
34. Viper - 12 Августа, 2012 - 00:36:45 - перейти к сообщению
Tox не стоит использовать md5 и для общего хеша и для пароля. лучше либо sha1(или sha2), либо что-то вида aes. т.е. смешать функции
35. Tox - 16 Августа, 2012 - 14:44:43 - перейти к сообщению
Мелкий пишет:
На нешифрованном соединении куда проще утянуть сразу сессионную куку и делать с ней что понравится.

Предположим, кука сохраняется при старте сессии, по дефолту называется PHPSESSID. Каждый юзер может посмотреть свою куку, в хроме я делаю это через F12 во вкладке Resources. Как же тогда утянуть чужую сессионную куку и что с ней можно сделать? В скрипте есть условие
PHP:
скопировать код в буфер обмена
  1. if($session != session_id())
  2.   {
  3.     //session_destroy();
  4.     exit("Скрипт остановлен.");
  5.   }

Просто хочу понять, как залатать уязвимости
36. Мелкий - 16 Августа, 2012 - 15:18:01 - перейти к сообщению
Tox пишет:
Как же тогда утянуть чужую сессионную куку

Так же, как собирались перехватить пароль, передающийся с формы.

Tox пишет:
что с ней можно сделать?

Представиться этой кукой, соответственно получив доступ к аккаунту.
37. Tox - 16 Августа, 2012 - 15:24:01 - перейти к сообщению
Ага. А разве сервер, создавая сессию, не хранит в ней определенные данные юзера? Например, инфа о браузере и так далее.
Я могу сейчас сюда кинуть свою куку (в которой идентификатор сессии). Сможете от меня что-нибудь написать? Тут тот же механизм (вроде). Вдруг, получиться

 

Powered by ExBB FM 1.0 RC1