ковырялся тут в dle и нашол что авторизация работает таким образоп.
по умолчанию перемёная is_logged имеет false а при успешной авторизации присваивается true и кроме этого еще в куки пишется логин и зашифрованый пароль. Разве не безопасно хранить пароль в куках?
где та раньше на каком та форуме читал что даже зашифрованый пароль можно разшифровать.
1. kuller - 20 Февраля, 2012 - 08:37:09 - перейти к сообщению
2. Okula - 20 Февраля, 2012 - 08:39:49 - перейти к сообщению
Если пароль с солью зашифрован то неполучится расшифровать.
Да и вообще пароль зашифрованный просто функцией md5() расшифровать нельзя, его можно только подобрать.
Да и вообще пароль зашифрованный просто функцией md5() расшифровать нельзя, его можно только подобрать.
3. kuller - 20 Февраля, 2012 - 08:43:12 - перейти к сообщению
Okula пишет:
Если пароль с солью зашифрован то неполучится расшифровать.
Да и вообще пароль зашифрованный просто функцией md5() расшифровать нельзя, его можно только подобрать.
Да и вообще пароль зашифрованный просто функцией md5() расшифровать нельзя, его можно только подобрать.
всмысле солью? а для подбора же даже программы сушествуют же.
4. DelphinPRO - 20 Февраля, 2012 - 08:46:43 - перейти к сообщению
kuller пишет:
всмысле солью? а для подбора же даже программы сушествуют же.
соль - это случайный набор символов, добавляемый к паролю. Потом все это дело хешируется.
Соленые хеши значительно более взломоустойчивые.
5. kuller - 20 Февраля, 2012 - 08:49:35 - перейти к сообщению
DelphinPRO пишет:
соль - это случайный набор символов, добавляемый к паролю. Потом все это дело хешируется.
Соленые хеши значительно более взломоустойчивые.
kuller пишет:
всмысле солью? а для подбора же даже программы сушествуют же.
соль - это случайный набор символов, добавляемый к паролю. Потом все это дело хешируется.
Соленые хеши значительно более взломоустойчивые.
а понятно. надо на заметку взять. в dle просто md5 шифрует без соли.
Значит можно в куки пароль добавлять.
6. DelphinPRO - 20 Февраля, 2012 - 09:00:36 - перейти к сообщению
kuller пишет:
вы уверены? я с dle не работал, но что-то сомневаюсь, чтобы они чистые хеши в куки клали
в dle просто md5 шифрует без соли.
7. kuller - 20 Февраля, 2012 - 09:10:27 - перейти к сообщению
DelphinPRO пишет:
kuller пишет:
вы уверены? я с dle не работал, но что-то сомневаюсь, чтобы они чистые хеши в куки клалив dle просто md5 шифрует без соли.
незнаю как в новых версиях, в них ещё не ковырялся, но в версии 2 точно просто md5
8. Okula - 20 Февраля, 2012 - 09:12:57 - перейти к сообщению
Даже если они и кладут в куки хеш пароля то его нужно оттуда ещё достать, а сделать это не так-то и просто, так как уязвимостей XSS на в движке нет.
А если подстановкой действовать то наврядли что выйдет.
А если подстановкой действовать то наврядли что выйдет.