Hapson
Нет это не константа это что то вроде:
md5(md5($pass).md5(md5('blalbla').md5('23')))
Дело все в том, что если даже скроют бд пользователей, то без этой комбинации соли хеш не подобрать, а эта комбинации хранится в приложение, соответственно надо иметь к нему доступ, а если есть доступ к приложению то тут бесполезно что либо хешировать...
Тогда зачем заморачиваться с уникальной солью для юзеров?
Задам и я вопрос раз уж так.
В бд обычный хеш пароля md5 + соль, соль в приложения впечатана.
Так вот допустим стащили бд юзеров, без соли не получиться же пароль подобрать так?
Если так, то смысл в этих ухищрениях наподобие тем что привел Саныч, если вскроют само приложение, тот уже без соли наворотить можно что угодно, да и узнать алгоритм хеширования, или соли как в моем случае.
Прошу знающих людей ответить.
для этого нам надо как минимум знать хэш пароля без соли, который нигде не хранится, и еще надо знать соль
Ну для этого и есть словари, простые пароли подберутся, а сложные уже нет.
А вот насчет соли то да, надо ее узнать сначала, тока если хакнуть само приложение, можно ее получить, если конечно соль в бд не хранить как Hapson
Hapson
Она не обязательно лежит в бд, она может находиться и на другом сервере который умел бы хешировать или отдавать соль...
Да и хеширование это зашита данных бд, а если и приложение хакнули то тут защита куда серьезнее нужна...
mmkulikov
В чем проблема, я так и не понял, сравнение вернет true так как преобразование null в int вернет 0, а 0 != 1, все логично...
upd true а не false описался..
ninzzo
php тут едва подойдет, потому что он на сервере работает а не на компе, есть конечно костыли но не пользовался ни разу, поэтому если прога на винде то надо java (не путать с javascript) или c# для решения данной задачи...