Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: Вопрос - ответ

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (1): [1]   

> Описание: Есть вопрос, на который охота "услышат ответ".
Поиск в теме | Версия для печати
Владимир87
Отправлено: 19 Марта, 2011 - 11:15:02
Post Id



Новичок


Покинул форум
Сообщений всего: 14
Дата рег-ции: Март 2011  


Помог: 0 раз(а)
Доброе время суток, подскажите пожалуйста, что такое "соль". Как вообще эта функция пишеться, для чго она нужна?
 
 Top
Мелкий Супермодератор
Отправлено: 19 Марта, 2011 - 11:24:01
Post Id



Активный участник


Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009  
Откуда: Россия, Санкт-Петербург


Помог: 618 раз(а)
Это не функция. Это нечто, добавляющееся в функции хэширования, например:
md5($pass."gejdsvcdslvkugr");
вот "gejdsvcdslvkugr" - и есть соль. Если её не знать, то даже если украсть значение md5, подобрать значение, дающее такой результат, то залогиниться всё равно не удастся.


-----
PostgreSQL DBA
 
 Top
Владимир87
Отправлено: 19 Марта, 2011 - 17:18:31
Post Id



Новичок


Покинул форум
Сообщений всего: 14
Дата рег-ции: Март 2011  


Помог: 0 раз(а)
Мелкий пишет:
Это не функция. Это нечто, добавляющееся в функции хэширования, например:
md5($pass."gejdsvcdslvkugr");
вот "gejdsvcdslvkugr" - и есть соль. Если её не знать, то даже если украсть значение md5, подобрать значение, дающее такой результат, то залогиниться всё равно не удастся.


Запись вида
PHP:
скопировать код в буфер обмена
  1. $log = md5($_POST['login']."qwertyu");
подойдет? Получается, что переменная $log, если ее "украдут", то значение злоумышленник получит не в полном объеме,а только значение $_POST, без "qwertyu". Я правильно понял? И еще сразу вопрос - если я правильно понял, то в базе ко всем паролям нужно конкатенировать "qwertyu". Это так или нет? Спасибо заранее.
 
 Top
Мелкий Супермодератор
Отправлено: 19 Марта, 2011 - 17:32:09
Post Id



Активный участник


Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009  
Откуда: Россия, Санкт-Петербург


Помог: 618 раз(а)
Владимир87 пишет:
Получается, что переменная $log, если ее "украдут", то значение злоумышленник получит не в полном объеме,а только значение $_POST, без "qwertyu".

Получится, что можно будет подобрать (если получится подобрать) только бесполезное значение, скорей всего не имеющее отношение ни к оригинальному паролю, ни к соли. Хэши подбирать довольно неблагодарное занятие, перебором самих паролей брутфорсом вероятности побольше подобрать.

Владимир87 пишет:
И еще сразу вопрос - если я правильно понял, то в базе ко всем паролям нужно конкатенировать "qwertyu". Это так или нет?

нет, не так.


-----
PostgreSQL DBA
 
 Top
ALEN
Отправлено: 19 Марта, 2011 - 20:08:13
Post Id



Участник


Покинул форум
Сообщений всего: 1459
Дата рег-ции: Авг. 2008  
Откуда: Крым


Помог: 11 раз(а)
Вся соль заключается втом, что даже если ты скажешь, что приставка к паролю при создании хэша равна "qwertyu" , то получив хэши самих паролей, злоумышленник вряд ли спокойно подберет сами пароли, покуда все базы которые ведут хранения хэшей не хранят пароли с такими приставками.
Например пароль: 123456 - его хэш = e10adc3949ba59abbe56e057f20f883e , этот хэш ты легко раскодируешь, а вот пароль 123456qwertyu - его хэш будет равен a4246fd151488e49d4118c8e691d33ce и практически нереальный шанс найти расшифровку этого хэша, т.к. вряд ли его кто вводил где - либо. Таким образом выходит, что проще заняться брутом, чем расшифровкой пароля.
В общем думаю понятно немного стало, как это работает!?
 
 Top
JustUserR
Отправлено: 20 Марта, 2011 - 00:17:27
Post Id



Активный участник


Покинул форум
Сообщений всего: 8715
Дата рег-ции: Июнь 2009  


Помог: 17 раз(а)
Владимир87 пишет:
Доброе время суток, подскажите пожалуйста, что такое "соль". Как вообще эта функция пишеться, для чго она нужна?
Использование позиционной конкатенации специального salt-значений в процессе генерации ассоцированных hash-кодов для оригинальных информационных полей, позволяет осуществить усложнение процесса подбора оригинального значения пароля на основании применения механизма радужных таблиц Rainbow tables, в условиях отсутсивия возможно модификаиции локального элементного уровня трактования и информационного кодового описания для предполагаемого подобранного значения пароля


-----
Сделать можно все что угодно - нужно только старание, терпение и хороший поисковик Улыбка
Безлимитный web-хостинг от 15 рублей за 40 МБ дискового пространства - http://ihost[dot]oks71[dot]ru/
 
 Top
Владимир87
Отправлено: 20 Марта, 2011 - 11:25:56
Post Id



Новичок


Покинул форум
Сообщений всего: 14
Дата рег-ции: Март 2011  


Помог: 0 раз(а)
Спасибо, все понял )
 
 Top
Поиск в теме | Версия для печати
Страниц (1): [1]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« Программирование на PHP »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB