Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: md5 js [3]

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (3): « 1 2 [3]   

> Без описания
Поиск в теме | Версия для печати
Tox
Отправлено: 11 Августа, 2012 - 20:29:56
Post Id



Посетитель


Покинул форум
Сообщений всего: 314
Дата рег-ции: Нояб. 2011  
Откуда: Россия


Помог: 0 раз(а)
Hawkmoth
Цитата:
Вот здесь и кроется минус статической соли: злоумышленник сможет сгенерировать свою таблицу хешей со статической солью и получить значения большинства паролей из базы. Для устранения этого минуса используется уникальная соль к каждому хешу

ссылка
Я не знаю, так это или нет на 100%, но в любом случае лишний раз подстраховаться надо


-----
In Console We Trust. Code hard. Or die.
 
 Top
Hawkmoth
Отправлено: 11 Августа, 2012 - 20:31:59
Post Id


Посетитель


Покинул форум
Сообщений всего: 329
Дата рег-ции: Янв. 2012  


Помог: 6 раз(а)
armancho7777777 пишет:
А как же ? )
Tox пишет:
если бд угонят


Ну, может, там функция хеширования будет выглядеть как-то так:
PHP:
скопировать код в буфер обмена
  1. $pass=sha1(md5(substr(md5($pass.$unique_salt).md5($pass.$unique_salt.$pass),2,25).substr($unique_salt,3)))


и sha1 еще в цикле 1000 разУлыбка

PS. На синтаксис этот бред не проверял, думаю, идея понятнаУлыбка
(Добавление)
Tox пишет:
Я не знаю, так это или нет на 100%, но в любом случае лишний раз подстраховаться надо

Тезис правильный, готов подписаться. Но дело в том, что если кто-то получил доступ к Вашим php-скриптам (откуда, собственно, он и узнал статическую соль?), то никакая уникальная соль уже не поможет - алгоритм-то он вот он.

Так что в большинстве случаев статической соли вполне хватает. Ну, может, еще чуть более усложненной функции хеширования, чем md5($password.$salt).
 
 Top
armancho7777777 Супермодератор
Отправлено: 11 Августа, 2012 - 20:38:39
Post Id



Активный участник


Покинул форум
Сообщений всего: 4526
Дата рег-ции: Февр. 2011  
Откуда: Москва


Помог: 221 раз(а)
Tox пишет:
Вот здесь и кроется минус статической соли

Её ещё узнать надо.
 
 Top
Viper
Отправлено: 12 Августа, 2012 - 00:36:45
Post Id



Активный участник


Покинул форум
Сообщений всего: 4555
Дата рег-ции: Февр. 2007  
Откуда: Симферополь


Помог: 98 раз(а)
Tox не стоит использовать md5 и для общего хеша и для пароля. лучше либо sha1(или sha2), либо что-то вида aes. т.е. смешать функции

(Отредактировано автором: 12 Августа, 2012 - 00:37:39)



-----
Список фильмов с описанием, блекджеком и... для Joomla? -> https://киноархив[dot]com
Демо нового движка для сайта php.su -> php[dot]su, проект на гитхабе
 
 Top
Tox
Отправлено: 16 Августа, 2012 - 14:44:43
Post Id



Посетитель


Покинул форум
Сообщений всего: 314
Дата рег-ции: Нояб. 2011  
Откуда: Россия


Помог: 0 раз(а)
Мелкий пишет:
На нешифрованном соединении куда проще утянуть сразу сессионную куку и делать с ней что понравится.

Предположим, кука сохраняется при старте сессии, по дефолту называется PHPSESSID. Каждый юзер может посмотреть свою куку, в хроме я делаю это через F12 во вкладке Resources. Как же тогда утянуть чужую сессионную куку и что с ней можно сделать? В скрипте есть условие
PHP:
скопировать код в буфер обмена
  1. if($session != session_id())
  2.   {
  3.     //session_destroy();
  4.     exit("Скрипт остановлен.");
  5.   }

Просто хочу понять, как залатать уязвимости


-----
In Console We Trust. Code hard. Or die.
 
 Top
Мелкий Супермодератор
Отправлено: 16 Августа, 2012 - 15:18:01
Post Id



Активный участник


Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009  
Откуда: Россия, Санкт-Петербург


Помог: 618 раз(а)
Tox пишет:
Как же тогда утянуть чужую сессионную куку

Так же, как собирались перехватить пароль, передающийся с формы.

Tox пишет:
что с ней можно сделать?

Представиться этой кукой, соответственно получив доступ к аккаунту.


-----
PostgreSQL DBA
 
 Top
Tox
Отправлено: 16 Августа, 2012 - 15:24:01
Post Id



Посетитель


Покинул форум
Сообщений всего: 314
Дата рег-ции: Нояб. 2011  
Откуда: Россия


Помог: 0 раз(а)
Ага. А разве сервер, создавая сессию, не хранит в ней определенные данные юзера? Например, инфа о браузере и так далее.
Я могу сейчас сюда кинуть свою куку (в которой идентификатор сессии). Сможете от меня что-нибудь написать? Тут тот же механизм (вроде). Вдруг, получиться


-----
In Console We Trust. Code hard. Or die.
 
 Top
Поиск в теме | Версия для печати
Страниц (3): « 1 2 [3]
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« Вопросы новичков »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB