Покинул форум
Сообщений всего: 314
Дата рег-ции: Нояб. 2011 Откуда: Россия
Помог: 0 раз(а)
Hawkmoth
Цитата:
Вот здесь и кроется минус статической соли: злоумышленник сможет сгенерировать свою таблицу хешей со статической солью и получить значения большинства паролей из базы. Для устранения этого минуса используется уникальная соль к каждому хешу
ссылка
Я не знаю, так это или нет на 100%, но в любом случае лишний раз подстраховаться надо
----- In Console We Trust. Code hard. Or die.
Hawkmoth
Отправлено: 11 Августа, 2012 - 20:31:59
Посетитель
Покинул форум
Сообщений всего: 329
Дата рег-ции: Янв. 2012
Помог: 6 раз(а)
armancho7777777 пишет:
А как же ? )
Tox пишет:
если бд угонят
Ну, может, там функция хеширования будет выглядеть как-то так:
PS. На синтаксис этот бред не проверял, думаю, идея понятна (Добавление)
Tox пишет:
Я не знаю, так это или нет на 100%, но в любом случае лишний раз подстраховаться надо
Тезис правильный, готов подписаться. Но дело в том, что если кто-то получил доступ к Вашим php-скриптам (откуда, собственно, он и узнал статическую соль?), то никакая уникальная соль уже не поможет - алгоритм-то он вот он.
Так что в большинстве случаев статической соли вполне хватает. Ну, может, еще чуть более усложненной функции хеширования, чем md5($password.$salt).
armancho7777777
Отправлено: 11 Августа, 2012 - 20:38:39
Активный участник
Покинул форум
Сообщений всего: 4526
Дата рег-ции: Февр. 2011 Откуда: Москва
Помог: 221 раз(а)
Tox пишет:
Вот здесь и кроется минус статической соли
Её ещё узнать надо.
Viper
Отправлено: 12 Августа, 2012 - 00:36:45
Активный участник
Покинул форум
Сообщений всего: 4555
Дата рег-ции: Февр. 2007 Откуда: Симферополь
Помог: 98 раз(а)
Tox не стоит использовать md5 и для общего хеша и для пароля. лучше либо sha1(или sha2), либо что-то вида aes. т.е. смешать функции
Покинул форум
Сообщений всего: 314
Дата рег-ции: Нояб. 2011 Откуда: Россия
Помог: 0 раз(а)
Мелкий пишет:
На нешифрованном соединении куда проще утянуть сразу сессионную куку и делать с ней что понравится.
Предположим, кука сохраняется при старте сессии, по дефолту называется PHPSESSID. Каждый юзер может посмотреть свою куку, в хроме я делаю это через F12 во вкладке Resources. Как же тогда утянуть чужую сессионную куку и что с ней можно сделать? В скрипте есть условие
Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009 Откуда: Россия, Санкт-Петербург
Помог: 618 раз(а)
Tox пишет:
Как же тогда утянуть чужую сессионную куку
Так же, как собирались перехватить пароль, передающийся с формы.
Tox пишет:
что с ней можно сделать?
Представиться этой кукой, соответственно получив доступ к аккаунту.
----- PostgreSQL DBA
Tox
Отправлено: 16 Августа, 2012 - 15:24:01
Посетитель
Покинул форум
Сообщений всего: 314
Дата рег-ции: Нояб. 2011 Откуда: Россия
Помог: 0 раз(а)
Ага. А разве сервер, создавая сессию, не хранит в ней определенные данные юзера? Например, инфа о браузере и так далее.
Я могу сейчас сюда кинуть свою куку (в которой идентификатор сессии). Сможете от меня что-нибудь написать? Тут тот же механизм (вроде). Вдруг, получиться
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.