PHP.SU

Программирование на PHP, MySQL и другие веб-технологии

PHP.SU Портал

Главная

Помощь

Поиск

Поиск Яндекс Вакансии

Пользователи

Здравствуйте, Гость

( Вход · Регистрация · Правила форума )

Забыли пароль?

авторизация в dle

Форумы портала PHP.SU » PHP » Программирование на PHP » CMS и фреймворки (Модераторы: OrmaJever, Саныч)

Страниц (1): [1]

Описание: безопасна ли

Поиск в теме | Версия для печати

kuller	Отправлено: 20 Февраля, 2012 - 08:37:09
Частый посетитель Покинул форум Сообщений всего: 561 Дата рег-ции: Нояб. 2009 Помог: 2 раз(а)	ковырялся тут в dle и нашол что авторизация работает таким образоп. по умолчанию перемёная is_logged имеет false а при успешной авторизации присваивается true и кроме этого еще в куки пишется логин и зашифрованый пароль. Разве не безопасно хранить пароль в куках? где та раньше на каком та форуме читал что даже зашифрованый пароль можно разшифровать.

Okula	Отправлено: 20 Февраля, 2012 - 08:39:49
Участник Покинул форум Сообщений всего: 1389 Дата рег-ции: Окт. 2010 Помог: 42 раз(а)	Если пароль с солью зашифрован то неполучится расшифровать. Да и вообще пароль зашифрованный просто функцией md5() расшифровать нельзя, его можно только подобрать.

kuller	Отправлено: 20 Февраля, 2012 - 08:43:12
Частый посетитель Покинул форум Сообщений всего: 561 Дата рег-ции: Нояб. 2009 Помог: 2 раз(а)	Okula пишет: Если пароль с солью зашифрован то неполучится расшифровать. Да и вообще пароль зашифрованный просто функцией md5() расшифровать нельзя, его можно только подобрать. всмысле солью? а для подбора же даже программы сушествуют же.

DelphinPRO	Отправлено: 20 Февраля, 2012 - 08:46:43
Активный участник Покинул форум Сообщений всего: 7187 Дата рег-ции: Февр. 2012 Помог: 353 раз(а)	kuller пишет: всмысле солью? а для подбора же даже программы сушествуют же. соль - это случайный набор символов, добавляемый к паролю. Потом все это дело хешируется. Соленые хеши значительно более взломоустойчивые. ----- Чем больше узнаю, тем больше я не знаю.

kuller	Отправлено: 20 Февраля, 2012 - 08:49:35
Частый посетитель Покинул форум Сообщений всего: 561 Дата рег-ции: Нояб. 2009 Помог: 2 раз(а)	DelphinPRO пишет: kuller пишет: всмысле солью? а для подбора же даже программы сушествуют же. соль - это случайный набор символов, добавляемый к паролю. Потом все это дело хешируется. Соленые хеши значительно более взломоустойчивые. а понятно. надо на заметку взять. в dle просто md5 шифрует без соли. Значит можно в куки пароль добавлять.

DelphinPRO	Отправлено: 20 Февраля, 2012 - 09:00:36
Активный участник Покинул форум Сообщений всего: 7187 Дата рег-ции: Февр. 2012 Помог: 353 раз(а)	kuller пишет: в dle просто md5 шифрует без соли. вы уверены? я с dle не работал, но что-то сомневаюсь, чтобы они чистые хеши в куки клали ----- Чем больше узнаю, тем больше я не знаю.

kuller	Отправлено: 20 Февраля, 2012 - 09:10:27
Частый посетитель Покинул форум Сообщений всего: 561 Дата рег-ции: Нояб. 2009 Помог: 2 раз(а)	DelphinPRO пишет: kuller пишет: в dle просто md5 шифрует без соли. вы уверены? я с dle не работал, но что-то сомневаюсь, чтобы они чистые хеши в куки клали незнаю как в новых версиях, в них ещё не ковырялся, но в версии 2 точно просто md5

Okula	Отправлено: 20 Февраля, 2012 - 09:12:57
Участник Покинул форум Сообщений всего: 1389 Дата рег-ции: Окт. 2010 Помог: 42 раз(а)	Даже если они и кладут в куки хеш пароля то его нужно оттуда ещё достать, а сделать это не так-то и просто, так как уязвимостей XSS на в движке нет. А если подстановкой действовать то наврядли что выйдет.

Поиск в теме | Версия для печати

Страниц (1): [1]

Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)

« CMS и фреймворки »

Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.