Покинул форум
Сообщений всего: 561
Дата рег-ции: Нояб. 2009
Помог: 2 раз(а)
ковырялся тут в dle и нашол что авторизация работает таким образоп.
по умолчанию перемёная is_logged имеет false а при успешной авторизации присваивается true и кроме этого еще в куки пишется логин и зашифрованый пароль. Разве не безопасно хранить пароль в куках?
где та раньше на каком та форуме читал что даже зашифрованый пароль можно разшифровать.
Okula
Отправлено: 20 Февраля, 2012 - 08:39:49
Участник
Покинул форум
Сообщений всего: 1389
Дата рег-ции: Окт. 2010
Помог: 42 раз(а)
Если пароль с солью зашифрован то неполучится расшифровать.
Да и вообще пароль зашифрованный просто функцией md5() расшифровать нельзя, его можно только подобрать.
kuller
Отправлено: 20 Февраля, 2012 - 08:43:12
Частый посетитель
Покинул форум
Сообщений всего: 561
Дата рег-ции: Нояб. 2009
Помог: 2 раз(а)
Okula пишет:
Если пароль с солью зашифрован то неполучится расшифровать.
Да и вообще пароль зашифрованный просто функцией md5() расшифровать нельзя, его можно только подобрать.
всмысле солью? а для подбора же даже программы сушествуют же.
DelphinPRO
Отправлено: 20 Февраля, 2012 - 08:46:43
Активный участник
Покинул форум
Сообщений всего: 7187
Дата рег-ции: Февр. 2012
Помог: 353 раз(а)
kuller пишет:
всмысле солью? а для подбора же даже программы сушествуют же.
соль - это случайный набор символов, добавляемый к паролю. Потом все это дело хешируется.
Соленые хеши значительно более взломоустойчивые.
----- Чем больше узнаю, тем больше я не знаю.
kuller
Отправлено: 20 Февраля, 2012 - 08:49:35
Частый посетитель
Покинул форум
Сообщений всего: 561
Дата рег-ции: Нояб. 2009
Помог: 2 раз(а)
DelphinPRO пишет:
kuller пишет:
всмысле солью? а для подбора же даже программы сушествуют же.
соль - это случайный набор символов, добавляемый к паролю. Потом все это дело хешируется.
Соленые хеши значительно более взломоустойчивые.
а понятно. надо на заметку взять. в dle просто md5 шифрует без соли.
Значит можно в куки пароль добавлять.
DelphinPRO
Отправлено: 20 Февраля, 2012 - 09:00:36
Активный участник
Покинул форум
Сообщений всего: 7187
Дата рег-ции: Февр. 2012
Помог: 353 раз(а)
kuller пишет:
в dle просто md5 шифрует без соли.
вы уверены? я с dle не работал, но что-то сомневаюсь, чтобы они чистые хеши в куки клали
----- Чем больше узнаю, тем больше я не знаю.
kuller
Отправлено: 20 Февраля, 2012 - 09:10:27
Частый посетитель
Покинул форум
Сообщений всего: 561
Дата рег-ции: Нояб. 2009
Помог: 2 раз(а)
DelphinPRO пишет:
kuller пишет:
в dle просто md5 шифрует без соли.
вы уверены? я с dle не работал, но что-то сомневаюсь, чтобы они чистые хеши в куки клали
незнаю как в новых версиях, в них ещё не ковырялся, но в версии 2 точно просто md5
Okula
Отправлено: 20 Февраля, 2012 - 09:12:57
Участник
Покинул форум
Сообщений всего: 1389
Дата рег-ции: Окт. 2010
Помог: 42 раз(а)
Даже если они и кладут в куки хеш пароля то его нужно оттуда ещё достать, а сделать это не так-то и просто, так как уязвимостей XSS на в движке нет.
А если подстановкой действовать то наврядли что выйдет.
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.