| Autor | Zpráva | ||
|---|---|---|---|
| Xanomes Profil |
#1 · Zasláno: 10. 4. 2016, 16:21:02
Ahoj,
chtěl bych se zeptat, zda má smysl ukládat do php souboru (config.php) rovnou hashovaná hesla, tedy jak moc velké riziko by bylo, kdyby se k nehashovaným heslům někdo přes FTP dostal. Jedná se pouze o hesla k administraci a mysql. Heslo je uloženo tímto stylem: <?php $admin['pass'] = "heslo, pripadne hash"; ?> |
||
| Martin2 Profil * |
#2 · Zasláno: 10. 4. 2016, 16:59:14
Xanomes:
„jak moc velké riziko by bylo, kdyby se k nehashovaným heslům někdo přes FTP dostal“ Přibližně stejné, jako k nezahashovaným heslům v databázi. Takže smysl to asi má. „Jedná se pouze o hesla k administraci a mysql.“ Heslo k mysql budeš ho potřebovat v čisté formě pro připojení k databázovému serveru. Jeho hash ti asi nebude k ničemu dobrý. |
||
| Sitole Profil |
#3 · Zasláno: 10. 4. 2016, 17:03:35
Xanomes:
Do databáze se připojíš s klasickou verzí, ale přihlašovací údaje do administrace určitě hashovat. Pro přihlášení si nejspíše budeš ukládat údaje do session a tam jedině hash, jinak tam to heslo ani nemusí být. |
||
| Xanomes Profil |
#4 · Zasláno: 10. 4. 2016, 17:06:48
Martin2:
> „jak moc velké riziko by bylo, kdyby se k nehashovaným heslům někdo přes FTP dostal“ > Přibližně stejné, jako k nezahashovaným heslům v databázi. Takže smysl to asi má. Dobře, díky. Ptal jsem se spíše proto, že jsem viděl několik moderních projektů, kde se ukládaly do configu hesla nehashovaná, tak mne zajímalo, jestli hashování nemá nějaký háček :) > „Jedná se pouze o hesla k administraci a mysql.“ > Heslo k mysql budeš ho potřebovat v čisté formě pro připojení k databázovému serveru. Jeho hash ti asi nebude k ničemu dobrý. To mě taky napadlo, ale před sepsáním tohoto dotazu jsem to zase zapomněl :) |
||
| visionic Profil * |
#5 · Zasláno: 10. 4. 2016, 20:52:21
Mozna by bylo dobre použít md5()
|
||
| Chro. Profil |
#6 · Zasláno: 10. 4. 2016, 21:00:40
MD5 na hesla ani omylem, leda tak na kontrolu integrity nebo unikátnosti souborů. Na hesla třeba SHA1, SHA2.
|
||
| visionic Profil * |
#7 · Zasláno: 10. 4. 2016, 21:12:39
Mohu se teda zeptat, vcem je horsi nebo jaké jsou rozdíly md5() oproti sha1() nebo sha2().?
Nechci tím říct, že md5 je lepší, to vžádném případě, ale zajímalo by mě proč tedy nepoužívat md5 a začít použivat sha |
||
| Xanomes Profil |
#8 · Zasláno: 10. 4. 2016, 21:18:34
visionic, Chro.:
„Mozna by bylo dobre použít md5()“ „MD5 na hesla ani omylem, leda tak na kontrolu integrity nebo unikátnosti souborů. Na hesla třeba SHA1, SHA2.“ Oba dva jste vedle :) na hesla se hodí bcrypt - slajdy od Michala Špačka |
||
| Lonanek Profil |
#9 · Zasláno: 10. 4. 2016, 21:23:17
visionic:
„zajímalo by mě proč tedy nepoužívat md5“ prolomitelnost |
||
| visionic Profil * |
#10 · Zasláno: 10. 4. 2016, 21:49:49
Xanomes
hezký článek, dost k zamyšlení, co jsem udělal špatně. |
||
|
Časová prodleva: 8 let
|
|||
0