Autor Zpráva
Xanomes
Profil
Ahoj,
chtěl bych se zeptat, zda má smysl ukládat do php souboru (config.php) rovnou hashovaná hesla, tedy jak moc velké riziko by bylo, kdyby se k nehashovaným heslům někdo přes FTP dostal. Jedná se pouze o hesla k administraci a mysql. Heslo je uloženo tímto stylem:
<?php
$admin['pass'] = "heslo, pripadne hash";
?>
Martin2
Profil *
Xanomes:
jak moc velké riziko by bylo, kdyby se k nehashovaným heslům někdo přes FTP dostal
Přibližně stejné, jako k nezahashovaným heslům v databázi. Takže smysl to asi má.

Jedná se pouze o hesla k administraci a mysql.
Heslo k mysql budeš ho potřebovat v čisté formě pro připojení k databázovému serveru. Jeho hash ti asi nebude k ničemu dobrý.
Sitole
Profil
Xanomes:
Do databáze se připojíš s klasickou verzí, ale přihlašovací údaje do administrace určitě hashovat.
Pro přihlášení si nejspíše budeš ukládat údaje do session a tam jedině hash, jinak tam to heslo ani nemusí být.
Xanomes
Profil
Martin2:
> „jak moc velké riziko by bylo, kdyby se k nehashovaným heslům někdo přes FTP dostal“
> Přibližně stejné, jako k nezahashovaným heslům v databázi. Takže smysl to asi má.
Dobře, díky. Ptal jsem se spíše proto, že jsem viděl několik moderních projektů, kde se ukládaly do configu hesla nehashovaná, tak mne zajímalo, jestli hashování nemá nějaký háček :)

> „Jedná se pouze o hesla k administraci a mysql.“
> Heslo k mysql budeš ho potřebovat v čisté formě pro připojení k databázovému serveru. Jeho hash ti asi nebude k ničemu dobrý.
To mě taky napadlo, ale před sepsáním tohoto dotazu jsem to zase zapomněl :)
visionic
Profil *
Mozna by bylo dobre použít md5()
Chro.
Profil
MD5 na hesla ani omylem, leda tak na kontrolu integrity nebo unikátnosti souborů. Na hesla třeba SHA1, SHA2.
visionic
Profil *
Mohu se teda zeptat, vcem je horsi nebo jaké jsou rozdíly md5() oproti sha1() nebo sha2().?
Nechci tím říct, že md5 je lepší, to vžádném případě, ale zajímalo by mě proč tedy nepoužívat md5 a začít použivat sha
Xanomes
Profil
visionic, Chro.:
Mozna by bylo dobre použít md5()
MD5 na hesla ani omylem, leda tak na kontrolu integrity nebo unikátnosti souborů. Na hesla třeba SHA1, SHA2.
Oba dva jste vedle :) na hesla se hodí bcrypt - slajdy od Michala Špačka
Lonanek
Profil
visionic:
zajímalo by mě proč tedy nepoužívat md5
prolomitelnost
visionic
Profil *
Xanomes

hezký článek, dost k zamyšlení, co jsem udělal špatně.

Vaše odpověď

Mohlo by se hodit


Prosím používejte diakritiku a interpunkci.

Ochrana proti spamu. Napište prosím číslo dvě-sta čtyřicet-sedm: