Autor Zpráva
Zis
Profil
chci se zeptet kdybych chtěl kódovat heslo asi pomocí md5 např.


$_POST["pass"] = "heslo"
MD5($_POST["pass"])

a ukládal bych to do db tak se to uloží už zakódovaný?? když jo tak je ten kód jedinečnej nebo ne?? jestli si mění jednou je třeba

MD5($_POST["pass"])="78fas45f4as65f465ds4f654sa" a po druhý
MD5($_POST["pass"])="5f6udas5f4das64f54d5f45lshj"


a nevíte přoč je dobrý psát session id treba sem? nebo k čemu jévůbec dobrý??


href="www.nejaky_server.cz?PHPSESSID=29e1e4e306f6174f1ff6360fac75b18a" >odkaz</a>

diks
koudi
Profil
1) $_POST["pass"] = "heslo" je co? od kdy se do $_POST hodnoty zapisují? Neni to trochu nanic?
2) Přek uložením do db si to musíš zakódovat. Ale jestli se nepletu, tak mysql má taky funkci md5, tak pak akorát dáš do insertu md5(heslo).
3) md5 je hashovací funkce a tudíž každý řetězec má uniátní hash (záleží i na velikosti písmen!) (dneska už sice víme, že md5 má i kolizní řetězce, ale tim se moc nezabejvej)
4) session id v odkazu - dobrý to je k tomu, že se ti takhle přenáší session id i když má uživatel vypnutý cookies.
souki
Profil
as 1) to bylo asi pro příklad
ad 2) v mysql se používá password(hodnota)
ad 3) přesně tak..... nějaký Čech ted udělal nový způsob se kterym to c-racknul na notebookus celeronaem pod minutu...
koudi
Profil
souki
ad 3) to mě docela zajímá - máš k tomu nějaký materiály (odkaz)?
souki
Profil
ad 3) to mě docela zajímá - máš k tomu nějaký materiály (odkaz)?
http://www.root.cz/clanky/tunely-v-hasovacich-funkcich-kolize-md5-do-m inuty/
ač nejsem linuxář tohle byl první výsledek googlu na dotaz MD5. Sám jsem to nečet. Dozvěděl jsem se ot om z nějaké rychlé zprávy. Každopádně to způsobilo chaos v banlách, které hromdaně předělávají systémy
thingwath
Profil
Ty kolize tam musí být už z principu, ale neměly by jít tak snadno najít :-) Zdroje jsou k tomu tady: http://cryptography.hyperlink.cz/ , ale pokud tomu nerozumíte, nedělejte si iluze, že zrovna tam to pochopíte :-)
souki
Profil
ale neměly by jít tak snadno najít
no tak ted už lehce najít jdou... pro normálního smrtelníka ne, ale ten Klíma na to asi přišel
Zis
Profil
4) session id v odkazu - dobrý to je k tomu, že se ti takhle přenáší session id i když má uživatel vypnutý cookies.

tak si to můžu dát do proměný a nemusim to dávat za odkaz ne?
Marcus Flintus
Profil *
hmmm
md5 je nelineární alogoritmus, kerej se mění v závislosti na vstupu. takže to jde pouze tam. ještě rád dodávám, že by to šlo i zpět podle klíče, a ten klíč je právě to, co je v něm zahashovaný.

jedniný co je, tak jsou velký databáze, kerý obsahujou nesčetný množství hesel a jejich hashů. takže když má někdo heslo "Porshe" tak se to dá snadno najít.. ;-)
Acci
Profil
v mysql se používá password(hodnota)
Ale dá se klidně použít i MD5(hodnota) nebo třeba SHA1(hodnota)
koudi
Profil
Zis
tak si to můžu dát do proměný a nemusim to dávat za odkaz ne?

A ta proměnná by se ti přenesla na další stránku jak asi?
souki
Profil
Marcus Flintus
jenže u hesel je vůbec nepotřebuješ rozšifrovat. Stačí ti najít kolizní řetězec (slovo mající stejný hash jako heslo) a ten V. Klíma právě vymyslel jak takové řetězce najít za 30s.....
Zis
Profil
$_SESSION["hash"] = "4f4ds6a4f5as64f56s4da65f4as56"
koudi
Profil
Zis
hm, tak to ti rozhodně fungovat nebude.
souki
Profil
Zis
co to?
Acci
Profil
souki
IMHO ne. Ten program jen hledá dva kolidující řetězce, nehledá kolidující řetězec k určitému MD5 hashi.
souki
Profil
Acci
aha.. tak pardon.... asi jsem to špatně pochopil....
ikdyž mě napdaá že pod tím článkem byla diskuze a tam se ho někdo ptal jestli by mu mohl najít nějaký řetžzec odpovídající konkrétnímu hashi, že to nutně potřebuje. A on řikal, že může, ale at si to udělá sám... teda... aspon myslim, že to tak bylo
Marcus Flintus
Profil *
ehe, tak to jsem nevěděl.. =)
koudi
Profil
souki
Pokud si dobře pamatuju, tak to chlapíkovi řek, že to nejde (zatim).
souki
Profil
koudi
aha.... tak to pardon... špatně jsem to přečetl
takže heslo jde zjistit zatím jen pes nějakou DB hashů
koudi
Profil
Asi tak. Já osobně teda strach nemam a klidně MD5 používám na hesla dál (ale kdybych dělal nějaký projekty, kde by byla potřeba mnohem větší bezpečnost, asi už bych to nepužíval). Ono jedna věc je zjistit z hashe kolizní řetězec, ale ještě je taky potřeba zjistit ten hash, že. Pro normální použití to je imho zatim bezpečný.
Acci
Profil
koudi
A co by jsi použil místo MD5?
koudi
Profil
Acci
To kdybych věděl :). Možná nějakou SHA-256, nebo 512. Do kryptologie moc nevidim, ale md5 už se prostě na důležitější věci nedoporučuje.
Toto téma je uzamčeno. Odpověď nelze zaslat.