| Autor | Zpráva | ||
|---|---|---|---|
| Zis Profil |
#1 · Zasláno: 1. 4. 2006, 17:54:59
chci se zeptet kdybych chtěl kódovat heslo asi pomocí md5 např.
a ukládal bych to do db tak se to uloží už zakódovaný?? když jo tak je ten kód jedinečnej nebo ne?? jestli si mění jednou je třeba
a nevíte přoč je dobrý psát session id treba sem? nebo k čemu jévůbec dobrý??
diks |
||
| koudi Profil |
#2 · Zasláno: 1. 4. 2006, 18:36:27
1) $_POST["pass"] = "heslo" je co? od kdy se do $_POST hodnoty zapisují? Neni to trochu nanic?
2) Přek uložením do db si to musíš zakódovat. Ale jestli se nepletu, tak mysql má taky funkci md5, tak pak akorát dáš do insertu md5(heslo). 3) md5 je hashovací funkce a tudíž každý řetězec má uniátní hash (záleží i na velikosti písmen!) (dneska už sice víme, že md5 má i kolizní řetězce, ale tim se moc nezabejvej) 4) session id v odkazu - dobrý to je k tomu, že se ti takhle přenáší session id i když má uživatel vypnutý cookies. |
||
| souki Profil |
#3 · Zasláno: 1. 4. 2006, 21:37:31 · Upravil/a: souki
as 1) to bylo asi pro příklad
ad 2) v mysql se používá password(hodnota) ad 3) přesně tak..... nějaký Čech ted udělal nový způsob se kterym to c-racknul na notebookus celeronaem pod minutu... |
||
| koudi Profil |
#4 · Zasláno: 1. 4. 2006, 21:41:46
souki
ad 3) to mě docela zajímá - máš k tomu nějaký materiály (odkaz)? |
||
| souki Profil |
#5 · Zasláno: 1. 4. 2006, 21:45:00
ad 3) to mě docela zajímá - máš k tomu nějaký materiály (odkaz)?
http://www.root.cz/clanky/tunely-v-hasovacich-funkcich-kolize-md5-do-m inuty/ ač nejsem linuxář tohle byl první výsledek googlu na dotaz MD5. Sám jsem to nečet. Dozvěděl jsem se ot om z nějaké rychlé zprávy. Každopádně to způsobilo chaos v banlách, které hromdaně předělávají systémy |
||
| thingwath Profil |
#6 · Zasláno: 1. 4. 2006, 21:46:34
Ty kolize tam musí být už z principu, ale neměly by jít tak snadno najít :-) Zdroje jsou k tomu tady: http://cryptography.hyperlink.cz/ , ale pokud tomu nerozumíte, nedělejte si iluze, že zrovna tam to pochopíte :-)
|
||
| souki Profil |
#7 · Zasláno: 1. 4. 2006, 21:48:06
ale neměly by jít tak snadno najít
no tak ted už lehce najít jdou... pro normálního smrtelníka ne, ale ten Klíma na to asi přišel |
||
| Zis Profil |
#8 · Zasláno: 1. 4. 2006, 23:18:06
4) session id v odkazu - dobrý to je k tomu, že se ti takhle přenáší session id i když má uživatel vypnutý cookies.
tak si to můžu dát do proměný a nemusim to dávat za odkaz ne? |
||
| Marcus Flintus Profil * |
#9 · Zasláno: 1. 4. 2006, 23:36:40
hmmm
md5 je nelineární alogoritmus, kerej se mění v závislosti na vstupu. takže to jde pouze tam. ještě rád dodávám, že by to šlo i zpět podle klíče, a ten klíč je právě to, co je v něm zahashovaný. jedniný co je, tak jsou velký databáze, kerý obsahujou nesčetný množství hesel a jejich hashů. takže když má někdo heslo "Porshe" tak se to dá snadno najít.. ;-) |
||
| Acci Profil |
#10 · Zasláno: 2. 4. 2006, 07:33:05
v mysql se používá password(hodnota)
Ale dá se klidně použít i MD5(hodnota) nebo třeba SHA1(hodnota) |
||
| koudi Profil |
#11 · Zasláno: 2. 4. 2006, 08:46:55
Zis
tak si to můžu dát do proměný a nemusim to dávat za odkaz ne? A ta proměnná by se ti přenesla na další stránku jak asi? |
||
| souki Profil |
#12 · Zasláno: 2. 4. 2006, 10:43:09
Marcus Flintus
jenže u hesel je vůbec nepotřebuješ rozšifrovat. Stačí ti najít kolizní řetězec (slovo mající stejný hash jako heslo) a ten V. Klíma právě vymyslel jak takové řetězce najít za 30s..... |
||
| Zis Profil |
#13 · Zasláno: 2. 4. 2006, 10:51:16
$_SESSION["hash"] = "4f4ds6a4f5as64f56s4da65f4as56"
|
||
| koudi Profil |
#14 · Zasláno: 2. 4. 2006, 10:57:48
Zis
hm, tak to ti rozhodně fungovat nebude. |
||
| souki Profil |
#15 · Zasláno: 2. 4. 2006, 10:58:40
Zis
co to? |
||
| Acci Profil |
#16 · Zasláno: 2. 4. 2006, 11:20:56
souki
IMHO ne. Ten program jen hledá dva kolidující řetězce, nehledá kolidující řetězec k určitému MD5 hashi. |
||
| souki Profil |
#17 · Zasláno: 2. 4. 2006, 11:45:33
Acci
aha.. tak pardon.... asi jsem to špatně pochopil.... ikdyž mě napdaá že pod tím článkem byla diskuze a tam se ho někdo ptal jestli by mu mohl najít nějaký řetžzec odpovídající konkrétnímu hashi, že to nutně potřebuje. A on řikal, že může, ale at si to udělá sám... teda... aspon myslim, že to tak bylo |
||
| Marcus Flintus Profil * |
#18 · Zasláno: 2. 4. 2006, 12:45:38
ehe, tak to jsem nevěděl.. =)
|
||
| koudi Profil |
#19 · Zasláno: 2. 4. 2006, 12:47:53
souki
Pokud si dobře pamatuju, tak to chlapíkovi řek, že to nejde (zatim). |
||
| souki Profil |
#20 · Zasláno: 2. 4. 2006, 12:50:45
koudi
aha.... tak to pardon... špatně jsem to přečetl takže heslo jde zjistit zatím jen pes nějakou DB hashů |
||
| koudi Profil |
#21 · Zasláno: 2. 4. 2006, 12:57:01
Asi tak. Já osobně teda strach nemam a klidně MD5 používám na hesla dál (ale kdybych dělal nějaký projekty, kde by byla potřeba mnohem větší bezpečnost, asi už bych to nepužíval). Ono jedna věc je zjistit z hashe kolizní řetězec, ale ještě je taky potřeba zjistit ten hash, že. Pro normální použití to je imho zatim bezpečný.
|
||
| Acci Profil |
#22 · Zasláno: 2. 4. 2006, 13:04:46
koudi
A co by jsi použil místo MD5? |
||
| koudi Profil |
#23 · Zasláno: 2. 4. 2006, 13:07:13
Acci
To kdybych věděl :). Možná nějakou SHA-256, nebo 512. Do kryptologie moc nevidim, ale md5 už se prostě na důležitější věci nedoporučuje. |
||
|
Časová prodleva: 18 let
|
|||
Toto téma je uzamčeno. Odpověď nelze zaslat.
0