| Autor | Správa |
|---|
Svolo
Užívateľ
Založený: 10.02.2008
Príspevky: 2274
Bydlisko: Nitra
 |  Zaslal: Pi 28.08.09 10:48 |   |
neXor ma pravdu  hashovat nick a mail je blbost, ako ho potom zistis, ked budes chcet zaslat nove heslo? Ako zistis nick, ked bude dakto robit blboviny? Ked uz tak, tak skuste hashovat heslo na 2 krat - najprv povedzme sha1 a potom md5  |
_________________
motto:WYSIWYMGIYRRLAAGW: What You See Is What You Might Get If You’re Really Really Lucky And All Goes Well.
MB:Asus P5K/EPU | CPU:Intel C2D E7200 + AC Freezer 7 PRO| VGA:Asus nVidia GeForce 9600 GT | HDD:640 GB Seagate | RAM:2x1GB 800MHz Kingston HyperX | mechanika:LG DVD(napalovanie) | Case:MIDI Colorsit 8040-LCD Display + 2x AC Fan 18dB-1500 RPM | zdroj:Fortron 400W | OS:Windows 7 ult 64bit | monitor:22" LCD ASUS VW225N DVI | myš: laser Logitexh RX1500 | phone:Nokia 5800xm
notebook: IBM Lenovo Thinkpad T61 + Apple Nano 4th 8GB green | |
     |
|
rooobertek
Skúsený užívateľ
Založený: 09.07.2008
Príspevky: 1582
| | Zaslal: Pi 28.08.09 10:51 | |
salt je už hádam lepší, nie? |
_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to! | |
|
|
neXor
Užívateľ
Založený: 27.06.2009
Príspevky: 75
Bydlisko: Levice, Slovensko
| | Zaslal: Pi 28.08.09 10:52 | |
Svolo, to by teda dopadlo, ale podla mna staci zaheslovat obycajne md5 aleho sha1 a aj tak je to bezpecne, ved tolko casu nato treba aby sa zistilo povodne heslo, ze sa nato mozem vykaslat  |
| |
 |
|
pepek92
Užívateľ
Založený: 21.01.2007
Príspevky: 660
| | Zaslal: Pi 28.08.09 11:05 | |
| rooobertek napísal: | | salt je už hádam lepší, nie? |
Ale keď sa ti niekto dostane do zdrojových kódov, tak je to už v podstate zbytočné... |
| |
|
|
Svolo
Užívateľ
Založený: 10.02.2008
Príspevky: 2274
Bydlisko: Nitra
| | Zaslal: Pi 28.08.09 11:12 | |
No a to je prave to najtazsie - dostat sa do zdrojovych kodov a na server |
_________________
motto:WYSIWYMGIYRRLAAGW: What You See Is What You Might Get If You’re Really Really Lucky And All Goes Well.
MB:Asus P5K/EPU | CPU:Intel C2D E7200 + AC Freezer 7 PRO| VGA:Asus nVidia GeForce 9600 GT | HDD:640 GB Seagate | RAM:2x1GB 800MHz Kingston HyperX | mechanika:LG DVD(napalovanie) | Case:MIDI Colorsit 8040-LCD Display + 2x AC Fan 18dB-1500 RPM | zdroj:Fortron 400W | OS:Windows 7 ult 64bit | monitor:22" LCD ASUS VW225N DVI | myš: laser Logitexh RX1500 | phone:Nokia 5800xm
notebook: IBM Lenovo Thinkpad T61 + Apple Nano 4th 8GB green | |
|
|
rooobertek
Skúsený užívateľ
Založený: 09.07.2008
Príspevky: 1582
| | Zaslal: Pi 28.08.09 11:13 | |
| pepek92 napísal: | | Ale keď sa ti niekto dostane do zdrojových kódov, tak je to už v podstate zbytočné... |
Nie, nie je. Útočník by musel na každého jedného užívateľa počítať hashe, čo je nemožné.
| Svolo napísal: | | No a to je prave to najtazsie - dostat sa do zdrojovych kodov a na server |
myslíš? |
| |
|
|
GoodWill
Skúsený užívateľ
Založený: 29.10.2007
Príspevky: 1000
Bydlisko: Bratislava
| | Zaslal: Pi 28.08.09 11:40 | |
Presne ako pise robertek. Ked uz je niekto v serverovni alebo ma pristup k databaze, nepotrebuje hadat meno/heslo.
Ak mas v databaze ine udaje (napr osobne udaje ktore zakon prikazuje chranit osobitne) potom ma vyznam nejake kryptovanie dvojicou public/private key.
Ale urcite nie hashovanie pri ktorom stracas povodnu informaciu. |
_________________
Koľko SEO expertov je potrebných na výmenu žiarovky výmena žiaroviek žiarovka nové žiarovky úsporné žiarovky sexy žiarovka? | |
|
|
Tominator
Zablokovaný užívateľ
Založený: 21.02.2007
Príspevky: 4009
| | Zaslal: Pi 28.08.09 11:53 | |
No takže takto:
1. Programator musí rátať s tým, že sa nejakou náhodou útočník dostane k jeho kódom. Práve preto ich píšeme prehľadne, aby útočník vedel čo najrýchlejšie nájsť to čo potrebuje Teraz vážne: to, že útočník prečíta tvoje phpčka, ešte nič nemusí znamenať. Wikipedia je free a pritom tuším nie je v súčastnom stave zraniteľná (možno neviem všetko ). Problém by nastal ak by ti niekto prepísal tvoje súbory. Ani v tedy to však ešte nie je koniec sveta.
2. Triminka: Ak by si použil na nick md5, a na heslo sha1, veľa by si nezískal Ako ťa poznám, tak to vieš, len pripomeniem, že výsledný reťazec má odlišnú dĺžku Vytvárať vlastné hashovacie funkcie nie je práve najlepší nápad, o čom som sa dočítal v knihe Zraniteľný kód, kde sa autor odvolával na kryptológov.
3. Hashovať nick a mail, je podľa mňa hlúposť ... , pretože tým vôbec nič nezískaš |
| |
|
|
László145
Užívateľ
Založený: 01.07.2008
Príspevky: 80
| | Zaslal: Pi 28.08.09 12:24 | |
No neviem ako sa volá metóda ktorá znečitateľní kód.Ale bolo by dobré ju použiť....priznávam sa, no s tým hashovaním mailu a nicku je blbosť. Ale aspoň maily nejak zašifrovať, pomocou AES, Blowfish (Encrypt/Decrypt)  |
| |
|
|
rooobertek
Skúsený užívateľ
Založený: 09.07.2008
Príspevky: 1582
| | Zaslal: Pi 28.08.09 13:09 | |
tvoja aplikácia musí byť chránena aj v prípade, že má útočník k dispozícii všetky zdrojové kódy. Je blbosť spoliehať sa na to, že keď nikto nevidí tvoj kód, tak nie si zraniteľný. To je prístup microsoftu, jeho produkty potom aj tak vyzerajú. |
_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to! | |
|
|
Triminka
Užívateľ
Založený: 06.03.2008
Príspevky: 1735
Bydlisko: triminka@spambot
| | Zaslal: Pi 28.08.09 13:09 | |
Tominator: som rad ze ma poznas. Preto retazce trimujem na rovnaku dlzku, ked uz pouzivam odlisne hashovacie funkcie A nepisal som nic o vytvarani novych hash funkcii.
hashovat mail neni blbost.
situacia: user zabudne heslo, ma zahashovany mail... prepanajana, co budeme robit?
spravime formular na zabudnute heslo predsa! user tam vlozi svoj mail, mail sa zahashuje, porovna sa s hashom v db a v pripade ze sedi, mail sa odosle na zodpovedajucu adresu (mail sa ziskal z postu, nie z db  ) a tramtadada -> user ma heslo a my nemame jeho mail. dokonala anonymita |
_________________
Redeem the game of law! Despair the Billy, here are the morals! Come, relentless eraser rain, relentless eraser rain... | |
|
|
pepek92
Užívateľ
Založený: 21.01.2007
Príspevky: 660
| | Zaslal: Pi 28.08.09 13:14 | |
A keď bude nutné z aplikácie poslať e-mail na e-mailovú adresu užívateľa, ako ju zistí? Bude ho zakaždým žiadať - Prepáčte, ale potrebujeme vám zaslať newsletter alebo reklamu alebo upozornenie, zadáte svoj e-mail? |
| |
|
|
László145
Užívateľ
Založený: 01.07.2008
Príspevky: 80
| | Zaslal: Pi 28.08.09 13:19 | |
Ako vložiš mail do inputu tak ho použiješ vo dvoch funkciách nie? Napr. sendMail($_POST['mail']) a setPass($_POST['mail'], pass1,pass2);
// EDIT:
Tak potom sa nebudú odosielať SPAMy |
| |
|
|
Triminka
Užívateľ
Založený: 06.03.2008
Príspevky: 1735
Bydlisko: triminka@spambot
| | Zaslal: Pi 28.08.09 13:20 | |
Ja neposielam nic take ako reklamu a newslettery. Zabezpecenie je individualne a castokrat zabranuje plnej funkcnosti systemu, avsak je vyuzitelne pokial tie niektore funkcie niesu vyuzivane. |
_________________
Redeem the game of law! Despair the Billy, here are the morals! Come, relentless eraser rain, relentless eraser rain... | |
|
|
Triminka
Užívateľ
Založený: 06.03.2008
Príspevky: 1735
Bydlisko: triminka@spambot
| | Zaslal: Pi 28.08.09 13:23 | |
laslo: nechapem celkom tejto casti: (pass1,pass2); preco 2x heslo?
a inak v tej druhej uz md5($_POST['mail']) |
_________________
Redeem the game of law! Despair the Billy, here are the morals! Come, relentless eraser rain, relentless eraser rain... | |
|
|
|
