Obsah fóra
PravidláRegistrovaťPrihlásenie




Odpovedať na tému [ Príspevkov: 153 ] Choď na stránku: predchádzajúca 1, 2, 3, 4, 5, 6 ďalšia
AutorSpráva
Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 10.02.08
Prihlásený: 15.05.17
Príspevky: 2264
Témy: 48
Bydlisko: Nitra
Príspevok NapísalOffline : 28.08.2009 10:48

neXor ma pravdu :D hashovat nick a mail je blbost, ako ho potom zistis, ked budes chcet zaslat nove heslo? Ako zistis nick, ked bude dakto robit blboviny? Ked uz tak, tak skuste hashovat heslo na 2 krat - najprv povedzme sha1 a potom md5 :P







_________________
WYSIWYMGIYRRLAAGW: What You See Is What You Might Get If You’re Really Really Lucky And All Goes Well.
Offline

Skúsený užívateľ
Skúsený užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1585
Témy: 96
Príspevok NapísalOffline : 28.08.2009 10:51

salt je už hádam lepší, nie?







_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to!
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 27.06.09
Prihlásený: 16.06.15
Príspevky: 154
Témy: 19
Bydlisko: Levice, Slo...
Príspevok NapísalOffline : 28.08.2009 10:52

Svolo, to by teda dopadlo, ale podla mna staci zaheslovat obycajne md5 aleho sha1 a aj tak je to bezpecne, ved tolko casu nato treba aby sa zistilo povodne heslo, ze sa nato mozem vykaslat :)


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.01.07
Prihlásený: 29.03.20
Príspevky: 660
Témy: 53
Príspevok Napísal autor témyOffline : 28.08.2009 11:05

rooobertek píše:
salt je už hádam lepší, nie?


Ale keď sa ti niekto dostane do zdrojových kódov, tak je to už v podstate zbytočné...


Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 10.02.08
Prihlásený: 15.05.17
Príspevky: 2264
Témy: 48
Bydlisko: Nitra
Príspevok NapísalOffline : 28.08.2009 11:12

No a to je prave to najtazsie - dostat sa do zdrojovych kodov a na server :D







_________________
WYSIWYMGIYRRLAAGW: What You See Is What You Might Get If You’re Really Really Lucky And All Goes Well.
Offline

Skúsený užívateľ
Skúsený užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1585
Témy: 96
Príspevok NapísalOffline : 28.08.2009 11:13

pepek92 píše:
Ale keď sa ti niekto dostane do zdrojových kódov, tak je to už v podstate zbytočné...
Nie, nie je. Útočník by musel na každého jedného užívateľa počítať hashe, čo je nemožné.
Svolo píše:
No a to je prave to najtazsie - dostat sa do zdrojovych kodov a na server :D
myslíš?


Offline

Skúsený užívateľ
Skúsený užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 29.10.07
Prihlásený: 27.10.23
Príspevky: 1395
Témy: 30
Bydlisko: Bratislava
Príspevok NapísalOffline : 28.08.2009 11:40

Presne ako pise robertek. Ked uz je niekto v serverovni alebo ma pristup k databaze, nepotrebuje hadat meno/heslo.

Ak mas v databaze ine udaje (napr osobne udaje ktore zakon prikazuje chranit osobitne) potom ma vyznam nejake kryptovanie dvojicou public/private key.
Ale urcite nie hashovanie pri ktorom stracas povodnu informaciu.







_________________
PC: OS: Windows 11 (64bit) CPU: AMD Ryzen 5 3600 GPU: ASUS TUF RTX3060Ti 8GB RAM: 16GB DDR4-3200MHz Kingston Fury MB: ASUS TUF Gaming B550M WIFI SSD: 1000GB PCIe M.2 NVME
Mobil: Xiaomi POCO F2 PRO
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3984
Témy: 96
Príspevok NapísalOffline : 28.08.2009 11:53

No takže takto:
1. Programator musí rátať s tým, že sa nejakou náhodou útočník dostane k jeho kódom. Práve preto ich píšeme prehľadne, aby útočník vedel čo najrýchlejšie nájsť to čo potrebuje :D Teraz vážne: to, že útočník prečíta tvoje phpčka, ešte nič nemusí znamenať. Wikipedia je free a pritom tuším nie je v súčastnom stave zraniteľná (možno neviem všetko :)). Problém by nastal ak by ti niekto prepísal tvoje súbory. Ani v tedy to však ešte nie je koniec sveta.

2. Triminka: Ak by si použil na nick md5, a na heslo sha1, veľa by si nezískal :) Ako ťa poznám, tak to vieš, len pripomeniem, že výsledný reťazec má odlišnú dĺžku :) Vytvárať vlastné hashovacie funkcie nie je práve najlepší nápad, o čom som sa dočítal v knihe Zraniteľný kód, kde sa autor odvolával na kryptológov.

3. Hashovať nick a mail, je podľa mňa hlúposť ... :D, pretože tým vôbec nič nezískaš :)


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 01.07.08
Prihlásený: 02.10.09
Príspevky: 80
Témy: 26
Príspevok NapísalOffline : 28.08.2009 12:24

No neviem ako sa volá metóda ktorá znečitateľní kód.Ale bolo by dobré ju použiť....priznávam sa, no s tým hashovaním mailu a nicku je blbosť. Ale aspoň maily nejak zašifrovať, pomocou AES, Blowfish (Encrypt/Decrypt) :-)


Offline

Skúsený užívateľ
Skúsený užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1585
Témy: 96
Príspevok NapísalOffline : 28.08.2009 13:09

tvoja aplikácia musí byť chránena aj v prípade, že má útočník k dispozícii všetky zdrojové kódy. Je blbosť spoliehať sa na to, že keď nikto nevidí tvoj kód, tak nie si zraniteľný. To je prístup microsoftu, jeho produkty potom aj tak vyzerajú.







_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to!
Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 06.03.08
Prihlásený: 01.10.12
Príspevky: 1732
Témy: 15
Bydlisko: triminka@sp...
Príspevok NapísalOffline : 28.08.2009 13:09

Tominator: som rad ze ma poznas. Preto retazce trimujem na rovnaku dlzku, ked uz pouzivam odlisne hashovacie funkcie :P A nepisal som nic o vytvarani novych hash funkcii.
hashovat mail neni blbost.
situacia: user zabudne heslo, ma zahashovany mail... prepanajana, co budeme robit?
spravime formular na zabudnute heslo predsa! user tam vlozi svoj mail, mail sa zahashuje, porovna sa s hashom v db a v pripade ze sedi, mail sa odosle na zodpovedajucu adresu (mail sa ziskal z postu, nie z db ;) ) a tramtadada -> user ma heslo a my nemame jeho mail. dokonala anonymita :P







_________________
Redeem the game of law! Despair the Billy, here are the morals! Come, relentless eraser rain, relentless eraser rain...
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.01.07
Prihlásený: 29.03.20
Príspevky: 660
Témy: 53
Príspevok Napísal autor témyOffline : 28.08.2009 13:14

A keď bude nutné z aplikácie poslať e-mail na e-mailovú adresu užívateľa, ako ju zistí? Bude ho zakaždým žiadať - Prepáčte, ale potrebujeme vám zaslať newsletter alebo reklamu alebo upozornenie, zadáte svoj e-mail?


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 01.07.08
Prihlásený: 02.10.09
Príspevky: 80
Témy: 26
Príspevok NapísalOffline : 28.08.2009 13:19

Ako vložiš mail do inputu tak ho použiješ vo dvoch funkciách nie? Napr. sendMail($_POST['mail']) a setPass($_POST['mail'], pass1,pass2);

// EDIT:
Tak potom sa nebudú odosielať SPAMy :)


Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 06.03.08
Prihlásený: 01.10.12
Príspevky: 1732
Témy: 15
Bydlisko: triminka@sp...
Príspevok NapísalOffline : 28.08.2009 13:20

Ja neposielam nic take ako reklamu a newslettery. Zabezpecenie je individualne a castokrat zabranuje plnej funkcnosti systemu, avsak je vyuzitelne pokial tie niektore funkcie niesu vyuzivane.







_________________
Redeem the game of law! Despair the Billy, here are the morals! Come, relentless eraser rain, relentless eraser rain...
Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 06.03.08
Prihlásený: 01.10.12
Príspevky: 1732
Témy: 15
Bydlisko: triminka@sp...
Príspevok NapísalOffline : 28.08.2009 13:23

laslo: nechapem celkom tejto casti: (pass1,pass2); preco 2x heslo?
a inak v tej druhej uz md5($_POST['mail'])







_________________
Redeem the game of law! Despair the Billy, here are the morals! Come, relentless eraser rain, relentless eraser rain...
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 01.07.08
Prihlásený: 02.10.09
Príspevky: 80
Témy: 26
Príspevok NapísalOffline : 28.08.2009 13:25

to je jedno nie?...to bol len ako príklad nejakej setPass funkcie overí či sú rovnaké a tak....Inak: ešte opdorúčam používať OOP :)


Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 06.03.08
Prihlásený: 01.10.12
Príspevky: 1732
Témy: 15
Bydlisko: triminka@sp...
Príspevok NapísalOffline : 28.08.2009 13:30

ot: ano, aj ja odporucam pouzivat oop, ale len tam, kde to poskytuje naozajstne vyhody, co vo funkcionalnom php nieje az tak casta situacia aku sa nam snazia nahovorit ty, co oop ovladaju a nechcu aby to co sa ucili vyslo na zmar =)







_________________
Redeem the game of law! Despair the Billy, here are the morals! Come, relentless eraser rain, relentless eraser rain...
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3984
Témy: 96
Príspevok NapísalOffline : 28.08.2009 15:24

Tak mňa mail danej osoby zaujíma, preto ho nebudem kódovať :)
Trimovať reťazec? Tým zvyšuješ pravdepodobnosť dvoch rovnakých reťazcov :)
md5? Niektorí ľudia veľmi verne hlásajú, že je už prekonaný?


Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3114
Témy: 233
Bydlisko: Nové Zámky
Príspevok NapísalOffline : 28.08.2009 17:28

Jasne, zahashujem meno, heslo a mail.. A co potom? Uzivatel nieco da na stranku, neviem meno, zapne si upozornenia na jeho prispevky, nemam ako poslat mail.. Vznikne tak bezpecna aplikacia, ktora nebude mat ziadnu funkciu a preto tam nikto nebude a vlastne sa to nikto nebude snazit ani naburat.. ano ano.. bude BEZPECNA :D







_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3984
Témy: 96
Príspevok NapísalOffline : 28.08.2009 17:31

nikto nepovedal že bude stránka bezpečná. Iba že sa tak bude databáza tváriť :)


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 27.06.09
Prihlásený: 16.06.15
Príspevky: 154
Témy: 19
Bydlisko: Levice, Slo...
Príspevok NapísalOffline : 28.08.2009 17:53

OOP som pouzil len na jednu vec, a aj to na registraciu a prihlasenie uzivatelov... neviem preco ale inak vzdy radcej pouzivam funkcne programovanie... a vacsinou neziadam ziadne udaje, ktore by sa mali hashovat, napr. cislo uctu a podobne veci... preto si myslim ze hash staci len na heslo( alebo velmi citlive udaje)... sha1 myslim ze nikto este neprekonal


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3984
Témy: 96
Príspevok NapísalOffline : 28.08.2009 18:05

OOP je super vec, ale s bezpečnosťou veľa nemá :) Je to len spôsob prístupu. sha1 je zatiaľ bezpečné :)


Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 06.03.08
Prihlásený: 01.10.12
Príspevky: 1732
Témy: 15
Bydlisko: triminka@sp...
Príspevok NapísalOffline : 28.08.2009 18:07

SHA1 bolo prekonane tusim v roku 2005 :)







_________________
Redeem the game of law! Despair the Billy, here are the morals! Come, relentless eraser rain, relentless eraser rain...
Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 26.07.06
Prihlásený: 20.03.16
Príspevky: 1378
Témy: 90
Bydlisko: Slovakia-Ko...
Príspevok NapísalOffline : 28.08.2009 18:09

jj tiez som za nazor ze iba heslo a odpoved na overovaciu otazku by malo byt zahashovane

maximalne by som este uzivatelovi po lognuti do svojho rozhrania nezobrazoval uplne udaje tj. ukazal by som: nick: km.., meno:Sta... Šv..., email: kmsa@....

moj nazor: najvacsia bespecnost je ak pirat sa nedostane do suboru a nie ze ho neuvidi (pokial nejde o aplikaciu spracuvanu na strane klienta)







_________________
CPU: Intel E7200 momentalne default + freezer 7 pro | MB: Gigabyte GA-P35-DS3 rev. 2.0 F14 | RAM: A-DATA 4x1GB EE Vitesta | VGA: ATI Radeon HD4850 Sapphire Dual Slot | Monitor: BenQ E2200HD+17CTX | HDD: WD 3200AAKS + Maxtor 6Y080M0 80GB SATAII + 120GB ATA Barracuda | PSU: Corsair VX450W | Windows 7 Ultimate Sk | REPRO: Logitech X-210
+
IPhone 3GS JB 3.1.3 (new BR)
múdry sa postara o seba ale ešte múdrejši sa postara aj o druhých
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 27.06.09
Prihlásený: 16.06.15
Príspevky: 154
Témy: 19
Bydlisko: Levice, Slo...
Príspevok NapísalOffline : 28.08.2009 18:12

Triminka píše:
SHA1 bolo prekonane tusim v roku 2005 :)

hej? ja som bol v tom ze sha1 este prekonane nebolo :rolleyes:


Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 26.07.06
Prihlásený: 20.03.16
Príspevky: 1378
Témy: 90
Bydlisko: Slovakia-Ko...
Príspevok NapísalOffline : 28.08.2009 18:18

Triminka: myslim ze ked zoberieme podmienku ze pirat ma obmedzeny cas a nema super rychle pc...tak myslim ze nebolo prekonane

aspon o takom priklade neviem







_________________
CPU: Intel E7200 momentalne default + freezer 7 pro | MB: Gigabyte GA-P35-DS3 rev. 2.0 F14 | RAM: A-DATA 4x1GB EE Vitesta | VGA: ATI Radeon HD4850 Sapphire Dual Slot | Monitor: BenQ E2200HD+17CTX | HDD: WD 3200AAKS + Maxtor 6Y080M0 80GB SATAII + 120GB ATA Barracuda | PSU: Corsair VX450W | Windows 7 Ultimate Sk | REPRO: Logitech X-210
+
IPhone 3GS JB 3.1.3 (new BR)
múdry sa postara o seba ale ešte múdrejši sa postara aj o druhých
Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 10.02.08
Prihlásený: 15.05.17
Príspevky: 2264
Témy: 48
Bydlisko: Nitra
Príspevok NapísalOffline : 28.08.2009 18:38

Kazda nova ochrana je vzdy zachvilku prekonana alebo je sposob ako ju prekonat. Ale väcsinou je to tak narocne, ze sa to podari len zopar ludom resp. sa do toho nikomu nechce. Samozrejme ze by sa povedzme dala urobi obrovska databaza vsetkych moznych kombinacii pre sha1 - ale na to potrebujete super-mega pocitac a kopu času a k čomu? Atď., jednoducho nič nieje 100% bezpečne, všetko sa da obist. Spravna je skôr otazka ako dlho by to trvalo a ako by to bolo naročne.







_________________
WYSIWYMGIYRRLAAGW: What You See Is What You Might Get If You’re Really Really Lucky And All Goes Well.
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 01.07.08
Prihlásený: 02.10.09
Príspevky: 80
Témy: 26
Príspevok NapísalOffline : 28.08.2009 21:51

Tak asi si myslím že najjednoduchšie riešenie je rainbow tables nie?
EDIT:
kmsa píše:
Triminka: myslim ze ked zoberieme podmienku ze pirat ma obmedzeny cas a nema super rychle pc...tak myslim ze nebolo prekonane

aspon o takom priklade neviem


No pokiaľ viem tak dnes solídna grafika veľa nestojí....A čo sa procákov týka tak Core i7 920 za smiešných 6 tisíc ti dá taký výkon, že až ;) ...Inak nemyslím si že na to treba XY počítačov prepojených aby si pozliepal 1 GigaFlops.


Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 06.03.08
Prihlásený: 01.10.12
Príspevky: 1732
Témy: 15
Bydlisko: triminka@sp...
Príspevok NapísalOffline : 28.08.2009 22:03

nema radeon 4870x2 nejak okolo 2.4 TeraFlops? ja len ze potom by stacilo tak okolo 0.00042 pocitacov prepojenych na gigaflops =)







_________________
Redeem the game of law! Despair the Billy, here are the morals! Come, relentless eraser rain, relentless eraser rain...
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3984
Témy: 96
Príspevok NapísalOffline : 28.08.2009 22:32

László145 píše:
Tak asi si myslím že najjednoduchšie riešenie je rainbow tables nie?

Roobertok tu neustále ospevuje salt :)


Odpovedať na tému [ Príspevkov: 153 ] Choď na stránku: predchádzajúca 1, 2, 3, 4, 5, 6 ďalšia


Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy. sprava PHP skriptov

v PHP, ASP

1

506

12.07.2009 13:00

p360t Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. antispam ochrana na PHP forum

v Redakčné systémy

1

1660

28.03.2006 20:42

JanoF Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Výpis adresára cez PHP + Ochrana heslom

v Články

3

2768

27.04.2008 14:42

stenley Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Aka ochrana zariadenia (bleskoistka, prep. ochrana)

v Siete

2

472

06.10.2012 18:38

peto007 Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. spam ochrana, sql ochrana

v PHP, ASP

14

841

08.01.2011 23:56

Feko Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Rezidentná ochrana vs. rezidentná ochrana

v Antivíry a antispywary

6

1138

23.04.2008 22:56

strongy Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. PHP programátor - PHP, MySQL, jQuery,X)Html/CSS

v Ponuka práce

0

1300

02.05.2011 12:08

magicmedia Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Vytvorenie suboru php a vlozenie php scriptu

v PHP, ASP

4

1434

07.05.2010 14:02

DeiForm Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. ochrana

v Antivíry a antispywary

8

1073

24.01.2008 14:20

mimkork Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. ochrana

[ Choď na stránku:Choď na stránku: 1, 2, 3 ]

v Antivíry a antispywary

73

3652

05.06.2008 15:51

Qpkqkma Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Ochrana

v Antivíry a antispywary

2

769

20.12.2007 12:42

shiro Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. ochrana

v Elektronika

3

826

31.01.2008 16:53

bugi512 Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. ochrana CD

v Ostatné programy

11

912

27.10.2008 22:11

dedko45 Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. ochrana priečinka

v Operačné systémy Microsoft

3

495

14.05.2007 15:46

johny128 Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. ochrana kolien

v Zdravie, medicína, choroby a liečenie

4

833

18.09.2011 14:50

exoomer Zobrazenie posledných príspevkov

V tomto fóre nie sú ďalšie neprečítané témy. Prepäťová ochrana

v PC skrinky, zdroje a všetky druhy chladenia

9

1027

21.09.2013 9:41

killer Zobrazenie posledných príspevkov


Nemôžete zakladať nové témy v tomto fóre
Nemôžete odpovedať na témy v tomto fóre
Nemôžete upravovať svoje príspevky v tomto fóre
Nemôžete mazať svoje príspevky v tomto fóre

Skočiť na:  

Powered by phpBB Jarvis © 2005 - 2024 PCforum, webhosting by WebSupport, secured by GeoTrust, edited by JanoF
Ako väčšina webových stránok aj my používame cookies. Zotrvaním na webovej stránke súhlasíte, že ich môžeme používať.
Všeobecné podmienky, spracovanie osobných údajov a pravidlá fóra