[ Príspevkov: 153 ] 1, 2, 3, 4, 5, 6
AutorSpráva
Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 10.02.08
Prihlásený: 15.05.17
Príspevky: 2270
Témy: 48 | 48
Bydlisko: Nitra
NapísalOffline : 28.08.2009 10:48 | Ochrana PHP skriptov a vy

neXor ma pravdu :D hashovat nick a mail je blbost, ako ho potom zistis, ked budes chcet zaslat nove heslo? Ako zistis nick, ked bude dakto robit blboviny? Ked uz tak, tak skuste hashovat heslo na 2 krat - najprv povedzme sha1 a potom md5 :P


_________________
WYSIWYMGIYRRLAAGW: What You See Is What You Might Get If You’re Really Really Lucky And All Goes Well.
Offline

Skúsený užívateľ
Skúsený užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1586
Témy: 96 | 96
NapísalOffline : 28.08.2009 10:51 | Ochrana PHP skriptov a vy

salt je už hádam lepší, nie?


_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to!
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 27.06.09
Prihlásený: 16.06.15
Príspevky: 154
Témy: 19 | 19
Bydlisko: Levice, Slo...
NapísalOffline : 28.08.2009 10:52 | Ochrana PHP skriptov a vy

Svolo, to by teda dopadlo, ale podla mna staci zaheslovat obycajne md5 aleho sha1 a aj tak je to bezpecne, ved tolko casu nato treba aby sa zistilo povodne heslo, ze sa nato mozem vykaslat :)


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.01.07
Prihlásený: 30.11.14
Príspevky: 660
Témy: 53 | 53
Napísal autor témyOffline : 28.08.2009 11:05 | Ochrana PHP skriptov a vy

rooobertek píše:
salt je už hádam lepší, nie?


Ale keď sa ti niekto dostane do zdrojových kódov, tak je to už v podstate zbytočné...


Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 10.02.08
Prihlásený: 15.05.17
Príspevky: 2270
Témy: 48 | 48
Bydlisko: Nitra
NapísalOffline : 28.08.2009 11:12 | Ochrana PHP skriptov a vy

No a to je prave to najtazsie - dostat sa do zdrojovych kodov a na server :D


_________________
WYSIWYMGIYRRLAAGW: What You See Is What You Might Get If You’re Really Really Lucky And All Goes Well.
Offline

Skúsený užívateľ
Skúsený užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1586
Témy: 96 | 96
NapísalOffline : 28.08.2009 11:13 | Ochrana PHP skriptov a vy

pepek92 píše:
Ale keď sa ti niekto dostane do zdrojových kódov, tak je to už v podstate zbytočné...
Nie, nie je. Útočník by musel na každého jedného užívateľa počítať hashe, čo je nemožné.
Svolo píše:
No a to je prave to najtazsie - dostat sa do zdrojovych kodov a na server :D
myslíš?


Offline

Skúsený užívateľ
Skúsený užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 29.10.07
Prihlásený: 12.06.17
Príspevky: 1408
Témy: 28 | 28
Bydlisko: Bratislava
Vek: 36
NapísalOffline : 28.08.2009 11:40 | Ochrana PHP skriptov a vy

Presne ako pise robertek. Ked uz je niekto v serverovni alebo ma pristup k databaze, nepotrebuje hadat meno/heslo.

Ak mas v databaze ine udaje (napr osobne udaje ktore zakon prikazuje chranit osobitne) potom ma vyznam nejake kryptovanie dvojicou public/private key.
Ale urcite nie hashovanie pri ktorom stracas povodnu informaciu.


_________________
PC: OS: Windows 10 (64bit) CPU: INTEL Core i5-4440 GPU: ASUS ATI R9280X RAM: Kingston 8GB DDR3 1600MHz MB: MSI B85-G43 Gaming HDD: Seagate 1TB HDD Barracuda SSD: SAMSUNG 120GB HDD 840 EVO CASE: COOLERMASTER N400
Mobil: OS: Android 4.4.2 Model: LG G2 D802 16GB
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96
NapísalOffline : 28.08.2009 11:53 | Ochrana PHP skriptov a vy

No takže takto:
1. Programator musí rátať s tým, že sa nejakou náhodou útočník dostane k jeho kódom. Práve preto ich píšeme prehľadne, aby útočník vedel čo najrýchlejšie nájsť to čo potrebuje :D Teraz vážne: to, že útočník prečíta tvoje phpčka, ešte nič nemusí znamenať. Wikipedia je free a pritom tuším nie je v súčastnom stave zraniteľná (možno neviem všetko :)). Problém by nastal ak by ti niekto prepísal tvoje súbory. Ani v tedy to však ešte nie je koniec sveta.

2. Triminka: Ak by si použil na nick md5, a na heslo sha1, veľa by si nezískal :) Ako ťa poznám, tak to vieš, len pripomeniem, že výsledný reťazec má odlišnú dĺžku :) Vytvárať vlastné hashovacie funkcie nie je práve najlepší nápad, o čom som sa dočítal v knihe Zraniteľný kód, kde sa autor odvolával na kryptológov.

3. Hashovať nick a mail, je podľa mňa hlúposť ... :D, pretože tým vôbec nič nezískaš :)


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 01.07.08
Prihlásený: 02.10.09
Príspevky: 80
Témy: 26 | 26
NapísalOffline : 28.08.2009 12:24 | Ochrana PHP skriptov a vy

No neviem ako sa volá metóda ktorá znečitateľní kód.Ale bolo by dobré ju použiť....priznávam sa, no s tým hashovaním mailu a nicku je blbosť. Ale aspoň maily nejak zašifrovať, pomocou AES, Blowfish (Encrypt/Decrypt) :-)


Offline

Skúsený užívateľ
Skúsený užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 09.07.08
Prihlásený: 17.01.15
Príspevky: 1586
Témy: 96 | 96
NapísalOffline : 28.08.2009 13:09 | Ochrana PHP skriptov a vy

tvoja aplikácia musí byť chránena aj v prípade, že má útočník k dispozícii všetky zdrojové kódy. Je blbosť spoliehať sa na to, že keď nikto nevidí tvoj kód, tak nie si zraniteľný. To je prístup microsoftu, jeho produkty potom aj tak vyzerajú.


_________________
neříkejte, že něco nejde udělat, protože se vždycky najde nějaký blbec, co neví, že to nejde – a udělá to!
Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 06.03.08
Prihlásený: 01.10.12
Príspevky: 1735
Témy: 15 | 15
Bydlisko: triminka@sp...
NapísalOffline : 28.08.2009 13:09 | Ochrana PHP skriptov a vy

Tominator: som rad ze ma poznas. Preto retazce trimujem na rovnaku dlzku, ked uz pouzivam odlisne hashovacie funkcie :P A nepisal som nic o vytvarani novych hash funkcii.
hashovat mail neni blbost.
situacia: user zabudne heslo, ma zahashovany mail... prepanajana, co budeme robit?
spravime formular na zabudnute heslo predsa! user tam vlozi svoj mail, mail sa zahashuje, porovna sa s hashom v db a v pripade ze sedi, mail sa odosle na zodpovedajucu adresu (mail sa ziskal z postu, nie z db ;) ) a tramtadada -> user ma heslo a my nemame jeho mail. dokonala anonymita :P


_________________
Redeem the game of law! Despair the Billy, here are the morals! Come, relentless eraser rain, relentless eraser rain...
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.01.07
Prihlásený: 30.11.14
Príspevky: 660
Témy: 53 | 53
Napísal autor témyOffline : 28.08.2009 13:14 | Ochrana PHP skriptov a vy

A keď bude nutné z aplikácie poslať e-mail na e-mailovú adresu užívateľa, ako ju zistí? Bude ho zakaždým žiadať - Prepáčte, ale potrebujeme vám zaslať newsletter alebo reklamu alebo upozornenie, zadáte svoj e-mail?


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 01.07.08
Prihlásený: 02.10.09
Príspevky: 80
Témy: 26 | 26
NapísalOffline : 28.08.2009 13:19 | Ochrana PHP skriptov a vy

Ako vložiš mail do inputu tak ho použiješ vo dvoch funkciách nie? Napr. sendMail($_POST['mail']) a setPass($_POST['mail'], pass1,pass2);

// EDIT:
Tak potom sa nebudú odosielať SPAMy :)


Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 06.03.08
Prihlásený: 01.10.12
Príspevky: 1735
Témy: 15 | 15
Bydlisko: triminka@sp...
NapísalOffline : 28.08.2009 13:20 | Ochrana PHP skriptov a vy

Ja neposielam nic take ako reklamu a newslettery. Zabezpecenie je individualne a castokrat zabranuje plnej funkcnosti systemu, avsak je vyuzitelne pokial tie niektore funkcie niesu vyuzivane.


_________________
Redeem the game of law! Despair the Billy, here are the morals! Come, relentless eraser rain, relentless eraser rain...
Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 06.03.08
Prihlásený: 01.10.12
Príspevky: 1735
Témy: 15 | 15
Bydlisko: triminka@sp...
NapísalOffline : 28.08.2009 13:23 | Ochrana PHP skriptov a vy

laslo: nechapem celkom tejto casti: (pass1,pass2); preco 2x heslo?
a inak v tej druhej uz md5($_POST['mail'])


_________________
Redeem the game of law! Despair the Billy, here are the morals! Come, relentless eraser rain, relentless eraser rain...
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 01.07.08
Prihlásený: 02.10.09
Príspevky: 80
Témy: 26 | 26
NapísalOffline : 28.08.2009 13:25 | Ochrana PHP skriptov a vy

to je jedno nie?...to bol len ako príklad nejakej setPass funkcie overí či sú rovnaké a tak....Inak: ešte opdorúčam používať OOP :)


Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 06.03.08
Prihlásený: 01.10.12
Príspevky: 1735
Témy: 15 | 15
Bydlisko: triminka@sp...
NapísalOffline : 28.08.2009 13:30 | Ochrana PHP skriptov a vy

ot: ano, aj ja odporucam pouzivat oop, ale len tam, kde to poskytuje naozajstne vyhody, co vo funkcionalnom php nieje az tak casta situacia aku sa nam snazia nahovorit ty, co oop ovladaju a nechcu aby to co sa ucili vyslo na zmar =)


_________________
Redeem the game of law! Despair the Billy, here are the morals! Come, relentless eraser rain, relentless eraser rain...
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96
NapísalOffline : 28.08.2009 15:24 | Ochrana PHP skriptov a vy

Tak mňa mail danej osoby zaujíma, preto ho nebudem kódovať :)
Trimovať reťazec? Tým zvyšuješ pravdepodobnosť dvoch rovnakých reťazcov :)
md5? Niektorí ľudia veľmi verne hlásajú, že je už prekonaný?


Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 09.09.07
Prihlásený: 07.11.16
Príspevky: 3128
Témy: 233 | 233
Bydlisko: Nové Zámky
NapísalOffline : 28.08.2009 17:28 | Ochrana PHP skriptov a vy

Jasne, zahashujem meno, heslo a mail.. A co potom? Uzivatel nieco da na stranku, neviem meno, zapne si upozornenia na jeho prispevky, nemam ako poslat mail.. Vznikne tak bezpecna aplikacia, ktora nebude mat ziadnu funkciu a preto tam nikto nebude a vlastne sa to nikto nebude snazit ani naburat.. ano ano.. bude BEZPECNA :D


_________________
"It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96
NapísalOffline : 28.08.2009 17:31 | Ochrana PHP skriptov a vy

nikto nepovedal že bude stránka bezpečná. Iba že sa tak bude databáza tváriť :)


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 27.06.09
Prihlásený: 16.06.15
Príspevky: 154
Témy: 19 | 19
Bydlisko: Levice, Slo...
NapísalOffline : 28.08.2009 17:53 | Ochrana PHP skriptov a vy

OOP som pouzil len na jednu vec, a aj to na registraciu a prihlasenie uzivatelov... neviem preco ale inak vzdy radcej pouzivam funkcne programovanie... a vacsinou neziadam ziadne udaje, ktore by sa mali hashovat, napr. cislo uctu a podobne veci... preto si myslim ze hash staci len na heslo( alebo velmi citlive udaje)... sha1 myslim ze nikto este neprekonal


Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96
NapísalOffline : 28.08.2009 18:05 | Ochrana PHP skriptov a vy

OOP je super vec, ale s bezpečnosťou veľa nemá :) Je to len spôsob prístupu. sha1 je zatiaľ bezpečné :)


Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 06.03.08
Prihlásený: 01.10.12
Príspevky: 1735
Témy: 15 | 15
Bydlisko: triminka@sp...
NapísalOffline : 28.08.2009 18:07 | Ochrana PHP skriptov a vy

SHA1 bolo prekonane tusim v roku 2005 :)


_________________
Redeem the game of law! Despair the Billy, here are the morals! Come, relentless eraser rain, relentless eraser rain...
Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 26.07.06
Prihlásený: 20.03.16
Príspevky: 1383
Témy: 90 | 90
Bydlisko: Slovakia-Ko...
NapísalOffline : 28.08.2009 18:09 | Ochrana PHP skriptov a vy

jj tiez som za nazor ze iba heslo a odpoved na overovaciu otazku by malo byt zahashovane

maximalne by som este uzivatelovi po lognuti do svojho rozhrania nezobrazoval uplne udaje tj. ukazal by som: nick: km.., meno:Sta... Šv..., email: kmsa@....

moj nazor: najvacsia bespecnost je ak pirat sa nedostane do suboru a nie ze ho neuvidi (pokial nejde o aplikaciu spracuvanu na strane klienta)


_________________
CPU: Intel E7200 momentalne default + freezer 7 pro | MB: Gigabyte GA-P35-DS3 rev. 2.0 F14 | RAM: A-DATA 4x1GB EE Vitesta | VGA: ATI Radeon HD4850 Sapphire Dual Slot | Monitor: BenQ E2200HD+17CTX | HDD: WD 3200AAKS + Maxtor 6Y080M0 80GB SATAII + 120GB ATA Barracuda | PSU: Corsair VX450W | Windows 7 Ultimate Sk | REPRO: Logitech X-210
+
IPhone 3GS JB 3.1.3 (new BR)
múdry sa postara o seba ale ešte múdrejši sa postara aj o druhých
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 27.06.09
Prihlásený: 16.06.15
Príspevky: 154
Témy: 19 | 19
Bydlisko: Levice, Slo...
NapísalOffline : 28.08.2009 18:12 | Ochrana PHP skriptov a vy

Triminka píše:
SHA1 bolo prekonane tusim v roku 2005 :)

hej? ja som bol v tom ze sha1 este prekonane nebolo :rolleyes:


Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 26.07.06
Prihlásený: 20.03.16
Príspevky: 1383
Témy: 90 | 90
Bydlisko: Slovakia-Ko...
NapísalOffline : 28.08.2009 18:18 | Ochrana PHP skriptov a vy

Triminka: myslim ze ked zoberieme podmienku ze pirat ma obmedzeny cas a nema super rychle pc...tak myslim ze nebolo prekonane

aspon o takom priklade neviem


_________________
CPU: Intel E7200 momentalne default + freezer 7 pro | MB: Gigabyte GA-P35-DS3 rev. 2.0 F14 | RAM: A-DATA 4x1GB EE Vitesta | VGA: ATI Radeon HD4850 Sapphire Dual Slot | Monitor: BenQ E2200HD+17CTX | HDD: WD 3200AAKS + Maxtor 6Y080M0 80GB SATAII + 120GB ATA Barracuda | PSU: Corsair VX450W | Windows 7 Ultimate Sk | REPRO: Logitech X-210
+
IPhone 3GS JB 3.1.3 (new BR)
múdry sa postara o seba ale ešte múdrejši sa postara aj o druhých
Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 10.02.08
Prihlásený: 15.05.17
Príspevky: 2270
Témy: 48 | 48
Bydlisko: Nitra
NapísalOffline : 28.08.2009 18:38 | Ochrana PHP skriptov a vy

Kazda nova ochrana je vzdy zachvilku prekonana alebo je sposob ako ju prekonat. Ale väcsinou je to tak narocne, ze sa to podari len zopar ludom resp. sa do toho nikomu nechce. Samozrejme ze by sa povedzme dala urobi obrovska databaza vsetkych moznych kombinacii pre sha1 - ale na to potrebujete super-mega pocitac a kopu času a k čomu? Atď., jednoducho nič nieje 100% bezpečne, všetko sa da obist. Spravna je skôr otazka ako dlho by to trvalo a ako by to bolo naročne.


_________________
WYSIWYMGIYRRLAAGW: What You See Is What You Might Get If You’re Really Really Lucky And All Goes Well.
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 01.07.08
Prihlásený: 02.10.09
Príspevky: 80
Témy: 26 | 26
NapísalOffline : 28.08.2009 21:51 | Ochrana PHP skriptov a vy

Tak asi si myslím že najjednoduchšie riešenie je rainbow tables nie?
EDIT:
kmsa píše:
Triminka: myslim ze ked zoberieme podmienku ze pirat ma obmedzeny cas a nema super rychle pc...tak myslim ze nebolo prekonane

aspon o takom priklade neviem


No pokiaľ viem tak dnes solídna grafika veľa nestojí....A čo sa procákov týka tak Core i7 920 za smiešných 6 tisíc ti dá taký výkon, že až ;) ...Inak nemyslím si že na to treba XY počítačov prepojených aby si pozliepal 1 GigaFlops.


Offline

Užívateľ
Užívateľ
Ochrana PHP skriptov a vy

Registrovaný: 06.03.08
Prihlásený: 01.10.12
Príspevky: 1735
Témy: 15 | 15
Bydlisko: triminka@sp...
NapísalOffline : 28.08.2009 22:03 | Ochrana PHP skriptov a vy

nema radeon 4870x2 nejak okolo 2.4 TeraFlops? ja len ze potom by stacilo tak okolo 0.00042 pocitacov prepojenych na gigaflops =)


_________________
Redeem the game of law! Despair the Billy, here are the morals! Come, relentless eraser rain, relentless eraser rain...
Offline

Užívateľ
Užívateľ
Obrázok užívateľa

Registrovaný: 21.02.07
Prihlásený: 21.02.10
Príspevky: 3991
Témy: 96 | 96
NapísalOffline : 28.08.2009 22:32 | Ochrana PHP skriptov a vy

László145 píše:
Tak asi si myslím že najjednoduchšie riešenie je rainbow tables nie?

Roobertok tu neustále ospevuje salt :)


 [ Príspevkov: 153 ] 1, 2, 3, 4, 5, 6


Ochrana PHP skriptov a vy



Podobné témy

 Témy  Odpovede  Zobrazenia  Posledný príspevok 
V tomto fóre nie sú ďalšie neprečítané témy.

sprava PHP skriptov

v PHP, ASP

1

291

12.07.2009 13:00

p360t

V tomto fóre nie sú ďalšie neprečítané témy.

antispam ochrana na PHP forum

v Redakčné systémy

1

1424

28.03.2006 20:42

JanoF

V tomto fóre nie sú ďalšie neprečítané témy.

Výpis adresára cez PHP + Ochrana heslom

v Články

3

2453

27.04.2008 14:42

stenley

V tomto fóre nie sú ďalšie neprečítané témy.

Aka ochrana zariadenia (bleskoistka, prep. ochrana)

v Siete

2

227

06.10.2012 18:38

peto007

V tomto fóre nie sú ďalšie neprečítané témy.

spam ochrana, sql ochrana

v PHP, ASP

14

546

08.01.2011 23:56

Feko

V tomto fóre nie sú ďalšie neprečítané témy.

Rezidentná ochrana vs. rezidentná ochrana

v Antivíry a antispywary

6

886

23.04.2008 22:56

strongy

V tomto fóre nie sú ďalšie neprečítané témy.

PHP programátor - PHP, MySQL, jQuery,X)Html/CSS

v Ponuka práce

0

814

02.05.2011 12:08

magicmedia

V tomto fóre nie sú ďalšie neprečítané témy.

Vytvorenie suboru php a vlozenie php scriptu

v PHP, ASP

4

924

07.05.2010 14:02

DeiForm

V tomto fóre nie sú ďalšie neprečítané témy.

ochrana

v Antivíry a antispywary

8

755

24.01.2008 14:20

mimkork

V tomto fóre nie sú ďalšie neprečítané témy.

ochrana

[ Choď na stránku:Choď na stránku: 1, 2, 3 ]

v Antivíry a antispywary

73

2826

05.06.2008 15:51

Qpkqkma

V tomto fóre nie sú ďalšie neprečítané témy.

Ochrana

v Antivíry a antispywary

2

561

20.12.2007 12:42

shiro

V tomto fóre nie sú ďalšie neprečítané témy.

ochrana

v Elektronika

3

614

31.01.2008 16:53

bugi512

V tomto fóre nie sú ďalšie neprečítané témy.

Ochrana notebooku

v Antivíry a antispywary

13

670

12.12.2008 12:58

tantum

V tomto fóre nie sú ďalšie neprečítané témy.

ochrana kolien

v Zdravie, medicína, choroby a liečenie

4

554

18.09.2011 14:50

exoomer

V tomto fóre nie sú ďalšie neprečítané témy.

Prepäťová ochrana

v PC skrinky, zdroje a všetky druhy chladenia

9

514

21.09.2013 9:41

killer

V tomto fóre nie sú ďalšie neprečítané témy.

Rezidentná ochrana

v Antivíry a antispywary

3

735

24.12.2006 14:50

okramslayer



© 2005 - 2017 PCforum, edited by JanoF