Archiwum działu Ogólne (posty do 12.2007) - Ulepszenie kodowania hasel w bazie danych
Widmo - 07-01-2006, 20:14
jezeli wejdzie takie silne kodowanie - to wyjdą hacki - ktore beda zapisywac hasła od samej rejestracji w postaci odkodowanej, jezeli ZŁY ADMIN MA POZNAĆ HASŁA USERA TO I TAK JE POZNA .
MakArios - 07-01-2006, 20:16
nasedo napisał/a: | omg.. chodzi o serwer, nie o Twojego kompa.. |
W sumie tak, ale wyobraź sobie teraz forum na localu - wrzucasz update i idziesz spać? . Oczywiście to przekolorowane, ale nadal obstawiam za rozwiązaniem Paszczaka.
Paszczak000 - 07-01-2006, 20:18
Ja nawet sam nie jestem za moim rozwiązaniem bo ono nie jest kompatybilne wstecz... Jak ktoś chce zrezygnować z modyfikacji to będzie musiał zresetować hasła np. (traci dane). No chyba, że podsuynąć pomysł phpBB by zrobili to o czym piszę ;D
A jeżeli nie mamy być kompatybilni to można to zaimplementować..... chociaż ja nie chcę, bo czasem ludzie pytają jaki on miał hasło bo zapomniał a nie chce zmieniać.
Przemo - 07-01-2006, 20:20
Paszczak000, odinstalowując modyfikację nie ma mozliwości zamiany haseł użytkowników na 1*md5() Nie ważne czy użyjesz raz czy 10000 razy, pozostaje tylko wygenerowanie nowych haseł i wysłanie na email.
Pisałem o tym że nie utrudnia, ponieważ gdy będziesz chciał rozkodowac zwykłe hasło używasz w pętli sprawdzania Kod: | if (md5('haslo_petli') == 'wykradzione_haslo_md5' ) die('Haslo zlamane'); | Co trwa 10 sekund na haslach 4-ro znakowych[/code]Przy twojej propozycji funkcja wygladala by prawie tak samo: Kod: | if (md5(base64_decode('haslo_petli')) == 'wykradzione_haslo_md5' ) die('Haslo zlamane'); | Co trwa 20 sekund na haslach 4-ro znakowych
Łamanie haseł z mojego pomysłu wygląda dokładnie tak samo z tą różnicą że czas jest 27 godzin dla haseł 4-ro znakowych
nasedo - 07-01-2006, 20:21
Przemo napisał/a: | Paszczak000, odinstalowując modyfikację nie ma mozliwości zamiany haseł użytkowników na 1*md5() Nie ważne czy użyjesz raz czy 10000 razy, pozostaje tylko wygenerowanie nowych haseł i wysłanie na email. | no i wedlug mnie to wystaraczajacy argument dla ktorego nie powinno sie tego robic ejsli obciazenie Cie nie przekonuje
Paszczak000 - 07-01-2006, 20:23
Przemo, wyłączyć możliwość hasła 4 znakowego i po sprawie :] Bez udziwnień. Hasło mieszane? koniec. Styknie a czy to mój problem jak użyszkodnik ma lipne hasło? czy to moja wina, że ma pin do karty 1111 lub 1234? to on traci dane....... nie ja. jak to jest w bankach? nakazują używac trudnych haseł... koniec
przemo. restetowanie hasła? to nie dobre wyjście.... to wkurza ludzi bo wchodzą na forum i psikuś, częśc nie dostanie maila, część coś tam..... bla bla bla... BUSTED
Przemo - 07-01-2006, 20:24
nasedo, vBulletin koduje hasła md5 * 2 i równiez gdy chcesz przejść z vB na phpBB musisz zresetowac hasła wszystkim ponieważ phpBB używa tylko pojedynczego kodowania co jest słabym zabezpieczeniem.
marcinek - 07-01-2006, 20:26
Przemo napisał/a: | nasedo, vBulletin koduje hasła md5 * 2 i równiez gdy chcesz przejść z vB na phpBB musisz zresetowac hasła wszystkim ponieważ phpBB używa tylko pojedynczego kodowania co jest słabym zabezpieczeniem. |
To juz jest lepszy argument
Paszczak000 - 07-01-2006, 20:26
Przemo, a vB jest brzydkie a Twoja modyfikacja nie. A IPB jest płatne a Twoja nie, a on mnie pobił..... i się ze mnie śmieje...
Jak dla mnie lepiej (jak już bardzo będziesz chciał i inni też) to zmienić algorytm szyfrowania... nawet na jakiś własny a nie powielać istniejące metody
nasedo - 07-01-2006, 20:27
Przemo napisał/a: | nasedo, vBulletin koduje hasła md5 * 2 i równiez gdy chcesz przejść z vB na phpBB musisz zresetowac hasła wszystkim ponieważ phpBB używa tylko pojedynczego kodowania co jest słabym zabezpieczeniem. | ale vBulletin nie jest modyfikacja phpBB, Twoja modyfikacja jako jedyna modyfikacja phpBB uchodzi za 100% kompatybilna, mozna ja dowolnie instalowac i odinstalowywac i zawsze dziala, a te wszystkie inne gotowce z jednym - dwoma modami trzeba usuwac recznie. wiele osob instaluje Twoja wersja na swoich forach na probe zobaczyc jak sie sprawdzi, jak im wytlumaczysz ze musza generowac hasla do setek uzytkownikow jesli im sie forum nie spodoba i beda chcieli wrocic do oryginalu?
Przemo - 07-01-2006, 20:28
Paszczak000, to już jest inny temat. Skrypt jest tym lepszy im mniej wymagań stawia użytkownikowi. Trzeba wiedzieć, że użytkownicy mają to wszystko gdzieś i mają łatwe hasła ale jak nastąpi atak na ich konta z wykorzystaniem forum dyskusyjnego będa mieli pretencje do admina. Nic na to nikt nie poradzi.
Pamiętajcie o tym, że wymóg hasła wieloznakowego lub hasła zawierającego cyfry to w wielu przypadkach duży kłopot, jest bardzo duzo osób które nie będą korzystały z forum na którym nie moga używać swojego stałego hasła.
irekk - 07-01-2006, 20:29
przemo jestem na nie, jak juz pisalem kilkukrotnie duzo bezpieczniejsza i w tym wypadku szybsza bedzie metoda kodowania hasla przy uzyciu kombinacji md5() i sha1() tyle ze sha1 nie chodzi na php <= 4
Przemo - 07-01-2006, 20:29
nasedo, to jest jedyny sluszny argument, aczkolwiek uwazam, ze jego siła jest mniejsza niz siła moich argumentów dotyczących bezpieczeństwa, ale zastanowię się jeszcze na temat tej równowagi...
irekk - 07-01-2006, 20:31
pozatym przy kazdym logowaniu skrypt by obciazal serwa a jesli mamy sporo ludzi to by sie ktos z gory wkurzyl
Paszczak000 - 07-01-2006, 20:31
Przemo, pisałem wcześniej o kompatybilności :]
Przemo napisał/a: | jest bardzo duzo osób które nie będą korzystały z forum na którym nie moga używać swojego stałego hasła. |
i te dużo osbó sie wkurzy jak ktoś im hasła na forum zresetuje
|
|
|