Komentarze do: Bezpieczeństwo funkcji hashujących http://www.beldzio.com/bezpieczenstwo-funkcji-hashujacych Bełdziowe spojrzenie na aplikacje internetowe Wed, 23 Nov 2011 11:05:26 +0000 hourly 1 http://wordpress.org/?v=3.1.1 Autor: Com http://www.beldzio.com/bezpieczenstwo-funkcji-hashujacych/comment-page-1#comment-1032 Com Wed, 23 Nov 2011 11:05:26 +0000 http://localhost/wordpress/?p=106#comment-1032 Masz rację, dzięki za odpowiedź... no to wygl na to, że tradycyjny sposób dalej wygrywa :D no chyba że dało by się value zaszyfrować przed wysłaniem w php, ale jakimś własnym skryptem tylko jeszcze nie bardzo wiem jak :D bo solenie hasha to się mija z celem tak jak mówisz a sam base64 to tak jakby nic nie było, a tylko nie potrzeba większa ilość zapytań do serwera... no nic będę eksperymentował ^^ Masz rację, dzięki za odpowiedź… no to wygl na to, że tradycyjny sposób dalej wygrywa :D no chyba że dało by się value zaszyfrować przed wysłaniem w php, ale jakimś własnym skryptem tylko jeszcze nie bardzo wiem jak :D bo solenie hasha to się mija z celem tak jak mówisz a sam base64 to tak jakby nic nie było, a tylko nie potrzeba większa ilość zapytań do serwera… no nic będę eksperymentował ^^

]]> Autor: Michał Ławicki http://www.beldzio.com/bezpieczenstwo-funkcji-hashujacych/comment-page-1#comment-1031 Michał Ławicki Wed, 23 Nov 2011 10:14:10 +0000 http://localhost/wordpress/?p=106#comment-1031 Dwie rzeczy tu wiedzę. Po pierwsze jak będziesz hashował po stronie klienta, to po stronie serwera nie dodasz już soli - chyba, że będziesz solił hash i ponownie hashował, ale nie jest to dobra metoda. Samo base64 za wiele Ci tu nie da. Jeśli miałoby być to dodatkowe "wzmocnienie" hasha, to raczej nie zadziała, bo atakujący patrząc w kod od razu wie co się dzieje z hasłem. Dwie rzeczy tu wiedzę. Po pierwsze jak będziesz hashował po stronie klienta, to po stronie serwera nie dodasz już soli – chyba, że będziesz solił hash i ponownie hashował, ale nie jest to dobra metoda. Samo base64 za wiele Ci tu nie da. Jeśli miałoby być to dodatkowe „wzmocnienie” hasha, to raczej nie zadziała, bo atakujący patrząc w kod od razu wie co się dzieje z hasłem.

]]> Autor: Com http://www.beldzio.com/bezpieczenstwo-funkcji-hashujacych/comment-page-1#comment-1030 Com Wed, 23 Nov 2011 07:45:31 +0000 http://localhost/wordpress/?p=106#comment-1030 Chodzi mi o to że mam formularz np logowania i dałem tam do input haslo onkeyup="this.form.haslo.value = Base64.encode(this.value)" i do input submit onclick="document.getElementById('haslo1').value = hex_md5(document.getElementById('haslo').value);" no i teraz mam pytanie czy jak to potem prześle w $_POST['haslo1'] do pliku porównującego z plikiem z bazy to czy to będzie bezpieczne.. tak wiem że base64 nie jest dobrym sposobem szyfrowania dlatego umieściłem go w sumie md5 Chodzi mi o to że mam formularz np logowania i dałem tam do input haslo onkeyup=”this.form.haslo.value = Base64.encode(this.value)” i do input submit onclick=”document.getElementById(‘haslo1′).value = hex_md5(document.getElementById(‘haslo’).value);” no i teraz mam pytanie czy jak to potem prześle w $_POST['haslo1'] do pliku porównującego z plikiem z bazy to czy to będzie bezpieczne.. tak wiem że base64 nie jest dobrym sposobem szyfrowania dlatego umieściłem go w sumie md5

]]> Autor: Michał Ławicki http://www.beldzio.com/bezpieczenstwo-funkcji-hashujacych/comment-page-1#comment-1029 Michał Ławicki Wed, 23 Nov 2011 00:16:42 +0000 http://localhost/wordpress/?p=106#comment-1029 Czy solenie nie jest ryzykowne? Raczej nie, napisz co masz na myśli. btw base64 nie jest zbyt "rozbudowanym" sposobem zabezpieczania - dość łatwo można sobie z nim poradzić Czy solenie nie jest ryzykowne? Raczej nie, napisz co masz na myśli.

btw base64 nie jest zbyt „rozbudowanym” sposobem zabezpieczania – dość łatwo można sobie z nim poradzić

]]> Autor: Com http://www.beldzio.com/bezpieczenstwo-funkcji-hashujacych/comment-page-1#comment-1028 Com Tue, 22 Nov 2011 23:34:06 +0000 http://localhost/wordpress/?p=106#comment-1028 Faktycznie jak na to teraz patrze to masz racje.. Chyba będę musiał tu częściej wpadać bo widzę że moja wiedza jak na razie jest niewielka, a dzięki Twoim wpisom dosyć dobrze udało mi się zabezpieczyć swojego cms-a. Z braku szyfrowania ssl wykorzystałem hashowanie md5 i szyfrowanie base64 ( skrypty w js ) przed wysłaniem $_POST , tylko mam takie pytanie czy te rozwiązanie nie jest trochę ryzykowne? Bo właśnie zacząłem się zastanawiać czy ten sposób jest dobry... Faktycznie jak na to teraz patrze to masz racje.. Chyba będę musiał tu częściej wpadać bo widzę że moja wiedza jak na razie jest niewielka, a dzięki Twoim wpisom dosyć dobrze udało mi się zabezpieczyć swojego cms-a. Z braku szyfrowania ssl wykorzystałem hashowanie md5 i szyfrowanie base64 ( skrypty w js ) przed wysłaniem $_POST , tylko mam takie pytanie czy te rozwiązanie nie jest trochę ryzykowne? Bo właśnie zacząłem się zastanawiać czy ten sposób jest dobry…

]]> Autor: Michał Ławicki http://www.beldzio.com/bezpieczenstwo-funkcji-hashujacych/comment-page-1#comment-1027 Michał Ławicki Tue, 22 Nov 2011 18:16:54 +0000 http://localhost/wordpress/?p=106#comment-1027 @Com dzięki za komentarz. Kod poprawiony. Jeśli chodzi o "echo" i komentarza zapisu, to komentarz miał wskazać nie tyle opis poprzedniego wiersza, co zakomunikować, że w jego miejscu powinien znaleźć się kod odpowiedzialny za zapis danych. @Com dzięki za komentarz. Kod poprawiony. Jeśli chodzi o „echo” i komentarza zapisu, to komentarz miał wskazać nie tyle opis poprzedniego wiersza, co zakomunikować, że w jego miejscu powinien znaleźć się kod odpowiedzialny za zapis danych.

]]> Autor: Com http://www.beldzio.com/bezpieczenstwo-funkcji-hashujacych/comment-page-1#comment-1026 Com Tue, 22 Nov 2011 15:33:28 +0000 http://localhost/wordpress/?p=106#comment-1026 chciałbym zauważyć, że w kodzie : $passwd = $_GET['passwd']; $length = 9 - strlen( $passwd ); $dots = str_repeat( '.', $length ); echo md5( $passwd . $spaces ); <- dokładnie ta linijka zawarłeś zmienna $spaces która nie jest zdefiniowana więc prawdopodobnie chodzi tam o $dots ... to takie w sumie info dla osób kopiujących żywcem :D i jeszcze jedno odnośnie echo md5( $passwd . $salt ); ponieważ już była jedno pytanie na ten temat to trzeba by tu napisać sprostowanie bo echo nie zapisuje tylko to jest polecenie wyjścia (na chłopski rozum wyświetlenie na ekranie) ale w tym przypadku zakładam że autorowi chodziło o prezentacje wyniku, bo jeśli miał to być zapis to trzeba by tam zdefiniować zmienna lub cokolwiek gdzie miało by to być zapisane ;) chciałbym zauważyć, że w kodzie :
$passwd = $_GET['passwd'];
$length = 9 – strlen( $passwd );
$dots = str_repeat( ‘.’, $length );
echo md5( $passwd . $spaces ); <- dokładnie ta linijka zawarłeś zmienna $spaces która nie jest zdefiniowana więc prawdopodobnie chodzi tam o $dots … to takie w sumie info dla osób kopiujących żywcem :D

i jeszcze jedno odnośnie echo md5( $passwd . $salt ); ponieważ już była jedno pytanie na ten temat to trzeba by tu napisać sprostowanie bo echo nie zapisuje tylko to jest polecenie wyjścia (na chłopski rozum wyświetlenie na ekranie) ale w tym przypadku zakładam że autorowi chodziło o prezentacje wyniku, bo jeśli miał to być zapis to trzeba by tam zdefiniować zmienna lub cokolwiek gdzie miało by to być zapisane ;)

]]> Autor: Omijanie haseł w plikach /etc/passwd i /etc/shadow/ – cz. 2 — wz kOsMoS http://www.beldzio.com/bezpieczenstwo-funkcji-hashujacych/comment-page-1#comment-912 Omijanie haseł w plikach /etc/passwd i /etc/shadow/ – cz. 2 — wz kOsMoS Sat, 11 Dec 2010 15:55:40 +0000 http://localhost/wordpress/?p=106#comment-912 [...] systemu oraz uniemożliwić jego złamanie (na ten temat można przeczytać np. na tej stronie http://www.beldzio.com/bezpieczenstwo-funkcji-hashujacych). Powszechnie solone hasła są w pliku /etc/shadow. (np. “pass” = 1$ozdpg0V0 $ [...] [...] systemu oraz uniemożliwić jego złamanie (na ten temat można przeczytać np. na tej stronie http://www.beldzio.com/bezpieczenstwo-funkcji-hashujacych). Powszechnie solone hasła są w pliku /etc/shadow. (np. “pass” = 1$ozdpg0V0 $ [...]

]]> Autor: Michał Ławicki http://www.beldzio.com/bezpieczenstwo-funkcji-hashujacych/comment-page-1#comment-544 Michał Ławicki Fri, 22 May 2009 11:49:30 +0000 http://localhost/wordpress/?p=106#comment-544 co do sensu podwójnego hashowania hasła można poczytać tu -> http://forum.php.pl/index.php?showtopic=44156 tak jak napisałeś będą miały trudniej, a jeśli zamiast robić wielokrotnych hash posolisz hasło, po "złamaniu" hasła nie otrzymasz go w jawnej postaci tak więc będzie trudniej :) co do sensu podwójnego hashowania hasła można poczytać tu -> http://forum.php.pl/index.php?showtopic=44156

tak jak napisałeś będą miały trudniej, a jeśli zamiast robić wielokrotnych hash posolisz hasło, po „złamaniu” hasła nie otrzymasz go w jawnej postaci tak więc będzie trudniej :)

]]> Autor: Tomsian http://www.beldzio.com/bezpieczenstwo-funkcji-hashujacych/comment-page-1#comment-543 Tomsian Fri, 22 May 2009 11:46:54 +0000 http://localhost/wordpress/?p=106#comment-543 zawsze można podwójnie hasło zakodować jak w enigmie i po sprawie. rainbow tables będą miały trudniej zawsze można podwójnie hasło zakodować jak w enigmie i po sprawie. rainbow tables będą miały trudniej

]]>