Sliipeetais Posted October 23, 2003 Report Share Posted October 23, 2003 Ar kaadaam metodeem sashifreet paroles, kuras tiek glabaatas MySQL datu baazee? (Droshiibas pasaakums situaacijai, ja kaadam ljaunajam urkjim izdodas tikt klaat DB, kuraa glabaajas visas lietotaaju paroles...). P.S. Kaa lai es savu php foruma pieregjistreeto vaardu "sliipeetais" nomainu uz "Sliipeetais"? Link to comment Share on other sites More sharing options...
Roze Posted October 23, 2003 Report Share Posted October 23, 2003 No php puses var izmantot piemeeram Md5() http://lv.php.net/md5 vai arii no MySQL PASSWORD() http://www.mysql.com/doc/en/Password_hashing.html Vairaak gan ieteiktu pirmo variantu jo mysql funkcija piemeeram atskjiras starp dazhaam versijaam liidz ar to veelaak vareetu rasties probleemas.. MD5 algoritms preteeji tik aatri nemainiisies Loginvaardu nomainiiju (tev vajadzeetu buut notifikaacijas e-pastam) Link to comment Share on other sites More sharing options...
roberc Posted October 23, 2003 Report Share Posted October 23, 2003 nu par to md5 es gan šaubos. man liekas, ka md5 hasho paroles. un ar jebkuru tāda tipa f-ju paroles netiek šifrētas. tiek atgriezts tikai x-bitu hash-keys. nu to it kā var saglabāt un pārbaudīt ievadītās paroles hashu ar saglabāto hashu. bet pašu paroli dabūt atpakaļ nevar :( es gan nenodarbotos ar paroļu kriptu. labāk ir nosekūrēt serveri tā, lai neviens netiek klāt bāzēm. pie tam nevienu nopietnu projektu, kurā ir iemaisītas paroles, neviens neliek virsū uz koplietošanas serveriem... kaut gan tā ir katra webmastera darīšana. Link to comment Share on other sites More sharing options...
K|NG Posted October 23, 2003 Report Share Posted October 23, 2003 vai nu ar md5 vai ja ir sha1. ja paroli aizmirst tad sūti jaunu uzģenerētu Link to comment Share on other sites More sharing options...
RuncZ Posted October 24, 2003 Report Share Posted October 24, 2003 a kas vainas f-jai crypt() ? es te vienaa savaa *garadarbaa* jamo izmantoju... nu darbojas tiiri ok Link to comment Share on other sites More sharing options...
Sliipeetais Posted October 24, 2003 Author Report Share Posted October 24, 2003 Iisti neiebraucu, tikai sapratu to, ka md5 ir kaut kas, kas it kaa padara paroli nesaprotamu, tachu negarantee, ka taa ir tieshaam sashifreeta. Mazliet pabrowseeju un nonaacu pie sleedziena, ka jaalieto crypt, ar attieciigo shifreeshanas metodi, kas jau ir peec izveeles (rc4, blowfish u.t.t.)... Link to comment Share on other sites More sharing options...
Qued Posted October 24, 2003 Report Share Posted October 24, 2003 Ja tev nebūtu slinkums palasīt php manuāli un tajā pievienotās saites, tu saprast gan, ko tas md5 dara. Link to comment Share on other sites More sharing options...
Sliipeetais Posted October 24, 2003 Author Report Share Posted October 24, 2003 ahaa, palasiijos manuaaljus. md5 - taatad, sajauc mainiigo radot mixfix simbolu virkni. nav atkodeejams, liidz ar to paroli var izvilkt tikai ar brute force (normaali, ja parole ir garaaka par 6 simb. buus paaraak ietilpiigs darbs). Atkodeejams nav, tachu saliidzinaams ar kaadu citu mainiigo gan. Taatad lietojams ;) Link to comment Share on other sites More sharing options...
Roze Posted October 25, 2003 Report Share Posted October 25, 2003 nu par to md5 es gan šaubos.man liekas, ka md5 hasho paroles. un ar jebkuru tāda tipa f-ju paroles netiek šifrētas. tiek atgriezts tikai x-bitu hash-keys. nu to it kā var saglabāt un pārbaudīt ievadītās paroles hashu ar saglabāto hashu. bet pašu paroli dabūt atpakaļ nevar es gan nenodarbotos ar paroļu kriptu. labāk ir nosekūrēt serveri tā, lai neviens netiek klāt bāzēm. pie tam nevienu nopietnu projektu, kurā ir iemaisītas paroles, neviens neliek virsū uz koplietošanas serveriem... kaut gan tā ir katra webmastera darīšana. Nu a prieksh kam dabuut atpakalj saglabaato paroli? Oneway imho ir krietni efektivaaks. Ja reiz lietotaajs ir aizmirsis paroli gjenereejam vinjam jaunu un izsuutam nevis taisam kaut kaadus decrypt. Kaa sho te saprast "nopietnu projektu .. uz koplietoshanas serveriem"? Kas ir nopietni projekti tavupraat un kas ir koplietoshanas serveri? Free hostinga piedavataaji vai kaa? Nopietniem projektiem ir arii nopietni droshiibas risinaajumi. Paarsvaraa DB serveri no publiskaa tiikla nav pieejami vispaar. Konekcijas starp lietojum/webserveri izmanto piemeeram SSL vai arii piemeeram kripteetus tuneljus alja IPSEC. Jo preteeji jau tas viss ir kakjim zem astes ja paroles ir kripteetas a viens ieseezhas pa vidu un saak snifot packetes un http requestus. Tachu arii nenopietnaam lietaam ir veerts ieveerot zinaamus droshiibas pasaakumus kaut vai deelj cilveekiem kas taas lietos. Proti peec pieredzes (un arii pats skatoties uz sevi) cilveeki parolju izdomaa nav visai orgjinaali un izmantotaas paroles der arii citur (e-pastiem, darbstaciju loginiem utt).. Pie kam nostaadne par kastes "sekuureeshanu" ir pareiza lai gan principaa parolju/datu kripteeshanas jeega ir tajaa ja arii kaads pie datubaazeem tiek tad no datiem nav iisti jeegas (ja nu kaadam ir veelme nodarboties ar bruteforce). Link to comment Share on other sites More sharing options...
Recommended Posts