Pełna wersja: kodowanie hasel MD5
Zalozmy ze mam sobie w jakims tam pliku liste hasel zakodownych przy uzyciu md5, aby porownac haslo wpisane przez usera z tym co mam w pliku koduje sobie to co podaj user md5 i poroznuje z tym co mam w pliku. I teraz nasowa mi sie pytanie: jesli uzyskam dostep do pliku z zakodowanymi haslami to do zmiennej w ktorej powinna sie znalezc wartosc md5 hasla podanego od usera moge przekazac ciag md5 pobrany z pliku i uzyskac dostep do czegos co bylo chronione haslem. Po co wiec kodowac te hasla w pliku. Czegos tu nie rozumiem, wytlumaczcie mi bom glupi.
Hej
Pozdrawiam
i przenosze na hydepark.
Cytat
jesli uzyskam dostep do pliku z zakodowanymi haslami to do zmiennej w ktorej powinna sie znalezc wartosc md5 hasla
Jelsi uzyskasz dostep do pliku to wszystkie zbabezpieczenia sa niepotrzebne. co konczy problem.
Cytat
Po co wiec kodowac te hasla w pliku. Czegos tu nie rozumiem, wytlumaczcie mi bom glupi.
ponieawaz skrypt pisze sie tak by nie dopuszcaly dostepu do kodu osob trzecich oraz tym bardziej podstawiania dowolnej zmiennej pod md5. Analogicznie z plikiem z sumami - nie umieszczasz go na widoku zeby nie kusic losu.
Pozdrawiam
i przenosze na hydepark.
hmmm... jakos nie bardzommi sie widzi to co napisal squid.
Zalozmy, zemamy formularz, a w nim pole o nazwie haslo, wysylamy formularz do pliku sprawdz.php w ktorym odczytujemy $_POST['haslo'] i podstawiamy $haslo=md5($_POST['haslo']) i sprawdzamy, czy w pliku z haslami zakodowanymi w md5 jest haslo o kodzie $haslo np. przez ereg($haslo,$zawartosc_pliku). jak tak, to user ma dostep do zawartosci pliku, jak nie, to go wywala.
i teraz co z tego, ze znasz tamte hasla w pliku, skoro i tak nie mozesz ich uzyc, bo jak przypiszesz $haslo=dh4h4h55h53ht4ht4h4th (jakies wybrane haslo z pliku), to i tak $haslo zostanie od nowa zakodowane md5 w pliku sprawdz.php, wiec wartosc tej zmiennej ulegnie zmianie.
a md5 jest tylko po to, by jakis hacker
nie zobaczyl hasel userow, ktore by byly nie zakodowane, bo byc moze uzywaja oni tych hasel do np. poczty
Zalozmy, zemamy formularz, a w nim pole o nazwie haslo, wysylamy formularz do pliku sprawdz.php w ktorym odczytujemy $_POST['haslo'] i podstawiamy $haslo=md5($_POST['haslo']) i sprawdzamy, czy w pliku z haslami zakodowanymi w md5 jest haslo o kodzie $haslo np. przez ereg($haslo,$zawartosc_pliku). jak tak, to user ma dostep do zawartosci pliku, jak nie, to go wywala.
i teraz co z tego, ze znasz tamte hasla w pliku, skoro i tak nie mozesz ich uzyc, bo jak przypiszesz $haslo=dh4h4h55h53ht4ht4h4th (jakies wybrane haslo z pliku), to i tak $haslo zostanie od nowa zakodowane md5 w pliku sprawdz.php, wiec wartosc tej zmiennej ulegnie zmianie.
a md5 jest tylko po to, by jakis hacker
nie zobaczyl hasel userow, ktore by byly nie zakodowane, bo byc moze uzywaja oni tych hasel do np. poczty
A ja uzywam SHA1, zawsze to 8 znaczkow wiecej 
Cytat
Hej
Cytat
jesli uzyskam dostep do pliku z zakodowanymi haslami to do zmiennej w ktorej powinna sie znalezc wartosc md5 hasla
Jeśli uzyskasz dostep do pliku to wszystkie zabezpieczenia sa niepotrzebne. co konczy problem.No nie do końca. Sama znajomość md5-ki jakiegoś ciągu nie mówi Ci nic o samym ciągu.
Cytat
Po co wiec kodowac te hasla w pliku. Czegos tu nie rozumiem, wytlumaczcie mi bom glupi.
Jak uzyskasz do niego dostęp RW to owszem, ale przy RO to możesz conajwyżej słownikowo to rozwalać. A żeby się zalogować bez modyfikacji skryptu logującego musisz znać ciąg, którego skrót md5 jest Ci znany, a to już nie jest takie proste.
Hej
No nie do końca. Sama znajomość md5-ki jakiegoś ciągu nie mówi Ci nic o samym ciągu.Zgadza sie - tylko spojrz na to co squid zaklada - "a co gdy mam dostep do zakodowanego hasla i mozliwosc inwigilacji w kod laczenie z prawami do zmiany podstawienia/ sprawdzenia zrodla md5" - ja tak to zrozumialem.
Pozdrawiam
Cytat
Cytat
Hej
Cytat
jesli uzyskam dostep do pliku z zakodowanymi haslami to do zmiennej w ktorej powinna sie znalezc wartosc md5 hasla
Jeśli uzyskasz dostep do pliku to wszystkie zabezpieczenia sa niepotrzebne. co konczy problem.No nie do końca. Sama znajomość md5-ki jakiegoś ciągu nie mówi Ci nic o samym ciągu.
Pozdrawiam
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.