![]() |
![]() |
-Gość- |
![]()
Post
#1
|
Goście ![]() |
Czy logowanie zaimplementowane w ten sposób:
można uznać za bezpieczne? Czego tu jeszcze brakuje lub co zrobiłem źle? |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Zarejestrowani Postów: 320 Pomógł: 29 Dołączył: 3.04.2010 Ostrzeżenie: (20%) ![]() ![]() |
1. Wspólny katalog na pliki tymczasowe w prawie każdym low-end'owym współdzielonym hostingu (w tej sytuacji przejęcie sesji to banał). 2. Bujna historia BUGów natywnego mechanizmu sesji w PHP. Miejsce przechowywania sesji można zmienić. Podasz przykłady? Po drugie ktoś by musiał najpierw poznać technikę kryptograficzną którą serwis stosuje, czyli musiałby wpierw wbić się do naszej bazy danych i wykraść hashe dla poszczególnych użytkowników.Jak widzisz nie jest to proste. Bezpiecznie jest wtedy, kiedy atakujący znając metodę mieszającą, hash, ewentualną sól, etc. nadal nie potrafi/jest to nieosiągalne by otrzaymać tekst jawny. Nadal obstaje przy tym, że md5 + sól jest bezpieczniejsze od sha512. Czas generowania jest w zasadzie pomijany, bo przy tworzeniu rainbow tables bottleneck jest z zupełnie innym miejscu Przy brute-force to ma znaczenie, ale umówmy się, kto przy zdrowych zmysłach młuci brute-forcem dziesiątki czy setki tysięcy hashy z wypłyniętej bazy? Jeżeli sól jest stała dla wszystkich użytkowników, można wygenerować rainbow table dla całej bazy. czas generowania jest pomijany, a jednak sha512 jest 2,6 razy wolniejszy od md5 (i tak sha512 jest szybkie (IMG:style_emoticons/default/wink.gif) ). Nie rozumiem ostatniego pytania. Im więcej rekordów, tym większa szansa by trafić tekst jawny bruteforcem. |
|
|
![]() ![]() |
![]() |
Aktualny czas: 15.10.2025 - 18:08 |