Hasło przerobione na md5, Po co to? Opcje

[Asmox]

Zastanawiam się, po co się koduje hasła na kod MD5. Może mi ktoś wytłumaczyć?

[phpion]

Żeby ktoś wchodząc w posiadanie hasha (zakodowanego hasła) nie był w stanie odgadnąć jakie to było hasło.

[piotrooo89]

hmmm... hasło za zwyczaj nie jest ogólnie dostępną informacjom i żeby tak zostało używa się MD5.

[Asmox]

Ale czy tak łatwo, żeby te hasła wpadły w niepowołane ręce? Czy wysyłanie danych metodą POST też nie chroni haseł?

[Foxx]

Chodzi raczej o przechwycenie bazy danych.

[likemandrake]

Piszesz aplikację, mogą pojawić się błędy, zawsze tak jest, a im większa aplikacja tym większe prawdopodobieństwo wystąpienia poważniejszych błędów. Błędy można w różny sposób wykorzystać w zależności od "poziomu zaawansowania" samego błędu. Jeśli mamy ten poważniejszy błąd, możliwe że atakujący uzyska dane, których uzyskać nie powinien (np. w/w hasła do bazy danych).

Najważniejsze jest to, że jak już taki błąd wystąpi, nie został wyświetlony publicznie. Wyświetlenie komunikatu błędu związanego z bazą danych jest równie tożsame z wyświetleniem hasła, które zostało użyte do połączenia, a to już napewno jest tragiczne w skutkach.

[Crozin]

Ale czy tak łatwo, żeby te hasła wpadły w niepowołane ręce?

W przypadku jakichkolwiek haseł użytkowników, ręce samych administratorów są niepowołane - Ty też nie musisz tego ich znać, a nie hashując ich prędzej czy poźniej siłą rzeczy (chociażby przeglądając bazę w phpmyadminie) je poznasz.

[Tarcil]

Witajcie

Ja jeszcze dodam, że wydaje mi się, że takie beztroskie podejście do pisania aplikacji jest bardzo niewłaściwe. Nie można pisać aplikacji lekceważąc sprawy bezpieczeństwa i myślę, że wszędzie, gdzie się da trzeba starać się zabezpieczyć skrypt (czy to przez hashowanie haseł, czy wrzucanie danych dla bazy do mysql_real_escape_string(), czy chociażby ukrywanie strony logowania do administracji tak, aby nie była dostępna z poziomu głównej strony index.php).
Ludzie rejestrując się na naszej stronie powierzają nam swoje dane (niech to będzie chociażby adres e-mail), dane prywatne i zwykła uczciwość wymaga, aby je chronić... i tak jak napisał crozin - nawet przed samym sobą

Pozdrawiam!
PS. To tylko wypociny średnio (jeśli nie mało) doświadczonego programisty... Pozdro!

[Asmox]

Jeśli tak, to hashować też loginy?
P.S.: Właśnie piszę taką małą stronkę, z możliwością rejestracji użytkowników, dlatego się pytam

[Foxx]

Nie ma powodu żeby haszować loginy, przecież i tak są jawne (np. popatrz na to forum).
Poza tym haszując login za pomocą md5() masz problem bo go nie odhaszujesz a chyba nie chcesz
w swoim serwisie wyświetlać "Witaj f3r2rf34r2320fdsf32"

[Smoker]

czyli hasła koduje się dla bezpieczeństwa Odpowiednie zabezpieczenia skryptu to podstawa... jakby skrypt nie był bezpieczny to mozna szybko stracic taki skrypt i wszystkie dane razem z nim. Napewno jest tu ktos na tym forum kto cos o tym wie

Cytat z innego forum:
Jak wiadomo nie każdy umie rywalizować uczciwie. Dziś włamał mi się dwa razy <-cenzura-> do mojej gry. Najpierw rozsyłając wiadomosci z linkiem do swojej gry a następnie skasował wszystkie konta.

[Foxx]

Jest przyklejony temat o bezpieczeństwie skryptów PHP.