Forum PHP.pl

Ale jeżeli odkoduje "posolone" hasło, to zdobędzie ciąg już posolony... co nic nie daje ponieważ Ty, porównując ciągi najpierw je solisz. Zatem porównane zostaje hasło "posolone" raz do hasła "posolonego" razy dwa.

Chodzi mi o to że jest duża szansa że haker pozna samą sól, którą może sobie od tego hasła odjąć, i problem z głowy. (tzn. dla nas to duży problem)
Dzisiaj dodaliśmy z Toaspzoo (chyba go będę musiał dodać jako współautora skryptu (IMG:style_emoticons/default/tongue.gif) ) funkcje przypinania tematu oraz zamykania i otwierania go. Można to poznać po spinaczu przy nazwie tematu, i po tym, że jest pierwszy na liście, a przynajmniej zawsze wyżej niż jakikolwiek odpięty temat.

Ale jak ma sobie odjąć? Od zakodowanego hasha?

Po zdobyciu bazy haker przeleci hasha bruteforcem. To, że coś jest solone nie ma znaczenia, bo skoro mamy sól to można ją po prostu wykorzystać.
Tęczowe tablice, a to głównie przeciwko nim stosuje się sól, tracą popularność przy dzisiejszym sprzęcie i słabych algorytmach (łatwo o kolizję).

Wziąłem pierwszy link z google z hasła md5+sól. Doklejanie losowego kawałka stringa do hasła, i hashowanie. Potem trzeba trzymać tę sól w bazie, a przecież skoro ktoś dostanie się do bazy i wyciągnie hasło to co za problem zdobyć też sól? Potem bruteforce lub jakaś baza md5, cracker, wywalamy sól i gotowe. Jedyny szkopuł taki że może hasło dłuższe i bardziej skomplikowane, ale czy to ma duże znaczenie? Nie czas temat odpowiedni teraz na rozmyślania o md5, szukajcie proszę dalej błędów na moim forum, abym mógł je naprawić.

Próbowałem się zarejestrować na Twoim forum kilkanaście razy. Głupi nie jestem, dane podaje poprawne, ale za każdym razem mam błąd:

CTRL, oczywiście jeżeli trzymasz sól w polu o nazwie sól... to faktycznie zdobycie samej soli nie jest zbyt problematyczne. Jeżeli jednak wykorzystasz jako sól inną zmienną (chociażby datę rejestracji) sprawa wygląda trochę inaczej. Nie zrozum mnie źle, sól nie jest panaceum na wszelkie zło i przy jej zastosowaniu możesz czuć się maksymalnie bezpiecznie. Sól ma Cię zabezpieczyć przed tablicami tęczowymi. Hasło, które jest posolone da Ci kompletnie inny wynik przy przeszukiwaniu hash'y, które nota bene można znacznie wydłużyć.

A konta testowe? Chyba, że mnie gdzieś ominęło (IMG:style_emoticons/default/smile.gif)

Po tym co Pan Leszek Bucior przed chwilą wykombinował zabieram się za sól (IMG:style_emoticons/default/smile.gif) Szczerze gratuluję, lecz nie wiem jak to się stało. mam odpowiednie logi...

Konta testowe są pod warunkiem że się przetestuje rejestracje, a wtedy to już nie warto (IMG:style_emoticons/default/tongue.gif)

Ten post edytował CTRL 9.07.2012, 10:09:14

Na razie jest to niewykonalne (IMG:style_emoticons/default/smile.gif) .

No nie jest, bo to właśnie modyfikuję, ale zapewne coś innego miałeś na myśli, co?
Sól została dodana, istniejące konta muszą się ponownie zalogować aby uaktualnić. Co do rejestracji też poprawiłem

Chciałbym również zaznaczyć że konta o nickach: admin, test, hacker itp. będą od razu usuwane (IMG:style_emoticons/default/smile.gif)

Zostało dodane:

solenie haseł
maksymalna liczba znaków w nicku przy rejestracji: 20

Ten post edytował CTRL 9.07.2012, 12:47:46

Rejestracja działa bardzo ładnie tylko przy wpisywaniu hasła jest błąd, jak wpiszę oba takie same to wyświetli że się nie zgadzają (IMG:style_emoticons/default/wink.gif)
Przy rejestracji możesz sprawdzać czy w loginie jest fraza np. test czy admin
Nazwa konta ma nieograniczoną długość prawda? (IMG:style_emoticons/default/tongue.gif)

Witam, przepraszam za odkop ale forum nadal żyje, nędznie co prawda ale jakoś.

Zobaczcie jeszcze raz czego tam brakuje, bo kończą mi się pomysły. Szaty graficznej na razie zmienić nie mogę, przynajmniej nie całej. Najważniejszą zmianą jest domena którą od niedawna mam, mianowicie www.staraprochownia.pl Dorobiłem wiele nowych funkcji, jak również przepisałem prawie całe forum obiektowo. Część zmian widoczna tylko dla adminów, niestety forum działa jak normalne, więc nie mogę udostępnić konta z adminem. (IMG:style_emoticons/default/smile.gif)

Proszę moderatora żeby zmienił link w pierwszym poście i nazwie tematu, bo ja go edytować chyba nie mogę.

Ten post edytował CTRL 29.10.2012, 15:06:37

Z ciekawostek: forum jest wspierane przez Rublona, kto słyszał o tym cudownym wynalazku, ten wie (IMG:style_emoticons/default/smile.gif)

Nie rozumiem po co w shoutboxie pobierasz cały czas wszystkie wiadomości, co 3 sec pobierane jest ok. 3kb co jest mało optymalne. Zapisuj sobie po prostu timestamp ostatniej pobranej wiadomości i później odpytaj tylko czy pojawiły się nowe.