 |
|
27/09/2004
Vetal
ну кольВы тут один программист, то ссылочку на код такой ф-ции.
И по ходу дела сами ознакомьтесь с исходниками десятка разных порталов, которые делают так, как я описал ;)
Удачи в драках и познании
ну кольВы тут один программист, то ссылочку на код такой ф-ции.
И по ходу дела сами ознакомьтесь с исходниками десятка разных порталов, которые делают так, как я описал ;)
Удачи в драках и познании
|
|
|
27/09/2004
Да, кстати, дополню:
для большинства приложений не надо как-то хитро что-то кодировать, а можно вообще держать все в открытом виде, не кодируя.
И когда мне говорят о какой-то супре-зщите очень сильно продвинутые в вопросах безопасности админы или программеры, то я спрашиваю в ответ - а цена потери/порчи информации сопоставима с ценой рзработки/настройки/поддержки?
Вон в форумы народ без SSL пишет и не парится, знать есть потенциальная, а иногда и реальная возможность перехвата паролей.
для большинства приложений не надо как-то хитро что-то кодировать, а можно вообще держать все в открытом виде, не кодируя.
И когда мне говорят о какой-то супре-зщите очень сильно продвинутые в вопросах безопасности админы или программеры, то я спрашиваю в ответ - а цена потери/порчи информации сопоставима с ценой рзработки/настройки/поддержки?
Вон в форумы народ без SSL пишет и не парится, знать есть потенциальная, а иногда и реальная возможность перехвата паролей.
|
|
|
27/09/2004
Роман, вот те ссылка http://ru2.php.net/md5
порталы, которые делаются с открытыми паролями, нужно "душить пока маленькие" - кто будет регистрироваться на сайте, зная что его пароль будет знать ещё админ? а "там где знают двое, знают все"
если народ пишет в форумы без ССЛ, да ещё и передаёт пароли некодированные - он рискует быть подставленым (как человек отреагирует на то что от его имени что-то делается?)
если же передавать без ССЛ, но закодированные пароли, перехват толку не даст
про цену потери защищённой информации: на сайте, чьи пароли передаются открыто, постоянно кто-то действует от чужого имени, посетителям не нравится такой расклад, они уходят с ресурса, сайт подыхает. вывод: цена потери не меньше 100% (мало ли, владелец ещё должен останется)
вот я и заподозрил EXS.CC в том что пароли хранит открытые ;) однако, у него форум phpBB, солидный движок, там парли точно кодируются, тогда возникает следующий вопрос: с чего EXS.CC взял что спамер регится с одинаковыми паролями?? :))
ну-ка, EXS.CC! колись! :)))
порталы, которые делаются с открытыми паролями, нужно "душить пока маленькие" - кто будет регистрироваться на сайте, зная что его пароль будет знать ещё админ? а "там где знают двое, знают все"
если народ пишет в форумы без ССЛ, да ещё и передаёт пароли некодированные - он рискует быть подставленым (как человек отреагирует на то что от его имени что-то делается?)
если же передавать без ССЛ, но закодированные пароли, перехват толку не даст
про цену потери защищённой информации: на сайте, чьи пароли передаются открыто, постоянно кто-то действует от чужого имени, посетителям не нравится такой расклад, они уходят с ресурса, сайт подыхает. вывод: цена потери не меньше 100% (мало ли, владелец ещё должен останется)
вот я и заподозрил EXS.CC в том что пароли хранит открытые ;) однако, у него форум phpBB, солидный движок, там парли точно кодируются, тогда возникает следующий вопрос: с чего EXS.CC взял что спамер регится с одинаковыми паролями?? :))
ну-ка, EXS.CC! колись! :)))
|
|
|
27/09/2004
2 Vetal:
я что то не понял, в чем проблема:
- функция md5 выдает 32-символьное хешированное значение пароля.
Однако для одной и той же строки (читай - пароля) её md5-значение - т.е. строка, сгенерированная функцией md5 - одна и та же.
Вы, возможно, имели в виду, что хеш функция генерит значения, уникальные (на 99.9999%) для разных исходных строк (паролей).
пример:
$psw=array("mama","mama","mama");
foreach($psw as $k=>$v) echo "psw= $v , хеш-значение( $v )= ".md5($v)." <br>";
Если я вижу в бд юзеров (таблица phpbb_user ) одно и то же значение в поле user_password , это означает не более, чем один и тот же пароль.
Другое дело, расшифровать его обратно (из md5 в исх. пароль) - существует и такой алгоритм, но "...оно мне надо ?..".
Кстати, приветствую коллегу, если Вы программист.
(я пишу движки для всех наших сайтов и своего проекта exs.cc в частности).
Да еще - спамер этот, похоже, вошел в раж. Регится по 5 раз в день, правла вылетает х.з. куда (благодаря нашим лекарствам), собираем вот статистику по всем его движениям. И на этом форуме он, похоже, частый гость.
всем успеха,
EXS.CC
я что то не понял, в чем проблема:
- функция md5 выдает 32-символьное хешированное значение пароля.
Однако для одной и той же строки (читай - пароля) её md5-значение - т.е. строка, сгенерированная функцией md5 - одна и та же.
Вы, возможно, имели в виду, что хеш функция генерит значения, уникальные (на 99.9999%) для разных исходных строк (паролей).
пример:
$psw=array("mama","mama","mama");
foreach($psw as $k=>$v) echo "psw= $v , хеш-значение( $v )= ".md5($v)." <br>";
Если я вижу в бд юзеров (таблица phpbb_user ) одно и то же значение в поле user_password , это означает не более, чем один и тот же пароль.
Другое дело, расшифровать его обратно (из md5 в исх. пароль) - существует и такой алгоритм, но "...оно мне надо ?..".
Кстати, приветствую коллегу, если Вы программист.
(я пишу движки для всех наших сайтов и своего проекта exs.cc в частности).
Да еще - спамер этот, похоже, вошел в раж. Регится по 5 раз в день, правла вылетает х.з. куда (благодаря нашим лекарствам), собираем вот статистику по всем его движениям. И на этом форуме он, похоже, частый гость.
всем успеха,
EXS.CC
|
|
|
27/09/2004
упс, увлёкся!.. :)
не, мд5 плохой пример, вот crypt! :)
ну тада панятна.. в пхпбб мд5-шифрование..
всем пасиба! все свободны! :)
не, мд5 плохой пример, вот crypt! :)
ну тада панятна.. в пхпбб мд5-шифрование..
всем пасиба! все свободны! :)
Форум закрыт. Написание сообщений ограничено
