Комментарии: Модификация алгоритма хэширования http://www.insight-it.ru/programmirovanie/php/modifikaciya-algoritma-khehshirovaniya/ Информационные технологии Tue, 07 Feb 2012 20:13:46 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Автор: Gyclekacy http://www.insight-it.ru/programmirovanie/php/modifikaciya-algoritma-khehshirovaniya/#comment-3522 Gyclekacy Mon, 06 Feb 2012 17:15:39 +0000 http://www.insight-it.ru/programming/php/modifikaciya-algoritma-khehshirovaniya/#comment-3522 [url=http://maramour.ru/viewtopic.php?f=25&t=89]Самая эротическая книга[/url] [url=http://maramour.ru/viewtopic.php?f=30&t=329]без труселей[/url] [url=http://maramour.ru/viewtopic.php?f=30&t=349]Многоженство[/url] [url=http://maramour.ru/viewtopic.php?f=30&t=732]А вас когда-нибудь использовали?[/url] [url=http://maramour.ru/viewtopic.php?f=28&t=186]Ночуете у него?[/url] хохо [url=http://maramour.ru/viewtopic.php?f=25&t=89]Самая эротическая книга[/url]
[url=http://maramour.ru/viewtopic.php?f=30&t=329]без труселей[/url]
[url=http://maramour.ru/viewtopic.php?f=30&t=349]Многоженство[/url]
[url=http://maramour.ru/viewtopic.php?f=30&t=732]А вас когда-нибудь использовали?[/url]
[url=http://maramour.ru/viewtopic.php?f=28&t=186]Ночуете у него?[/url]

хохо

]]> Автор: MaskON http://www.insight-it.ru/programmirovanie/php/modifikaciya-algoritma-khehshirovaniya/#comment-2532 MaskON Fri, 23 Jul 2010 09:54:19 +0000 http://www.insight-it.ru/programming/php/modifikaciya-algoritma-khehshirovaniya/#comment-2532 Привет знатокам! Пишу cms не из тех побуждений, что люблю изобретать велосипеды. Во первых у меня студия веб дизайна, и честно устал от левого кода и левых ошибок, пишу что то модульное и гибкое для меня! Во вторых это отличный способ поднять уровень, проблем было нереальное количество, приходиться думать и об защите, пароль храню в куках в 2йном md5 не рассчитываю на взлом движка, но кража кук в полне может быть, придумал адский алгорит, скрестить 2й/md5 с солью, и тремя кодами движка! Сам часто ворую хеш )) и понимаю основные ошибки, почему так выходит, 2й/md5 к примеру поставил меня на одном движке в тупик ) Привет знатокам! Пишу cms не из тех побуждений, что люблю изобретать велосипеды. Во первых у меня студия веб дизайна, и честно устал от левого кода и левых ошибок, пишу что то модульное и гибкое для меня! Во вторых это отличный способ поднять уровень, проблем было нереальное количество, приходиться думать и об защите, пароль храню в куках в 2йном md5 не рассчитываю на взлом движка, но кража кук в полне может быть, придумал адский алгорит, скрестить 2й/md5 с солью, и тремя кодами движка!
Сам часто ворую хеш )) и понимаю основные ошибки, почему так выходит, 2й/md5 к примеру поставил меня на одном движке в тупик )

]]> Автор: Xyz http://www.insight-it.ru/programmirovanie/php/modifikaciya-algoritma-khehshirovaniya/#comment-1485 Xyz Wed, 17 Jun 2009 15:32:16 +0000 http://www.insight-it.ru/programming/php/modifikaciya-algoritma-khehshirovaniya/#comment-1485 VK ну это, конечно, понятно, то есть не прямой доступ к таблам PS на ixbt и через 4 года следующие ответы бывали ) VK
ну это, конечно, понятно, то есть не прямой доступ к таблам

PS на ixbt и через 4 года следующие ответы бывали )

]]> Автор: VK http://www.insight-it.ru/programmirovanie/php/modifikaciya-algoritma-khehshirovaniya/#comment-1484 VK Tue, 16 Jun 2009 06:25:52 +0000 http://www.insight-it.ru/programming/php/modifikaciya-algoritma-khehshirovaniya/#comment-1484 @Xyz Смысл в том, что не видя алгоритма какая именно строка подставляется злоумышленник не будет знать что использовать. Взлом может быть частичным - с помощью sql injection хакер получил записи из базы, но не видит кода php-скриптов. PS Странно переписываться в комментах через полтора года после оригинального поста :) @Xyz Смысл в том, что не видя алгоритма какая именно строка подставляется злоумышленник не будет знать что использовать. Взлом может быть частичным — с помощью sql injection хакер получил записи из базы, но не видит кода php-скриптов.

PS Странно переписываться в комментах через полтора года после оригинального поста :)

]]> Автор: Xyz http://www.insight-it.ru/programmirovanie/php/modifikaciya-algoritma-khehshirovaniya/#comment-1483 Xyz Sat, 06 Jun 2009 20:59:48 +0000 http://www.insight-it.ru/programming/php/modifikaciya-algoritma-khehshirovaniya/#comment-1483 Извините, может я запутался, но какой смысл по большому счёту в $salt если он хранится в базе данных? И будет доступен злоумышленнику при взломе. Извините, может я запутался, но какой смысл по большому счёту в $salt если он хранится в базе данных? И будет доступен злоумышленнику при взломе.

]]> Автор: artoodetoo http://www.insight-it.ru/programmirovanie/php/modifikaciya-algoritma-khehshirovaniya/#comment-1482 artoodetoo Sat, 10 May 2008 20:08:22 +0000 http://www.insight-it.ru/programming/php/modifikaciya-algoritma-khehshirovaniya/#comment-1482 В PunBB 1.3 используется такой же прием: $form_password_hash = sha1($salt.sha1($form_password)); salt хранится в таблице "пользователи". честно говоря, сомнительное повышение защиты. В PunBB 1.3 используется такой же прием:
$form_password_hash = sha1($salt.sha1($form_password));
salt хранится в таблице «пользователи». честно говоря, сомнительное повышение защиты.

]]> Автор: Екимов Сергей http://www.insight-it.ru/programmirovanie/php/modifikaciya-algoritma-khehshirovaniya/#comment-1481 Екимов Сергей Sun, 02 Mar 2008 21:08:26 +0000 http://www.insight-it.ru/programming/php/modifikaciya-algoritma-khehshirovaniya/#comment-1481 кстати, в некоторых CMS используется подобный алгоритм. Например движок для формов VBulletin. Там двойной md5 с солью md5(md5($password) . $salt) кстати, в некоторых CMS используется подобный алгоритм. Например движок для формов VBulletin. Там двойной md5 с солью md5(md5($password) . $salt)

]]> Автор: Lerae http://www.insight-it.ru/programmirovanie/php/modifikaciya-algoritma-khehshirovaniya/#comment-1480 Lerae Sun, 17 Feb 2008 18:59:26 +0000 http://www.insight-it.ru/programming/php/modifikaciya-algoritma-khehshirovaniya/#comment-1480 Выглядит несколько сомнительно. Если злоумышленник не знает алгоритма, то да - использование стандартных декрипторов мало чем ему поможет. Но с другой стороны, такие преобразования увеличивают число коллизий в среднем в 16^n раз, где n- длина рандомной строки. А это уже критично, если взломшик поимел доступ к коду. Выглядит несколько сомнительно. Если злоумышленник не знает алгоритма, то да — использование стандартных декрипторов мало чем ему поможет. Но с другой стороны, такие преобразования увеличивают число коллизий в среднем в 16^n раз, где n- длина рандомной строки. А это уже критично, если взломшик поимел доступ к коду.

]]> Автор: Иван Блинков http://www.insight-it.ru/programmirovanie/php/modifikaciya-algoritma-khehshirovaniya/#comment-1479 Иван Блинков Fri, 15 Feb 2008 19:04:12 +0000 http://www.insight-it.ru/programming/php/modifikaciya-algoritma-khehshirovaniya/#comment-1479 [quote comment="179"]Ну если у нас увели базу данных, то расчитывать на то, что не уведут код я бы не стал. Тем более я не доверяю методу защиты через сокрытие алгоритмов. [/quote] Если еще учесть возможность получения несанкционированного доступа к коду, то да, увеличение длины хэша было бы более эффективным, но правда в этом случае возникла бы еще целая масса проблем и помимо раскрытого алгоритма хэширования. [quote comment="179"](комментарий #3 - это я)[/quote]Спасибо, что представились, подписал его. [quote comment="179"]Ну если у нас увели базу данных, то расчитывать на то, что не уведут код я бы не стал. Тем более я не доверяю методу защиты через сокрытие алгоритмов. [/quote]
Если еще учесть возможность получения несанкционированного доступа к коду, то да, увеличение длины хэша было бы более эффективным, но правда в этом случае возникла бы еще целая масса проблем и помимо раскрытого алгоритма хэширования.
[quote comment="179"](комментарий #3 — это я)[/quote]Спасибо, что представились, подписал его.

]]> Автор: Alex Crown http://www.insight-it.ru/programmirovanie/php/modifikaciya-algoritma-khehshirovaniya/#comment-1478 Alex Crown Fri, 15 Feb 2008 17:17:16 +0000 http://www.insight-it.ru/programming/php/modifikaciya-algoritma-khehshirovaniya/#comment-1478 Ну если у нас увели базу данных, то расчитывать на то, что не уведут код я бы не стал. Тем более я не доверяю методу защиты через сокрытие алгоритмов. (комментарий #3 - это я) Ну если у нас увели базу данных, то расчитывать на то, что не уведут код я бы не стал. Тем более я не доверяю методу защиты через сокрытие алгоритмов. (комментарий #3 — это я)

]]> Автор: Иван Блинков http://www.insight-it.ru/programmirovanie/php/modifikaciya-algoritma-khehshirovaniya/#comment-1477 Иван Блинков Fri, 15 Feb 2008 13:29:17 +0000 http://www.insight-it.ru/programming/php/modifikaciya-algoritma-khehshirovaniya/#comment-1477 [quote comment="175"]Интересно, на сколько снижается криптоскойкость того же md5 если мы знаем часть строки? [/quote]Знание части исходной строки явно сильно упрощает подбор по словарю, но каким образом это может повлиять на поиск коллизий в md5 - не представляю, по-моему никак. [quote comment="175"]И еще, как мне кажется, обрезая хэш на n символов (длину соли) мы увеличиваем вероятность коллизии в 2^n раз, так что лучше не укорачивать хэш, а увеличивать его на размер solt.[/quote]Изменение длины хэша на, допустим, два символа может выдать сам факт использования этого метода, а если выполнить подмену - хэш внешне ничем не будет отличаться от стандартного. [quote comment="175"]Интересно, на сколько снижается криптоскойкость того же md5 если мы знаем часть строки?
[/quote]Знание части исходной строки явно сильно упрощает подбор по словарю, но каким образом это может повлиять на поиск коллизий в md5 — не представляю, по-моему никак.
[quote comment="175"]И еще, как мне кажется, обрезая хэш на n символов (длину соли) мы увеличиваем вероятность коллизии в 2^n раз, так что лучше не укорачивать хэш, а увеличивать его на размер solt.[/quote]Изменение длины хэша на, допустим, два символа может выдать сам факт использования этого метода, а если выполнить подмену — хэш внешне ничем не будет отличаться от стандартного.

]]> Автор: Alex Crown http://www.insight-it.ru/programmirovanie/php/modifikaciya-algoritma-khehshirovaniya/#comment-1476 Alex Crown Fri, 15 Feb 2008 12:53:11 +0000 http://www.insight-it.ru/programming/php/modifikaciya-algoritma-khehshirovaniya/#comment-1476 Интересно, на сколько снижается криптоскойкость того же md5 если мы знаем часть строки? И еще, как мне кажется, обрезая хэш на n символов (длину соли) мы увеличиваем вероятность коллизии в 2^n раз, так что лучше не укорачивать хэш, а увеличивать его на размер solt. Интересно, на сколько снижается криптоскойкость того же md5 если мы знаем часть строки?
И еще, как мне кажется, обрезая хэш на n символов (длину соли) мы увеличиваем вероятность коллизии в 2^n раз, так что лучше не укорачивать хэш, а увеличивать его на размер solt.

]]> Автор: Иван Блинков http://www.insight-it.ru/programmirovanie/php/modifikaciya-algoritma-khehshirovaniya/#comment-1475 Иван Блинков Fri, 15 Feb 2008 12:44:58 +0000 http://www.insight-it.ru/programming/php/modifikaciya-algoritma-khehshirovaniya/#comment-1475 [quote comment="173"]второй вариант решается, причем успешно, хешированием комбинации логин-пароль[/quote]Соглашусь, еще один вариант решения этого вопроса, имеющий право на существование. [quote comment="173"]второй вариант решается, причем успешно, хешированием комбинации логин-пароль[/quote]Соглашусь, еще один вариант решения этого вопроса, имеющий право на существование.

]]> Автор: wert http://www.insight-it.ru/programmirovanie/php/modifikaciya-algoritma-khehshirovaniya/#comment-1474 wert Fri, 15 Feb 2008 12:10:46 +0000 http://www.insight-it.ru/programming/php/modifikaciya-algoritma-khehshirovaniya/#comment-1474 второй вариант решается, причем успешно, хешированием комбинации логин-пароль второй вариант решается, причем успешно, хешированием комбинации логин-пароль

]]>