| |
|
|
| |
HAVAL - это однонаправленная хэш-функция переменной длины. Функция HAVAL является модификацией функции MD5
sha1 - один из алгоритмов криптографического хэширования. Описан в RFC 3174
MD5 - алгоритм хэширования,
разработанный профессором Рональдом Л. Ривестом в 1991 году.
Предназначен для создания «отпечатков» или «дайджестов» сообщений произвольной длины. Пришёл на смену MD4, который был несовершенен.
Описан в RFC 1321.
Алгоритмы хэширования, поддерживаемые mhash( )
SHA1 RIPEMD160 MD5
GOST TIGER SNEFRU
HAVAL CRC32
RIPEMD128
CRC32B
|
Скажите на наше время какой метод хэша является защищенней от уязвимостей с обоснованием желательно.
И объясните пожалуйста только простыми словами без терменалогии про уязвимость MD5?
Уязвимости MD5
MD5(X1||S) = MD5(X2||S) если MD5(X1) = MD5(X2)
|
| |
| |
|
|
| |
|
|
| |
для: sidPR
(24.04.2007 в 23:11)
| | | Вот тему изменили, а ответить забыли :) | |
| |
|
|
| |
|
|
| |
для: sidPR
(24.04.2007 в 23:11)
| | | Простыми словами - пож-та...
Суть проста, алгоритм MD5 допускает варианты, когда из разных последовательностей получаются одинаковые результаты... MD5(X1) = MD5(X2)
+ следствие из этого таковы, что при изменении кодируемых последовательностей (X1 и X2) по одному и тому же закону (S) логического или (||) => (X1||S и X2||S) получим так же одну последовательность (MD5(X1||S) = MD5(X2||S)) | |
| |
|
|
| |
|
|
| |
для: ZuArt
(25.04.2007 в 11:54)
| | | а есть какойнибуть метод который не имеет покачто уязвимостей? | |
| |
|
|
| |
|
|
| |
для: sidPR
(25.04.2007 в 13:04)
| | | есть маленький циклический закон:
человек может взломать любую защиту, так же как и защитить вломанное - вопрос только во времени реализации.
Другими словами - надежной защитой считается та, которая взламывается за неприемлемое время (например ломать пасс из 10 символов подбором к ящику, у которого пасс меняется раз в месяц нецелесообразно, т.к. время перебора гораздо выше).
Решите для себя, насколько важны защищаемые объекты, определите условия, которые должны быть удовлетворены и исходя из этого выбирайте алгоритм.
Наибольшим успехом будет совместное использование различных алгоритмов шифрования по неразглашаемому закону и последовательности применения... /пример MD5((MD5(Login) xor MD5(Pass)) + MD5(Login+Pass))/ | |
| |
|
|
| |
|
|
| |
для: ZuArt
(25.04.2007 в 13:13)
| | | А файлы ключей и т.п. ? что лучше и как быть если к примеру нужно хранить ответы на вопросы? как их шифровать если они состоят из единичного символа ? что лучше предпринять в этом случае? может надох хранить ответ гдето в другом месте или както их шифровать... опятьже если злоумышленних получит доступ к backoffice то у него будет возможность отредактировать правильные ответы тем самым получить ответ на них?
Подскажите пожалуста как сделать железную защиту в таком примере? Посоветуйте может какойто подход использовать ? | |
| |
|
|
| |
|
|
| |
для: sidPR
(25.04.2007 в 22:22)
| | | а цель оправдывает средства? | |
| |
|
|
| |
|
|
| |
для: sidPR
(25.04.2007 в 22:22)
| | | >А файлы ключей и т.п. ?
Каких ключей?
>что лучше и как быть если к примеру нужно хранить ответы на вопросы?
>как их шифровать если они состоят из единичного символа ?
сколько вопросов и сколько вариантов ответов на каждый? | |
| |
|
|
| |
|
|
| |
для: Trianon
(26.04.2007 в 09:53)
| | | Вопросов или заданий может быть неограниченное кол-во , ответ на каждый вопрос может быть один и только в числовом формате.. вопрос как их защитить... защита должна быть очень при очень продуманно... наведите на мыслю??
у меня была идея в базе хранить вопросы а для того чтобы начать тестирования ответы подгружаются из вне именно в тот период запуска теста... но это какбы геморно для пользователя.. такжже расматривал файлик ключей типо на флешке.. но незнаю как реализовать связь оборудования с веб интерфейсом :(
Ваши предложения? идеи... | |
| |
|
|
| |
|
|
| |
для: sidPR
(26.04.2007 в 15:35)
| | | вопросы и ответы - в базу.
почему это неудобно для пользователя? Он же через html-интерфейс с опросником общается, а не руками в базу лезет? | |
| |
|
|
| |
|
|
| |
для: sidPR
(24.04.2007 в 23:11)
| | | я делаю через ключ
<?php
$key = "NVGELksldg*(^n324dsKLL309L<<MNH73";
$passwd = md5($key.$_POST['passwd'].$key);
?>
|
| |
| |
|
|
| |
|
|
| |
для: CrazyAngel
(26.04.2007 в 15:58)
| | | не я рассматриваю такой вариант если злооумышленник вдруг получить доступ к бекофису ... емуже будут доступны все ответы... как защититься от этого? | |
| |
|
|
| |
|
|
| |
для: sidPR
(26.04.2007 в 16:06)
| | | кто такой бекофис?
Если это программа, то может не нужно её ставить - тогда и доступ не получит. | |
| |
|
|
| |
|
|
| |
для: sidPR
(26.04.2007 в 16:06)
| | | работать под линукосвым сервером и никакие бэкофисы не страшны | |
| |
|
|
| |
|
|
| |
для: Loki
(26.04.2007 в 16:45)
| | | Я в смысле если злоумышленник всеже получит досту к администрационной панели... надо както скрыть ответы на вопросы закодировать их и тп... как лучше это сделать я пока не знаю есть кучя идей а какуя лучше и удобнее незнаю :( | |
| |
|
|
| |
|
|
| |
для: sidPR
(26.04.2007 в 16:55)
| | | Ну что за ерунда.
Если злоумышленик получит административный доступ, никто ему не помешает изменить Ваш скрипт (или сделать свой на основе Вашего) так, чтобы он выдавал нужные результаты. Пусть даже путем прямого перебора ответов. И никакое шифрование тут не поможет. | |
| |
|
|
