| |
|
|
| | Почитав одну умную книжку ///php mysql webdevelop/// я прочитал,что sha,md5,можно раскодировать только за 24 часа и что никто этим заниматься не будет,а в другой(Кристиана Уенца), что это невозможно,я расслабился и у меня появился рабочий пароль(80% от всех паролей).Вопрос какого черта они пишут,что расскодировть нельзя,когда можно?На вашем сайте раздается прекрасный продукт softtime -liteforum/будет ли для него написан патч(реализация шифрования паролей). | |
| |
|
|
| |
|
|
| |
для: lgar
(30.08.2006 в 20:24)
| | | Всё верно - расшифровать пароль нельзя - его можно только подобрать по словарю или без
http://www.softtime.ru/info/task.php?id_article=74
http://www.softtime.ru/info/task.php?id_article=75
Сколько займёт это время зависит от длины вашего пароля и используете ли вы там осмысленные или близкие к ним имена. Однако не стоит не дооценивать злоумышлеников, которые для подбора могут использовать взломанные сервера большой производительности.
В базе LiteForum пароли подвергаются шифрованию - мы не можем знать эти пароли, однако на машине пользователя в cookie пароли храняться в незашифрованном виде. Хранить в них хэш означает сделать бесполезным шифрование базы данных. Пароли или хэши уплывают в двух случаях взлома: XSS-инъекция и SQL-инъекция, ни то, ни другое не живёт более суток мы стараемся оперативно реагировать на такого рода сигналы.
Обновлённая версия LiteForum появится в разделе downloads в ближайшее время. То, что лежит в разделе downloads не подвержено найденной XSS-атаке, так как там все > заменяются на > и цельный скрипт не удасться. | |
| |
|
|
| |
|
|
| |
для: cheops
(30.08.2006 в 20:34)
| | | В базе LiteForum пароли подвергаются шифрованию - мы не можем знать эти пароли, однако на машине пользователя в cookie пароли храняться в незашифрованном виде. Хранить в них хэш означает сделать бесполезным шифрование базы данных
Это справедливо лишь в том случае, если в БД и в кукис держать один и тот же хеш. | |
| |
|
|
