Шифровка пароля алгоритмом md5

Alex Kh. · Сообщение **Alex Kh.** » 21.03.2005 23:12

Всем доброго времени,
интересует вот какой вопросец (заранее прошу не поливать грязью), пароль в форуме шифруется путем одностароннего алгоритма md5, то есть фактически обратно вернуть пароль не представляется возможным, но из практики известно, что форумы всё-таки взламываются. Если отключить шифрование пароля вообще, к каким результатм это приведёт, в том плане, что пароль в таблице будет храниться в явном виде, и что с того ?, ведь сам пароль можно перехватить сниффером до того, как он попадёт на сервер, где и происходит шифрование, ведь только на сервере происходит данная процедура, значит пока пароль не попадёт на сервер он открыт. Или я что-то не догоняю. Кому не трудно объясните...
Заранее спсб.

Сообщение **Siava** » 21.03.2005 23:18

Alex Kh.
шифрование пароля не всегда односторонне.. так как md5-хеши успещно брутофорсятся и расшифровываются..

Если пароли не будут шифроваться, то злоумышленник, получив базу данных форума сразу поимеет все пароли без напряга. А если они будут зашифрованы, то ему ещё придется постараться их расшифровать.
Я уж начинаю задумываться о тройном шифровании md5

Vladson · Сообщение **Vladson** » 21.03.2005 23:26

Siava писал(а):Если пароли не будут шифроваться, то злоумышленник, получив базу данных форума

Даже не базу, достаточно только админскую "плюшку", а она добывается элементарным XSS (a.k.a. CSS), а затем и всю базу естественно

Добавлено спустя 3 минуты 9 секунд:

Siava писал(а):Я уж начинаю задумываться о тройном шифровании md5

Ничего это не даст, стоит получить админскую плюшку как злоумышленник уже может зайти и не зная пароля, тут больше подойдёт запароливание админки через .htaccess, и если это будет работать в паре с тройным MD5 то вместе это даст куда лучший результат

YarNET · Сообщение **YarNET** » 22.03.2005 1:09

Alex Kh. писал(а):ведь сам пароль можно перехватить сниффером до того, как он попадёт на сервер, где и происходит шифрование, ведь только на сервере происходит данная процедура, значит пока пароль не попадёт на сервер он открыт.

В одной сети можно перехватить, а в различных, как? Я понимаю, сидит сосед за PC, который в одной локальной сети находится – одно дело.

Alex Kh. · Сообщение **Alex Kh.** » 22.03.2005 18:54

А не подскажите, где в форуме реализовано кодирование ?

Vladson · Сообщение **Vladson** » 22.03.2005 19:00

Оно реализованно не в форуме, а на самом сервере
если интересует процесс шифрования то http://www.ietf.org/rfc/rfc1321.txt

Alex Kh. · Сообщение **Alex Kh.** » 22.03.2005 20:39

Vladson:
спасибо за ссылку.
То что шифрование происходит на сервере - это понятно, я хотел узнать какой файл *.php за это отвечает ? или
каким образом это реализовано в phpbb ?

atrus · Сообщение **atrus** » 22.03.2005 20:57

Само шифрование? Вызовом функции md5() ;-)

Alex Kh. · Сообщение **Alex Kh.** » 22.03.2005 21:07

Siava писал(а):Если пароли не будут шифроваться, то злоумышленник, получив базу данных форума сразу поимеет все пароли без напряга

Интересно, если злоумышленник получит базу данных форума, нафига ему пароли расшифровывать, у него и так есть вся информация. Единственный смысл, который я пока могу объяснить - это отсылать какие-либо пакости от другого лица.

Добавлено спустя 1 минуту 32 секунды:

atrus писал(а):Само шифрование? Вызовом функции md5()

понятно, я просто в php ещё не очень, значит просто есть функция, которая всё это лопатит ) Спасибо.

Сообщение **Siava** » 23.03.2005 0:21

Alex Kh.

нафига ему пароли расшифровывать, у него и так есть вся информация.

А ты смотри дальше.. как правило пароли у пользователей одинаковые на все форумы и т.д... узнав чей-то пароль можно начать гадить или следить за человеком, вмешиваться в его личную "электронную" переписку и т.п..

Alex Kh. · Сообщение **Alex Kh.** » 24.03.2005 12:12

Siava писал(а):как правило пароли у пользователей одинаковые на все форумы

Siava
и чего таких много ? понятно, не созрели ещё...
слушай, а ты хорошо разбираешься в php ?, просто я пока не очень, я больше по БД, я хотел бы узнать по поводу регистрашки форума,
есть файл profile.php. Когда нажимаешь ссылку "Регистрация" в адресной строке появляется адрес данного файла и параметр mode=register, после подтверждения соглашения ещё один параметр agree=true и появляется окно с формой регистрации. Только я никак не могу понять каким образом..., просмотрев файл profile.php я не нашёл полей форм и не понял на какую форму идёт ссылка.
Если поскажешь будет очень здорово.

Сообщение **Siava** » 24.03.2005 12:30

Alex Kh.
Смотри лучше не profile.php, а includes/usercp_repister.php

Код: Выделить всё

                "U_AGREE_OVER13" => append_sid("profile.$phpEx?mode=register&agreed=true"),
                "U_AGREE_UNDER13" => append_sid("profile.$phpEx?mode=register&agreed=true&coppa=true"))

Добавлено спустя 1 минуту:

Я у себя на форуме вобще убрал эту дурацкую "coppa", мы ж не америкосы

Добавлено спустя 23 секунды:

P.S.
А вобще-то темка про md5

ваваныч · Сообщение **ваваныч** » 16.04.2005 21:57

доброго времяни суток
может чуть не в тему, но ........
утерен админ пароль от форума знаков примерно 9,
скрипт (pass.php) не помог, почтовый ящек удалён

есть подозрение что могу раньше умереть чем его подберу....
что можете посоветовать ?

YarNET · Сообщение **YarNET** » 16.04.2005 22:13

ваваныч писал(а):что можете посоветовать ?

phpMyAdmin-ом воспользоваться.

Егор Наклоняев · 16.04.2005 22:32

ваваныч
1. Зайти в phpMyAdmin
2. Найти себя
3. Исправить пароль на 827ccb0eea8a706c4c34a16891f84e7b
Что соответсвует MD5 пароля 12345
4. Зайти под паролем 12345
5. Поменять пароль и почтовый ящик