Скажите, а у админа есть возможность посмотреть пароли зарегистрированных пользователей, которые они себе сами установят в профиле?

Нет, пароли зашифрованы в md5.
На их расшифровку нужны десятки лет

Посмотреть нельзя.

md5 всего лишь контрольная сумма пароля, а не сам пароль. При входе сравниваются только контрольные суммы паролей. По контрольной сумме пароль получить нельзя.

Методом перебора только.
На этот перебор могут уйти десятки лет. Тем больше, чем длиннее/сложнее пароль.

однако каким-то образом под моим паролем админ заходил на одном из форумов, который работал на Exbb 0.1.4

nnn,
уберите в скриптах регистрации/входа вызов функции md5, и пароли будут храниться в открытом виде.


Ну десятки, не десятки... Но месяца могут... Хотя если пароль: 8Ja5632bajk2378Hss__228sdahj23sdshur3scbsusi,ewsc3228sdhj232ds,
может и десятки.

vipraskrutka,
разве? Я думал в Full Mods'ах во всех md5.

2ALL
Администратор может видеть пароль пользователя только в момент его регистрации, если в админке на странице Безопасность включена опция Сообщать Вам по почте о новом пользователе? В этом случае при каждой новой регистрации на e-mail администратора (который указывается тоже в админке, на странице Конфигурация в поле E-mail адрес администратора) будет отправляться информация о новом пользователе, включая его пароль. Если пользователь позже изменит свой пароль в профиле, информация о новом пароле администратору не отправляется (хотя это можно реализовать, но я не вижу в этом необходимости)

Смысл использования md5 в том, что даже если кто-либо и получит доступ к содержимому файлов текстовой базы данных Вашего форума (в том числе и к содержимому файлов с информацией для авторизации), то войти на форум он всё равно не сможет, поскольку, как уже говорилось, для дехеширования контрольной суммы md5 нужны годы непрерывного подбора, а если пароль очень сложный, то десятки лет




Правильно vipraskrutka говорит, полноценное использование md5 началось с ExBB FM 1.0 Beta. До этого существовали некоторые наработки (выкладывались на ТвойВебе), позволяющие реализовать хранение паролей в md5 на старых версиях вроде ExBB Full Mods 0.1.4, но изначально старые версии хранили пароли в открытом виде

Да, спасибо за ответы. Просто сейчас думаем как выкручиваться с размещением фотографий. После размещения штук 10 превьюшек через радикал, форум начал жутко тормозить и вообще не открывать эти сообщения. Пробуем что-то думать с фотохостингом своим, а там нужна регистрация, а самостоятельной регистрации там не предусмотрено. Вот и думаем, как регистрировать самим пользователей, под ихними паролями как на форуме. А может просто запретить превьюшки людям размещать, да не заморачиваться с фотохостингом, бо что-то тормозит очень, грешим на превью эти с радикала.

Проблема заключается в том, что на этапе открытия темы скрипт скачивает внешние (вставленные бб-кодом img) изображения на Ваш сервер и генерирует для них превью-копии. Если изображений слишком много (или сами изображения объёмные), или сервер, с которого подгружаются изображения, тормозит (что бывает с радикалом), то тормозить будет и открытие темы. Как вариант решения Вашей проблемы, установите доработку мода превью-копий прикреплённых изображений, эта доработка позволяет отделить процесс открытия тем от процесса загрузки внешних изображений, в результате чего темы со внешними изображениями будут загружаться так же быстро, как и темы без таковых. Если Вам не требуется создание превью-копий изображений, то отключите этот мод в админке на странице Управление в разделе Модули

Спасибо большое за быстрые ответы, очень приятно. Сегодня попробуем выполнить ваши рекомендации.

Ну с десятками то я загнался. Но!

1. Вряд ли кто-то будет находить пароль методом перебора.
Для этого существуют готовые словари с уже просчитанными суммами.
Сравниваются сами суммы. Если они совпадают, то мы нашли, что нужно.
Использование md5(md5()) тоже не спасет, для этого тоже есть словари.
В EXBB афаик используется именно md5(md5()).
Может стоит добатить туда какой-то соли или шифровать 256 битными алгоритмами?
2. Например у нас в паролях разрешены A-zА-я0-9и 20 спецсимволов
имеем
26*2+32*2+10+10=136

Мы имеем
x^136 - количество разных паролей длинной х
Для их зашифровки используется 128 бит - длина md5 суммы.

Составим уравнение:
x^136=2^128

Найдем x ~18.
То есть, брать пароль длиннее 18 символов смысла нет, для него с близкой к 1 вероятностью найдется коллизия с длинной до 18 символов.

а зачем так сложно? работаю с денежными переводами, и там система шифрования проще.. мы чаще чем нужно усложняем.. словно пароли к форуму есть миллион долларов в мелких купюрах...нет не взламываемой системы, чаще всего взлом происходит с ведома и участия сотрудников.. в данном контексте хостера, провайдера...

Ваш пароль постоянно хранится в куках браузера?

Соли добавить нужно по любому.
Ее можно добавить в рц2.
Попросить пользователя поменять пароль, чтобы перехешировало и все.

Простите, что апаю старую тему, но это клевета. В фуллмодс очень, очень, очень давно пароли хранятся в md5 (хотя и без соли). В 0.1.4 это точно так, я только что посмотрел.
Однако, размеется, ничто не мешает администратору-злоумышленнику на отдельно взятом форуме собрать пароли юзеров. Надо это понимать и делить сайты на важные и неважные. На всех важных должны быть абсолютно разные пароли и ни один из них нельзя светить на неважных.