1. nnn - 29 ноября 2009 — 10:29 - перейти к сообщению
Скажите, а у админа есть возможность посмотреть пароли зарегистрированных пользователей, которые они себе сами установят в профиле?
2. M-A-X - 29 ноября 2009 — 11:00 - перейти к сообщению
Нет, пароли зашифрованы в md5.
На их расшифровку нужны десятки лет
На их расшифровку нужны десятки лет
3. 1Bot - 29 ноября 2009 — 11:12 - перейти к сообщению
nnn пишет:
Скажите, а у админа есть возможность посмотреть пароли зарегистрированных пользователей, которые они себе сами установят в профиле?
Посмотреть нельзя.
M-A-X пишет:
Нет, пароли зашифрованы в md5.
На их расшифровку нужны десятки лет
На их расшифровку нужны десятки лет
md5 всего лишь контрольная сумма пароля, а не сам пароль. При входе сравниваются только контрольные суммы паролей. По контрольной сумме пароль получить нельзя.
4. M-A-X - 29 ноября 2009 — 11:20 - перейти к сообщению
1Bot пишет:
md5 всего лишь контрольная сумма пароля, а не сам пароль. При входе сравниваются только контрольные суммы паролей. По контрольной сумме пароль получить нельзя.
M-A-X пишет:
Нет, пароли зашифрованы в md5.
На их расшифровку нужны десятки лет
На их расшифровку нужны десятки лет
md5 всего лишь контрольная сумма пароля, а не сам пароль. При входе сравниваются только контрольные суммы паролей. По контрольной сумме пароль получить нельзя.
Методом перебора только.
На этот перебор могут уйти десятки лет. Тем больше, чем длиннее/сложнее пароль.
5. electron - 29 ноября 2009 — 14:52 - перейти к сообщению
однако каким-то образом под моим паролем админ заходил на одном из форумов, который работал на Exbb 0.1.4
6. Александр Михалицын - 29 ноября 2009 — 15:20 - перейти к сообщению
nnn,
уберите в скриптах регистрации/входа вызов функции md5, и пароли будут храниться в открытом виде.
Ну десятки, не десятки... Но месяца могут... Хотя если пароль: 8Ja5632bajk2378Hss__228sdahj23sdshur3scbsusi,ewsc3228sdhj232ds,
может и десятки.
уберите в скриптах регистрации/входа вызов функции md5, и пароли будут храниться в открытом виде.
Цитата:
На этот перебор могут уйти десятки лет. Тем больше, чем длиннее/сложнее пароль.
Ну десятки, не десятки... Но месяца могут... Хотя если пароль: 8Ja5632bajk2378Hss__228sdahj23sdshur3scbsusi,ewsc3228sdhj232ds,
может и десятки.
7. Александр Михалицын - 29 ноября 2009 — 15:38 - перейти к сообщению
vipraskrutka,
разве? Я думал в Full Mods'ах во всех md5.
разве? Я думал в Full Mods'ах во всех md5.
8. yura3d - 29 ноября 2009 — 15:55 - перейти к сообщению
2ALL
Администратор может видеть пароль пользователя только в момент его регистрации, если в админке на странице Безопасность включена опция Сообщать Вам по почте о новом пользователе? В этом случае при каждой новой регистрации на e-mail администратора (который указывается тоже в админке, на странице Конфигурация в поле E-mail адрес администратора) будет отправляться информация о новом пользователе, включая его пароль. Если пользователь позже изменит свой пароль в профиле, информация о новом пароле администратору не отправляется (хотя это можно реализовать, но я не вижу в этом необходимости)
Смысл использования md5 в том, что даже если кто-либо и получит доступ к содержимому файлов текстовой базы данных Вашего форума (в том числе и к содержимому файлов с информацией для авторизации), то войти на форум он всё равно не сможет, поскольку, как уже говорилось, для дехеширования контрольной суммы md5 нужны годы непрерывного подбора, а если пароль очень сложный, то десятки лет
Правильно vipraskrutka говорит, полноценное использование md5 началось с ExBB FM 1.0 Beta. До этого существовали некоторые наработки (выкладывались на ТвойВебе), позволяющие реализовать хранение паролей в md5 на старых версиях вроде ExBB Full Mods 0.1.4, но изначально старые версии хранили пароли в открытом виде
Администратор может видеть пароль пользователя только в момент его регистрации, если в админке на странице Безопасность включена опция Сообщать Вам по почте о новом пользователе? В этом случае при каждой новой регистрации на e-mail администратора (который указывается тоже в админке, на странице Конфигурация в поле E-mail адрес администратора) будет отправляться информация о новом пользователе, включая его пароль. Если пользователь позже изменит свой пароль в профиле, информация о новом пароле администратору не отправляется (хотя это можно реализовать, но я не вижу в этом необходимости)
Смысл использования md5 в том, что даже если кто-либо и получит доступ к содержимому файлов текстовой базы данных Вашего форума (в том числе и к содержимому файлов с информацией для авторизации), то войти на форум он всё равно не сможет, поскольку, как уже говорилось, для дехеширования контрольной суммы md5 нужны годы непрерывного подбора, а если пароль очень сложный, то десятки лет
electron пишет:
однако каким-то образом под моим паролем админ заходил на одном из форумов, который работал на Exbb 0.1.4
Александр Михалицын пишет:
Я думал в Full Mods'ах во всех md5.
vipraskrutka пишет:
md5 появилась вроде только в последней ExBB FM 1.0 Beta
Правильно vipraskrutka говорит, полноценное использование md5 началось с ExBB FM 1.0 Beta. До этого существовали некоторые наработки (выкладывались на ТвойВебе), позволяющие реализовать хранение паролей в md5 на старых версиях вроде ExBB Full Mods 0.1.4, но изначально старые версии хранили пароли в открытом виде
9. nnn - 29 ноября 2009 — 21:47 - перейти к сообщению
Да, спасибо за ответы. Просто сейчас думаем как выкручиваться с размещением фотографий. После размещения штук 10 превьюшек через радикал, форум начал жутко тормозить и вообще не открывать эти сообщения. Пробуем что-то думать с фотохостингом своим, а там нужна регистрация, а самостоятельной регистрации там не предусмотрено. Вот и думаем, как регистрировать самим пользователей, под ихними паролями как на форуме. А может просто запретить превьюшки людям размещать, да не заморачиваться с фотохостингом, бо что-то тормозит очень, грешим на превью эти с радикала.
10. yura3d - 29 ноября 2009 — 22:09 - перейти к сообщению
nnn пишет:
Да, спасибо за ответы. Просто сейчас думаем как выкручиваться с размещением фотографий. После размещения штук 10 превьюшек через радикал, форум начал жутко тормозить и вообще не открывать эти сообщения. Пробуем что-то думать с фотохостингом своим, а там нужна регистрация, а самостоятельной регистрации там не предусмотрено. Вот и думаем, как регистрировать самим пользователей, под ихними паролями как на форуме. А может просто запретить превьюшки людям размещать, да не заморачиваться с фотохостингом, бо что-то тормозит очень, грешим на превью эти с радикала.
Проблема заключается в том, что на этапе открытия темы скрипт скачивает внешние (вставленные бб-кодом img) изображения на Ваш сервер и генерирует для них превью-копии. Если изображений слишком много (или сами изображения объёмные), или сервер, с которого подгружаются изображения, тормозит (что бывает с радикалом), то тормозить будет и открытие темы. Как вариант решения Вашей проблемы, установите доработку мода превью-копий прикреплённых изображений, эта доработка позволяет отделить процесс открытия тем от процесса загрузки внешних изображений, в результате чего темы со внешними изображениями будут загружаться так же быстро, как и темы без таковых. Если Вам не требуется создание превью-копий изображений, то отключите этот мод в админке на странице Управление в разделе Модули
11. nnn - 30 ноября 2009 — 10:28 - перейти к сообщению
Спасибо большое за быстрые ответы, очень приятно. Сегодня попробуем выполнить ваши рекомендации.
12. M-A-X - 18 декабря 2009 — 16:19 - перейти к сообщению
Александр Михалицын пишет:
Ну десятки, не десятки... Но месяца могут... Хотя если пароль: 8Ja5632bajk2378Hss__228sdahj23sdshur3scbsusi,ewsc3228sdhj232ds,
может и десятки.
может и десятки.
Ну с десятками то я загнался. Но!
1. Вряд ли кто-то будет находить пароль методом перебора.
Для этого существуют готовые словари с уже просчитанными суммами.
Сравниваются сами суммы. Если они совпадают, то мы нашли, что нужно.
Использование md5(md5()) тоже не спасет, для этого тоже есть словари.
В EXBB афаик используется именно md5(md5()).
Может стоит добатить туда какой-то соли или шифровать 256 битными алгоритмами?
2. Например у нас в паролях разрешены A-zА-я0-9и 20 спецсимволов
имеем
26*2+32*2+10+10=136
Мы имеем
x^136 - количество разных паролей длинной х
Для их зашифровки используется 128 бит - длина md5 суммы.
Составим уравнение:
x^136=2^128
Найдем x ~18.
То есть, брать пароль длиннее 18 символов смысла нет, для него с близкой к 1 вероятностью найдется коллизия с длинной до 18 символов.
13. Victor - 1 февраля 2010 — 20:53 - перейти к сообщению
M-A-X пишет:
а зачем так сложно? работаю с денежными переводами, и там система шифрования проще.. мы чаще чем нужно усложняем.. словно пароли к форуму есть миллион долларов в мелких купюрах...нет не взламываемой системы, чаще всего взлом происходит с ведома и участия сотрудников.. в данном контексте хостера, провайдера...
Может стоит добатить туда какой-то соли или шифровать 256 битными алгоритмами?
14. M-A-X - 10 февраля 2010 — 02:19 - перейти к сообщению
Ваш пароль постоянно хранится в куках браузера?
Соли добавить нужно по любому.
Ее можно добавить в рц2.
Попросить пользователя поменять пароль, чтобы перехешировало и все.
Соли добавить нужно по любому.
Ее можно добавить в рц2.
Попросить пользователя поменять пароль, чтобы перехешировало и все.
15. Леголегс - 8 марта 2010 — 01:48 - перейти к сообщению
vipraskrutka пишет:
так в нем хранится в открытом виде пароль.
electron пишет:
который работал на Exbb 0.1.4
так в нем хранится в открытом виде пароль.
Простите, что апаю старую тему, но это клевета. В фуллмодс очень, очень, очень давно пароли хранятся в md5 (хотя и без соли). В 0.1.4 это точно так, я только что посмотрел.
Однако, размеется, ничто не мешает администратору-злоумышленнику на отдельно взятом форуме собрать пароли юзеров. Надо это понимать и делить сайты на важные и неважные. На всех важных должны быть абсолютно разные пароли и ни один из них нельзя светить на неважных.