ExBB Community ExBB Community
 Сайт проекта ExBB Общение объединяет!
Войдите на форум при помощиВойти через loginza
 Чат на форуме      Помощь      Поиск      Пользователи     BanList BanList


 Страниц (2): [1] 2 »   

> Описание: где-то видны?
nnn
Отправлено: 29 ноября 2009 — 10:29
Post Id



Пользователь
Newbie


Покинул форум
Сообщений всего: 13
Дата рег-ции: Нояб. 2009  
Репутация: 0




Скажите, а у админа есть возможность посмотреть пароли зарегистрированных пользователей, которые они себе сами установят в профиле?
 
 
M-A-X
Отправлено: 29 ноября 2009 — 11:00
Post Id


Пользователь
Advanced Member


Покинул форум
Сообщений всего: 278
Дата рег-ции: Июль 2009  
Откуда: Киев
Репутация: 10




Нет, пароли зашифрованы в md5.
На их расшифровку нужны десятки лет Улыбка
 
 
1Bot
Отправлено: 29 ноября 2009 — 11:12
Post Id



Пользователь
Super Member


Покинул форум
Сообщений всего: 773
Дата рег-ции: Апр. 2009  
Откуда: Днепропетровск
Репутация: 69




nnn пишет:
Скажите, а у админа есть возможность посмотреть пароли зарегистрированных пользователей, которые они себе сами установят в профиле?

Посмотреть нельзя.
M-A-X пишет:
Нет, пароли зашифрованы в md5.
На их расшифровку нужны десятки лет Улыбка

md5 всего лишь контрольная сумма пароля, а не сам пароль. При входе сравниваются только контрольные суммы паролей. По контрольной сумме пароль получить нельзя.
 
 
M-A-X
Отправлено: 29 ноября 2009 — 11:20
Post Id


Пользователь
Advanced Member


Покинул форум
Сообщений всего: 278
Дата рег-ции: Июль 2009  
Откуда: Киев
Репутация: 10




1Bot пишет:
M-A-X пишет:
Нет, пароли зашифрованы в md5.
На их расшифровку нужны десятки лет Улыбка

md5 всего лишь контрольная сумма пароля, а не сам пароль. При входе сравниваются только контрольные суммы паролей. По контрольной сумме пароль получить нельзя.


Методом перебора только.
На этот перебор могут уйти десятки лет. Тем больше, чем длиннее/сложнее пароль.

(Отредактировано автором: 29 ноября 2009 — 11:21)

 
 
electron
Отправлено: 29 ноября 2009 — 14:52
Post Id



Администратор
ExBB Team


Покинул форум
Сообщений всего: 3917
Дата рег-ции: Февр. 2009  
Репутация: 341




однако каким-то образом под моим паролем админ заходил на одном из форумов, который работал на Exbb 0.1.4
 
 
Александр Михалицын
Отправлено: 29 ноября 2009 — 15:20
Post Id


Администратор
Super Member


Покинул форум
Сообщений всего: 723
Дата рег-ции: Февр. 2009  
Репутация: 42




nnn,
уберите в скриптах регистрации/входа вызов функции md5, и пароли будут храниться в открытом виде. Радость

Цитата:
На этот перебор могут уйти десятки лет. Тем больше, чем длиннее/сложнее пароль.

Ну десятки, не десятки... Но месяца могут... Хотя если пароль: 8Ja5632bajk2378Hss__228sdahj23sdshur3scbsusi,ewsc3228sdhj232ds,
может и десятки. Ха-ха
 
 
Александр Михалицын
Отправлено: 29 ноября 2009 — 15:38
Post Id


Администратор
Super Member


Покинул форум
Сообщений всего: 723
Дата рег-ции: Февр. 2009  
Репутация: 42




vipraskrutka,
разве? Не понял Я думал в Full Mods'ах во всех md5. Улыбка
 
 
yura3d
Отправлено: 29 ноября 2009 — 15:55
Post Id


Пользователь
ExBB Team
ExBB Developer
ExBB Mods Author


Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009  
Откуда: Минск, Беларусь
Репутация: 353




2ALL
Администратор может видеть пароль пользователя только в момент его регистрации, если в админке на странице Безопасность включена опция Сообщать Вам по почте о новом пользователе? В этом случае при каждой новой регистрации на e-mail администратора (который указывается тоже в админке, на странице Конфигурация в поле E-mail адрес администратора) будет отправляться информация о новом пользователе, включая его пароль. Если пользователь позже изменит свой пароль в профиле, информация о новом пароле администратору не отправляется (хотя это можно реализовать, но я не вижу в этом необходимости)

Смысл использования md5 в том, что даже если кто-либо и получит доступ к содержимому файлов текстовой базы данных Вашего форума (в том числе и к содержимому файлов с информацией для авторизации), то войти на форум он всё равно не сможет, поскольку, как уже говорилось, для дехеширования контрольной суммы md5 нужны годы непрерывного подбора, а если пароль очень сложный, то десятки лет

electron пишет:
однако каким-то образом под моим паролем админ заходил на одном из форумов, который работал на Exbb 0.1.4

Александр Михалицын пишет:
Я думал в Full Mods'ах во всех md5.

vipraskrutka пишет:
md5 появилась вроде только в последней ExBB FM 1.0 Beta

Правильно vipraskrutka говорит, полноценное использование md5 началось с ExBB FM 1.0 Beta. До этого существовали некоторые наработки (выкладывались на ТвойВебе), позволяющие реализовать хранение паролей в md5 на старых версиях вроде ExBB Full Mods 0.1.4, но изначально старые версии хранили пароли в открытом виде
 
 
nnn
Отправлено: 29 ноября 2009 — 21:47
Post Id



Пользователь
Newbie


Покинул форум
Сообщений всего: 13
Дата рег-ции: Нояб. 2009  
Репутация: 0




Да, спасибо за ответы. Просто сейчас думаем как выкручиваться с размещением фотографий. После размещения штук 10 превьюшек через радикал, форум начал жутко тормозить и вообще не открывать эти сообщения. Пробуем что-то думать с фотохостингом своим, а там нужна регистрация, а самостоятельной регистрации там не предусмотрено. Вот и думаем, как регистрировать самим пользователей, под ихними паролями как на форуме. А может просто запретить превьюшки людям размещать, да не заморачиваться с фотохостингом, бо что-то тормозит очень, грешим на превью эти с радикала.
 
 
yura3d
Отправлено: 29 ноября 2009 — 22:09
Post Id


Пользователь
ExBB Team
ExBB Developer
ExBB Mods Author


Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009  
Откуда: Минск, Беларусь
Репутация: 353




nnn пишет:
Да, спасибо за ответы. Просто сейчас думаем как выкручиваться с размещением фотографий. После размещения штук 10 превьюшек через радикал, форум начал жутко тормозить и вообще не открывать эти сообщения. Пробуем что-то думать с фотохостингом своим, а там нужна регистрация, а самостоятельной регистрации там не предусмотрено. Вот и думаем, как регистрировать самим пользователей, под ихними паролями как на форуме. А может просто запретить превьюшки людям размещать, да не заморачиваться с фотохостингом, бо что-то тормозит очень, грешим на превью эти с радикала.

Проблема заключается в том, что на этапе открытия темы скрипт скачивает внешние (вставленные бб-кодом img) изображения на Ваш сервер и генерирует для них превью-копии. Если изображений слишком много (или сами изображения объёмные), или сервер, с которого подгружаются изображения, тормозит (что бывает с радикалом), то тормозить будет и открытие темы. Как вариант решения Вашей проблемы, установите доработку мода превью-копий прикреплённых изображений, эта доработка позволяет отделить процесс открытия тем от процесса загрузки внешних изображений, в результате чего темы со внешними изображениями будут загружаться так же быстро, как и темы без таковых. Если Вам не требуется создание превью-копий изображений, то отключите этот мод в админке на странице Управление в разделе Модули
 
 
nnn
Отправлено: 30 ноября 2009 — 10:28
Post Id



Пользователь
Newbie


Покинул форум
Сообщений всего: 13
Дата рег-ции: Нояб. 2009  
Репутация: 0




Спасибо большое за быстрые ответы, очень приятно. Сегодня попробуем выполнить ваши рекомендации.
 
 
M-A-X
Отправлено: 18 декабря 2009 — 16:19
Post Id


Пользователь
Advanced Member


Покинул форум
Сообщений всего: 278
Дата рег-ции: Июль 2009  
Откуда: Киев
Репутация: 10




Александр Михалицын пишет:
Ну десятки, не десятки... Но месяца могут... Хотя если пароль: 8Ja5632bajk2378Hss__228sdahj23sdshur3scbsusi,ewsc3228sdhj232ds,
может и десятки.


Ну с десятками то я загнался. Но!

1. Вряд ли кто-то будет находить пароль методом перебора.
Для этого существуют готовые словари с уже просчитанными суммами.
Сравниваются сами суммы. Если они совпадают, то мы нашли, что нужно.
Использование md5(md5()) тоже не спасет, для этого тоже есть словари.
В EXBB афаик используется именно md5(md5()).
Может стоит добатить туда какой-то соли или шифровать 256 битными алгоритмами?
2. Например у нас в паролях разрешены A-zА-я0-9и 20 спецсимволов
имеем
26*2+32*2+10+10=136

Мы имеем
x^136 - количество разных паролей длинной х
Для их зашифровки используется 128 бит - длина md5 суммы.

Составим уравнение:
x^136=2^128

Найдем x ~18.
То есть, брать пароль длиннее 18 символов смысла нет, для него с близкой к 1 вероятностью найдется коллизия с длинной до 18 символов.

(Отредактировано автором: 18 декабря 2009 — 16:19)

 
 
Victor
Отправлено: 1 февраля 2010 — 20:53
Post Id


Пользователь
Full Member


Покинул форум
Сообщений всего: 237
Дата рег-ции: Март 2009  
Репутация: 14




M-A-X пишет:
Может стоит добатить туда какой-то соли или шифровать 256 битными алгоритмами?
а зачем так сложно? работаю с денежными переводами, и там система шифрования проще.. мы чаще чем нужно усложняем.. словно пароли к форуму есть миллион долларов в мелких купюрах...нет не взламываемой системы, чаще всего взлом происходит с ведома и участия сотрудников.. в данном контексте хостера, провайдера...
 
 
M-A-X
Отправлено: 10 февраля 2010 — 02:19
Post Id


Пользователь
Advanced Member


Покинул форум
Сообщений всего: 278
Дата рег-ции: Июль 2009  
Откуда: Киев
Репутация: 10




Ваш пароль постоянно хранится в куках браузера?

Соли добавить нужно по любому.
Ее можно добавить в рц2.
Попросить пользователя поменять пароль, чтобы перехешировало и все.
 
 
Леголегс
Отправлено: 8 марта 2010 — 01:48
Post Id


Пользователь
Junior Member


Покинул форум
Сообщений всего: 87
Дата рег-ции: Март 2010  
Репутация: 12




vipraskrutka пишет:
electron пишет:
который работал на Exbb 0.1.4

так в нем хранится в открытом виде пароль.

Простите, что апаю старую тему, но это клевета. В фуллмодс очень, очень, очень давно пароли хранятся в md5 (хотя и без соли). В 0.1.4 это точно так, я только что посмотрел.
Однако, размеется, ничто не мешает администратору-злоумышленнику на отдельно взятом форуме собрать пароли юзеров. Надо это понимать и делить сайты на важные и неважные. На всех важных должны быть абсолютно разные пароли и ни один из них нельзя светить на неважных.
 
 
Страниц (2): [1] 2 »
Сейчас эту тему просматривают: 1 (гостей: 1, зарегистрированных: 0)
« Общие вопросы »



Все гости форума могут просматривать этот раздел.
Только администраторы и модераторы могут создавать новые темы в этом разделе.
Только администраторы и модераторы могут отвечать на сообщения в этом разделе.
 




Яндекс.Метрика   

Powered by ExBB
ExBB FM 1.0 RC1 by TvoyWeb.ru
InvisionExBB Style converted by Markus®

[Script Execution time: 0.0745]     [ ]