| 1Bot |
Отправлено: 29 ноября 2009 — 11:12 
|
Super Member
Покинул форум
Сообщений всего: 773
Дата рег-ции: Апр. 2009
Откуда: Днепропетровск
Репутация: 69
|
nnn пишет:Скажите, а у админа есть возможность посмотреть пароли зарегистрированных пользователей, которые они себе сами установят в профиле?
Посмотреть нельзя.
M-A-X пишет:Нет, пароли зашифрованы в md5.
На их расшифровку нужны десятки лет 
md5 всего лишь контрольная сумма пароля, а не сам пароль. При входе сравниваются только контрольные суммы паролей. По контрольной сумме пароль получить нельзя. |
| |
|
| M-A-X |
Отправлено: 29 ноября 2009 — 11:20
|
Advanced Member
Покинул форум
Сообщений всего: 278
Дата рег-ции: Июль 2009
Откуда: Киев
Репутация: 10
|
1Bot пишет:M-A-X пишет:Нет, пароли зашифрованы в md5.
На их расшифровку нужны десятки лет
md5 всего лишь контрольная сумма пароля, а не сам пароль. При входе сравниваются только контрольные суммы паролей. По контрольной сумме пароль получить нельзя.
Методом перебора только.
На этот перебор могут уйти десятки лет. Тем больше, чем длиннее/сложнее пароль.(Отредактировано автором: 29 ноября 2009 — 11:21) |
| |
|
| yura3d |
Отправлено: 29 ноября 2009 — 15:55
|
ExBB Team
ExBB Developer
ExBB Mods Author
Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009
Откуда: Минск, Беларусь
Репутация: 353
|
2ALL
Администратор может видеть пароль пользователя только в момент его регистрации, если в админке на странице Безопасность включена опция Сообщать Вам по почте о новом пользователе? В этом случае при каждой новой регистрации на e-mail администратора (который указывается тоже в админке, на странице Конфигурация в поле E-mail адрес администратора) будет отправляться информация о новом пользователе, включая его пароль. Если пользователь позже изменит свой пароль в профиле, информация о новом пароле администратору не отправляется (хотя это можно реализовать, но я не вижу в этом необходимости)
Смысл использования md5 в том, что даже если кто-либо и получит доступ к содержимому файлов текстовой базы данных Вашего форума (в том числе и к содержимому файлов с информацией для авторизации), то войти на форум он всё равно не сможет, поскольку, как уже говорилось, для дехеширования контрольной суммы md5 нужны годы непрерывного подбора, а если пароль очень сложный, то десятки лет
electron пишет:однако каким-то образом под моим паролем админ заходил на одном из форумов, который работал на Exbb 0.1.4
Александр Михалицын пишет:Я думал в Full Mods'ах во всех md5.
vipraskrutka пишет:md5 появилась вроде только в последней ExBB FM 1.0 Beta
Правильно vipraskrutka говорит, полноценное использование md5 началось с ExBB FM 1.0 Beta. До этого существовали некоторые наработки (выкладывались на ТвойВебе), позволяющие реализовать хранение паролей в md5 на старых версиях вроде ExBB Full Mods 0.1.4, но изначально старые версии хранили пароли в открытом виде |
| |
|
| yura3d |
Отправлено: 29 ноября 2009 — 22:09
|
ExBB Team
ExBB Developer
ExBB Mods Author
Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009
Откуда: Минск, Беларусь
Репутация: 353
|
nnn пишет:Да, спасибо за ответы. Просто сейчас думаем как выкручиваться с размещением фотографий. После размещения штук 10 превьюшек через радикал, форум начал жутко тормозить и вообще не открывать эти сообщения. Пробуем что-то думать с фотохостингом своим, а там нужна регистрация, а самостоятельной регистрации там не предусмотрено. Вот и думаем, как регистрировать самим пользователей, под ихними паролями как на форуме. А может просто запретить превьюшки людям размещать, да не заморачиваться с фотохостингом, бо что-то тормозит очень, грешим на превью эти с радикала.
Проблема заключается в том, что на этапе открытия темы скрипт скачивает внешние (вставленные бб-кодом img) изображения на Ваш сервер и генерирует для них превью-копии. Если изображений слишком много (или сами изображения объёмные), или сервер, с которого подгружаются изображения, тормозит (что бывает с радикалом), то тормозить будет и открытие темы. Как вариант решения Вашей проблемы, установите доработку мода превью-копий прикреплённых изображений, эта доработка позволяет отделить процесс открытия тем от процесса загрузки внешних изображений, в результате чего темы со внешними изображениями будут загружаться так же быстро, как и темы без таковых. Если Вам не требуется создание превью-копий изображений, то отключите этот мод в админке на странице Управление в разделе Модули |
| |
|
| M-A-X |
Отправлено: 18 декабря 2009 — 16:19
|
Advanced Member
Покинул форум
Сообщений всего: 278
Дата рег-ции: Июль 2009
Откуда: Киев
Репутация: 10
|
Александр Михалицын пишет:Ну десятки, не десятки... Но месяца могут... Хотя если пароль: 8Ja5632bajk2378Hss__228sdahj23sdshur3scbsusi,ewsc3228sdhj232ds,
может и десятки.
Ну с десятками то я загнался. Но!
1. Вряд ли кто-то будет находить пароль методом перебора.
Для этого существуют готовые словари с уже просчитанными суммами.
Сравниваются сами суммы. Если они совпадают, то мы нашли, что нужно.
Использование md5(md5()) тоже не спасет, для этого тоже есть словари.
В EXBB афаик используется именно md5(md5()).
Может стоит добатить туда какой-то соли или шифровать 256 битными алгоритмами?
2. Например у нас в паролях разрешены A-zА-я0-9и 20 спецсимволов
имеем
26*2+32*2+10+10=136
Мы имеем
x^136 - количество разных паролей длинной х
Для их зашифровки используется 128 бит - длина md5 суммы.
Составим уравнение:
x^136=2^128
Найдем x ~18.
То есть, брать пароль длиннее 18 символов смысла нет, для него с близкой к 1 вероятностью найдется коллизия с длинной до 18 символов.(Отредактировано автором: 18 декабря 2009 — 16:19) |
| |
|
| Леголегс |
Отправлено: 8 марта 2010 — 01:48
|
Junior Member
Покинул форум
Сообщений всего: 87
Дата рег-ции: Март 2010
Репутация: 12
|
vipraskrutka пишет:electron пишет:который работал на Exbb 0.1.4
так в нем хранится в открытом виде пароль.
Простите, что апаю старую тему, но это клевета. В фуллмодс очень, очень, очень давно пароли хранятся в md5 (хотя и без соли). В 0.1.4 это точно так, я только что посмотрел.
Однако, размеется, ничто не мешает администратору-злоумышленнику на отдельно взятом форуме собрать пароли юзеров. Надо это понимать и делить сайты на важные и неважные. На всех важных должны быть абсолютно разные пароли и ни один из них нельзя светить на неважных. |
| |
|
|
Сайт проекта ExBB
Чат на форуме
Помощь
Поиск
BanList
Описание: где-то видны?
Я думал в Full Mods'ах во всех md5. 