MyCity » Web programiranje -> PHP » Koliko je sigurno cuvanje md5 passworda u cookie?

Koliko je sigurno cuvanje md5 passworda u cookie?

Napisano na dan: 17.3.2007

Strana:
1
2

Koliko je sigurno cuvanje md5 passworda u cookie?

Sledeća strana

Pagination

Odgovori

Strana:
1
2

taksistaZR Poslao: 17 Mar 2007 03:10 Idi na vrh
offline taksistaZR Građanin Pridružio: 07 Okt 2006 Poruke: 34 Gde živiš: Zrenjanin	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Koliko je sigurno cuvanje md5 passworda u cookie ako se zna da se cookie mogu presresti (ukrasti), a na internetu postoje baze sa puno razbijenih md5 hash lozinki? Recimo da je: korisnicko ime - proba lozinka - proba Ako neko uspe da presretne cookie dobice informacije: korisnicko ime - proba lozinka - c0a8e1e5e307cc5b33819b387b5f01fd Sada je potrebno samo da nadje neku bazu sa md5 lozinkama npr tmto.org/?category=main&page=search_md5 i umesto hasha dobice string sa kojim moze da se uloguje... Da li neko moze da mi objasni kako povecati zastitu, odnosno na md5 dodati jos neku vrstu zastite i kako to sve odraditi u praksi?

Profil
Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.

bobby Poslao: 17 Mar 2007 09:17 Idi na vrh
offline bobby Administrator Pridružio: 04 Sep 2003 Poruke: 24135 Gde živiš: Wien	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Ili da napravis svoju hash rutinu, ili koristi neku jacu, tipa SHA-1.

Profil

taksistaZR Poslao: 17 Mar 2007 12:49 Idi na vrh
offline taksistaZR Građanin Pridružio: 07 Okt 2006 Poruke: 34 Gde živiš: Zrenjanin	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! taksistaZR :: Da li neko moze da mi objasni kako povecati zastitu, odnosno na md5 dodati jos neku vrstu zastite i kako to sve odraditi u praksi? bobby :: Ili da napravis svoju hash rutinu, ili koristi neku jacu, tipa SHA-1. Da li to znaci da mogu pass da cuvam kao npr md5+neki broj+jos nesto i ako moze neki primer koda za to...

Profil

Blood Poslao: 17 Mar 2007 14:30 Idi na vrh
offline Blood Ugledni građanin Pridružio: 26 Jul 2003 Poruke: 384 Gde živiš: Beograd	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! pazi, jedna od praksi ti je da hashujes username i lozinku zajedno kao lozinku znaci `md5($username.$pass);`

Profil

bobby Poslao: 17 Mar 2007 15:03 Idi na vrh
offline bobby Administrator Pridružio: 04 Sep 2003 Poruke: 24135 Gde živiš: Wien	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Osim ovoga sto ti je Blood rekao (a sto je odlican predlog) mozes da napravis Salt i da ga ukombinujes u MD5. Podseti me da ti kasnije veceras napisem nesto o ovome, posto mi sada stizu gosti.

Profil

taksistaZR Poslao: 18 Mar 2007 02:25 Idi na vrh
offline taksistaZR Građanin Pridružio: 07 Okt 2006 Poruke: 34 Gde živiš: Zrenjanin	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Blood ::pazi, jedna od praksi ti je da hashujes username i lozinku zajedno kao lozinku znaci `md5($username.$pass);` Ok... to će malo da zakomplikuje stvari, ali ponovo se dobija md5 hash koji se može lako razbiti pomoću već pomenutih baza na internetu. U tom slučaju rezultat je probaproba i nije teško provaliti šta bi mogao biti password... Kako da najbolje napravim svoju hash rutinu?

Profil

Peca Poslao: 18 Mar 2007 02:40 Idi na vrh
offline Peca Glavni Administrator Predrag Damnjanović SysAdmin i programer Pridružio: 17 Apr 2003 Poruke: 23211 Gde živiš: Niš	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! napravi sesije... ideja je sledeca: - korisnik se loguje sa user i pass - ako se uspesno loguje, u bazi kreiras neki random string, tzv. session_id, koji izgleda recimo ovako: d8f3384h2df1fa1736f282747d3bbad1 - taj string mu ubacis u cookie, i naravno, sacuvas ga u bazi - kad korisnik sledeci put dodje na sajt, poveris da li se UserID i sesija iz cookies-a poklapa sa UserID i sesijom iz baze... Tako se user i pass samo jednom koriste, prilikom prvog logovanja. Svaki drugi put ga prepoznajes po sesiji... Taj sistem recimo koristi phpBB, kao i Mycity forum.

Profil

taksistaZR Poslao: 18 Mar 2007 23:15 Idi na vrh
offline taksistaZR Građanin Pridružio: 07 Okt 2006 Poruke: 34 Gde živiš: Zrenjanin	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Ok Peco, to je sistem sa sesijama i on je bezbedniji od cookies pošto se informacije čuvaju na serveru sve dok se ne omogući korisniku pamćenje logina, a tu se opet pojavljuju cookie koji čuvaju session_id i postoji mogućnost da se njihov sadržaj presretne... To mi čak deluje kao veća rupa od md5 hash'ovanog passworda pošto dobijaš sadržaj cookia crno na belo... Većina rešenja koja sam našao na netu su slična tome što si ti meni objasnio, ali očito ne kontam najjasnije neke stvari u svemu tome pošto ne vidim zbog čega je session kada se dozvoli pamćenje logina sigurniji od cookie ? Izgleda da to presretanje cookie na relaciji server klijent i obrnuto nije uopste toliko jednostavno koliko sam ja mislio i da je md5 password sasvim dovoljna zaštita uz dodatak još nekih stvarčica koji bi zbunili eventualnog napadača. Da li je moguće odraditi nešto kao ovo , a da ima efekta: md5 prva dva karaktera passworda + neki br + md5 sledeća dva karaktera + moja registracija kola(lupam) + md5 ostatka pasworda + trenutno vreme u sekundama i tako neke gluposti pa sve to strpati u cookie i bazu kao password i to proveravati kada korisnik ponovo dođe na sajt ?

Profil

bobby Poslao: 18 Mar 2007 23:31 Idi na vrh
offline bobby Administrator Pridružio: 04 Sep 2003 Poruke: 24135 Gde živiš: Wien	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Ovo zadnje sto si spomenuo je upravo salt. Tako Unix/Linux cuva passworde usera. Generisi na serveru MD5 passworda i generisi jedan random broj duzine recimo 6. Tih 6 cifara nakaci na kraj MD5 hasha, ili ih rasporedi onako kako si ti malopre napisao. Rezultat zapamti u bazi i u cookiju. Kada user treba ponovo da se uloguje na sajt, ti moras iz cookija da procitas MD5+salt, da bi imao salt koji ces uporediti sa onim u bazi (ukombinovanog u MD5 koji ces da izracunas iz logina). Zar nemas mogucnos ubacivanja SHA1? Za njega ne verujem da je neko pravio Ranibow tabele.

Profil

Blood Poslao: 18 Mar 2007 23:34 Idi na vrh
offline Blood Ugledni građanin Pridružio: 26 Jul 2003 Poruke: 384 Gde živiš: Beograd	0Niko još nije pohvalio poruku. Registruj se da bi pohvalio/la poruku! Pa moguce je napraviti i to sto ti pricas, ali je totalno nepotrebno. Te baze sa md5 siframa su napravljene na osnovu nekog recnika, ali ako spojis dve reci, tesko da ce se naci razbijen md5 za to. Recimo, ja znam sigurno da rec "taksistaZRmojalozinka" ne postoji, i 99% sam siguran da je nema ni u jednoj wordlisti, dictionary-ju itd itb.

Profil

MyCity » Web programiranje -> PHP » Koliko je sigurno cuvanje md5 passworda u cookie?

Ko je trenutno na forumu

Ukupno su 1246 korisnika na forumu :: 48 registrovanih, 9 sakrivenih i 1189 gosta :: [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:: Korisnici trenutno na forumu: A.R.Chafee.Jr., amaterSRB, Andrija357, cavatina, cifra, darkojbn, Denaya, doktor1964, DonRumataEstorski, dragoljub11987, FOX, Georgius, goxin, havoc995, ikan, Istman, ivica976, jackreacher011011, JOntra, Karla, ksyyaj, M1los, mercedesamg, mikrimaus, milenko crazy north, Mixelotti, nemkea71, nenad81, nextyamb, opt1, pein, Petarvu, Raso75, robert1979, rodoljub, royst33, sasa76, Sirius, solic, stalja, Steeeefan, theNedjeljko, Tvrtko I, wizzardone, yrraf, YugoSlav, zziko, 1107

Svaki korisnik ovog sajta je odgovoran za sadržaj svoje poruke koju objavi na sajtu. Sajt se odriče svake odgovornosti za sadržaj tih poruka.
Postavljanjem vaše poruke ili vašeg autorskog dela na ovaj sajt, saglasni ste da ovaj sajt postaje distributer vašeg dela, i odričete se mogućnosti njegovog povlačenja ili brisanja, bez saglasnosti uprave sajta.
Distribucija sadržaja sa ovog sajta je dozvoljena samo u nekomercijalne svrhe, uz obaveznu napomenu da je sadržaj preuzet sa ovog sajta, i uz obavezno navođenje adrese MyCity sajta. Za sve ostale vidove distribucije obavezni ste da prethodno zatražite odobrenje od vlasnika MyCity sajta.
MyCity pokrenuo, administrira i razvija Predrag Damnjanović, a o uređenju sajta se brine MyCity Tim.
Ukoliko želite da nas kontaktirate kliknite ovde.
Naši sajtovi:
Vesti, Vojni forum, Zaštita od virusa, TekstPesme.rs

This content is licensed under a Creative Commons License.
Based on phpBB 2, translated by Simke, designed by