Koliko je sigurno cuvanje md5 passworda u cookie?

2

Koliko je sigurno cuvanje md5 passworda u cookie?

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Te baze (Rainbow Tables) su generisane od svih mogucih kombinacija slova i brojeva, pitanje je samo do koje su duzine reci stigli sa proracunima.
Ja ne znam ni za jednu javnu ili privatnu RT da ide do preko 12 slova, jer su to vec nekih desetak GB podataka.



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Peca  Male
  • Glavni Administrator
  • Predrag Damnjanović
  • SysAdmin i programer
  • Pridružio: 17 Apr 2003
  • Poruke: 23211
  • Gde živiš: Niš

taksistaZR ::Ok Peco, to je sistem sa sesijama i on je bezbedniji od cookies pošto se informacije čuvaju na serveru sve dok se ne omogući korisniku pamćenje logina, a tu se opet pojavljuju cookie koji čuvaju session_id i postoji mogućnost da se njihov sadržaj presretne...
Pa ideja je da ne cuvas ni plain pass u cookies, niti md5 pass.
Cookie je jedini 'medijum' za obelezavanje korisnika, ako se to presretne - sve pada u vodu, bilo kakav algoritam, pa cak i tvoj, razlika ne postoji.

Jedino da session_id vezes za IP, i da samo za IP, koji je korisnik imao pri logovanju, vazi taj session_id.
Tako i ako session_id procuri - on je neupotrebljiv ako nemas isti IP kao korisnik.
Ali onda ce korisnici morati da se loguju cim im se promeni IP, a dinamicku IP adresu imaju skoro svi.
Eventualno da se vezes samo za prva tri dela IP adrese [XXX.XXX.XXX.xxx], i +/- 5 broja treceg dela, pa da ne resetiras sesiju ako je isti provajder...



offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

A da se stavi kratak zivot cookija (max. 5 minuta), i da se salje novi coockie sa svakim klikom na neki link na sajtu?
Mislim na to saituaciju kada je session_id u cookiju.

offline
  • Pridružio: 07 Okt 2006
  • Poruke: 34
  • Gde živiš: Zrenjanin

bobby ::
Zar nemas mogucnos ubacivanja SHA1? Za njega ne verujem da je neko pravio Ranibow tabele.


Iskreno ne znam ništa o SHA1 , nisam ga nikad koristio.

Mislim da ću ipak napraviti md5 + salt da bude veći od 12 cifara i to bi trebalo da bude sasvim dovoljna zaštita.

Jel može neko da napiše nešto o SHA1 ?

offline
  • Pridružio: 04 Sep 2003
  • Poruke: 24135
  • Gde živiš: Wien

Ma isto hash kao i MD5, ali 160 bita umesto 128 i malo komplikovaniji nacin racunanja koji je otporniji na kolizije.

offline
  • Pridružio: 07 Okt 2006
  • Poruke: 34
  • Gde živiš: Zrenjanin

Primer iz manuala za SHA1
<?php $str = 'apple';                       if (sha1($str) === 'd0be2dc421be4fcd0172e5afceea3970e2f3d940') {    echo "Would you like a green or red apple?";    exit; } ?>

Da li to znači da mogu da ga koristim isto kao md5?
sha1($pass) i dobijam 40-o karakterni heksidecimalni broj za hash?

Dopuna: 19 Mar 2007 0:50

Ok .. hvala @bobby i ostalima na odgovorima!

offline
  • Blood  Male
  • Ugledni građanin
  • Pridružio: 26 Jul 2003
  • Poruke: 384
  • Gde živiš: Beograd

taksistaZR ::
Da li to znači da mogu da ga koristim isto kao md5?
sha1($pass) i dobijam 40-o karakterni heksidecimalni broj za hash?



jeste, upravo to znaci

Ko je trenutno na forumu
 

Ukupno su 1043 korisnika na forumu :: 40 registrovanih, 9 sakrivenih i 994 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 3466 - dana 01 Jun 2021 17:07

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: A.R.Chafee.Jr., AF-1, airsuba, amaterSRB, bojcistv, Boris BM, CikaKURE, DonRumataEstorski, draganl, FOX, Georgius, HogarStrashni, hooraay, HrcAk47, ILGromovnik, Ilija Cvorovic, JOntra, Karla, Krvava Devetka, Kvazar, kybonacci, Lieutenant, Luka Blažević, milenko crazy north, Milometer, nemkea71, nick79, nuke92, Parker, procesor, Ripanjac, sasa87, Shinobi, Sirius, sovanova95, Srle993, stegonosa, vathra, vukovi, |_MeD_|