PHP και κρυπτογράφηση

[HaPagan]

Φτιάχνω μια σελίδα και χρειάζομαι να γίνεται κωδικοποίηση του συνθηματικού του εκάστοτε χρήστη . Αυτό πως μπορεί να γίνει ;

[paravoid]

Tha to kaneis me hashing me md5. Iparxei function stin php md5() kai an ta dedomena ta diabazeis apo MySQL iparxei kai ekei function md5().

Gia perissotera psakse sto Google gia md5, tha breis:)

[zensan]

Einai sovaros o logos tis kryptografisis, diladi prostateuontai evaisthita dedomena? Ean nai tha elega oti to md5 hashing den posferei kapoio idiaitero epipedo asfaleias. Tha mporouses na asxolitheis me allous encryption algorithms opws o DES kai o 3DES. Kane ena search sto google kai tha vreis para polla paradeigmata

[HaPagan]

Βασικά θέλω να τον χρησιμοποιήσω για την σελίδα μου ( www.insomniaprogs.tk ) . Για να γίνεται κρυπτογράφηση του συνθηματικού των χρηστών .

[vtsib]

den exeis para na deis ligo to manual ths mysql.

 

kanontas insert me PASSWORD() tote ginetai kryptografhsh symfwna me ton MD5.

 

 

[javanidhs]

κυριοι το MD5 ειναι μεθοδος hashing ουσιαστικα και οχι κρυπτογραφισης! Σωστα αναφερθηκε (sofiazen) οτι με το να κανεις hashing δηλαδη βαση μια τιμης να παραγεις ενα μοναδικο κλειδι (identifier) δεν κρυπτογραφεις τιποτα!

[Lyman_Zerga]

Γιατί θες να κάνεις κωδικοποίηση του συνθηματικού του χρήστη; Δεν βλέπω τον λογό. Αν θες, εξήγησε το.

[drm]

Το MD5 είναι μέθοδο hashing. Το hashing είναι μία διαδικασία που από ένα κείμενο μεταβλητού μεγέθους παράγει ένα αποτέλσεμα σταθερού μήκους. Βάση πιθανοτήτων είναι "απίθανο" δύο διαφορετικά κείμενα να δώσουν το ίδιο αποτέλεσμα. Επίσης η διαδικασία του hashing είναι μονόδρομη. ΔΕΝ υπάρχει ΚΑΝΕΝΑΣ τρόπος από το αποτέλεσμα να βρεθεί το αρχικό κείμενο.

 

Το hashing χρησιμοποιείτε σε όλα τα σύγχρονα λειτουργικά συστήματα ώς εξής. Όταν δώσει για πρώτη φορα ο χρήστης τον κωδικό του τότε το λειτουργικό αποθηκεύει το Hash-αποτέλεσμα του κωδικού του χρήστη. Όταν ο χρήστης θέλει να κάνει log-on στο σύστημα τότε το λειτουργικό υπολογίζει το hash-αποτέλεσμα του κωδικού που έχει δώσει ο χρήστης και το συγκρίνει με αυτό που έχει στην βάση.

 

Το hashing χρησιμοποιείτε ώστε ούτε το σύστημα να μην ξέρει τον κωδικό του χρήστη.

[HaPagan]

Lyman_Zerga

said:

Γιατί θες να κάνεις κωδικοποίηση του συνθηματικού του χρήστη; Δεν βλέπω τον λογό. Αν θες, εξήγησε το.

 

Γιατί θέλω να προστατέψω τους λογαριασμούς των μελών της σελίδας από διάφορους επιτήδειους που ίσως προσπαθήσουν να "ρουφήξουν" το συνθηματικό .

[mkst]

javanidhs

said:

κυριοι το MD5 ειναι μεθοδος hashing ουσιαστικα και οχι κρυπτογραφισης! Σωστα αναφερθηκε (sofiazen) οτι με το να κανεις hashing δηλαδη βαση μια τιμης να παραγεις ενα μοναδικο κλειδι (identifier) δεν κρυπτογραφεις τιποτα!

 

Nai, alla apo thn stigmh pou den ginetai apo ton identifier na ftaseis sto password sou prosferei prostasia, asxeta an h orologia "kriptografisi" den einai apwlitws swsth... Swsta?

[drm]

Nai, alla apo thn stigmh pou den ginetai apo ton identifier na ftaseis sto password sou prosferei prostasia, asxeta an h orologia "kriptografisi" den einai apwlitws swsth... Swsta?

 

Ναι έχεις δίκιο, παρόλο που το hashing δεν είναι κρυπτογράφηση προσφέρει ασφάλεια. Η ασφάλεια δεν συνίστατε μόνο στην κρυπτογράφηση αλλά σε αρκετές παραμέτρους...

[Lyman_Zerga]

O xrhsths bazei to passwd sthn selida. Kanei submit. To passwd feygei plain text. To kaneis hash meta kai to xrhsimopoieis stis selides poy einai authed me kapoio POST toy styl $pass_hashed=foo. ??

Pali den yparxei asfaleia, afoy arkei na mpw sthn selida symperilambanontas sto POST moy to klemmeno hash, h na faw to passwd thn prwth fora poy ginetai transmited.

An to kaneis hash gia na to baleis se cookie, exei ena nohma, alla kai pali den mporoyme na milhsoyme gia asfaleia, afoy arkei na klapei to cookie toy user (ena CSS/XSS attack, poly common stis meres mas) kai voila.

[javanidhs]

Ωραιος!

 

Lyman αν εχεις την ευχαριστηση μηπως θα μπορουσες να γραψεις 1-2 πραγματα για CSS/XSS attack? Εγω τουλαχιστον δεν ειμαι γνωστης αλλα αν μπορουσες να μας πεις 1-2 στοιχεια..

 

Ευχαριστω!

 

[Lyman_Zerga]

Cross Site Scripting, alias XSS giati CSS einai synh8ws to Cascade Style Sheets.

 

Ayth h epi8esh ginetai apo xrhsth se xrhsth mesw site kai synh8ws exei skopo thn kloph cookies ktl.

As poyme oti kapoios 8elei na parei ton kwdiko soy sto insomnia.gr. An to forum exei problhma XSS, tote 8a postarei ena eidiko post kai otan anoikseis thn selida 8a soy parei to cookie toy insomnia.gr

Ti problhma mporei na exei ena site kai na epitrepei XSS attack? Arkei na mporei o xrhsths na postarei kati ths morfhs '<'script'>' ktl. Etsi, otan kapoios allos anoiksei thn selida, 8a treksei to Javascript topika sto 8yma(afoy to site 8a exei perasei to diko soy scriptaki). Tetoies epi8eseis den epireazoyn to site, ektos kai an to 8yma einai kapoios admin.

Einai h teleytaia moda stis web attacks kai apo thn ereyna poy exw kanei(ws porwmenos me security kai privacy [mhpws prepei na porw8w kai me kana ma8hma twra poy erxetai h eksetastikh?]), para para polla ellhnika sites einai vulnerable, akoma kai apo ta poly gnwsta. Fysika, mia XSS epi8esh mporei na ginei oxi mono se forum, alla se otidhpote kommati toy site poy o xrhsths mporei na balei dedomena. To neworder.box.sk xtyph8hke apo XSS sto search page toy [kataplhktikh idea] Bebaia, kati tetoio apaitei kai ligo social engineering, alla synh8ws den xreiazetai.

 

Reference:

http://cia.zemos.net/xssfaq.txt

 

[javanidhs]

ευχαριστω αγαπητε!

 

Ναι λιγο CSS μου χτυπησε παραξενο , εξαιτιας του Cascading Style Sheets αλλα ηταν προφανες οτι ηταν κατι αλλο!

 

Να σαι καλα!

<img src="http://www.insomnia.gr/ubbthreads/images/graemlins/smile.gif" alt="" />