Комментарии к записи: Сила MD5: почему MD5 и как применять на практике http://dimoning.ru/sila-md5-pochemu-md5-i-kak-primenyat-na-praktike.html программирование сайтов и скриптов Mon, 06 Sep 2010 06:26:11 +0000 http://wordpress.org/?v=2.9.2 hourly 1 Автор: voff http://dimoning.ru/sila-md5-pochemu-md5-i-kak-primenyat-na-praktike.html/comment-page-1#comment-23978 voff Fri, 01 May 2009 08:28:16 +0000 http://dimoning.ru/?p=1054#comment-23978 Не совсем, самая частый тип инъекций - это когда к select запросу можно добавить union и вывести значения из другой таблицы, вместо тех, которые должны выводиться по замыслу програмера. При этом не update не insert ввполнить не получится. Не совсем, самая частый тип инъекций – это когда к select запросу можно добавить union и вывести значения из другой таблицы, вместо тех, которые должны выводиться по замыслу програмера. При этом не update не insert ввполнить не получится.

]]> Автор: Андрей http://dimoning.ru/sila-md5-pochemu-md5-i-kak-primenyat-na-praktike.html/comment-page-1#comment-23903 Андрей Thu, 30 Apr 2009 18:38:49 +0000 http://dimoning.ru/?p=1054#comment-23903 voff, я в инекциях не силён, в чём принципиальная разница между insert и update? Если можно сделать insert, то можно и replace сделать, если это mysql... voff, я в инекциях не силён, в чём принципиальная разница между insert и update? Если можно сделать insert, то можно и replace сделать, если это mysql…

]]> Автор: voff http://dimoning.ru/sila-md5-pochemu-md5-i-kak-primenyat-na-praktike.html/comment-page-1#comment-23869 voff Thu, 30 Apr 2009 09:33:04 +0000 http://dimoning.ru/?p=1054#comment-23869 Андрей, согласен с тобой, но sql инъекции довольно редко позволяют выполнять update, чаще всего только insert. Андрей, согласен с тобой, но sql инъекции довольно редко позволяют выполнять update, чаще всего только insert.

]]> Автор: Андрей http://dimoning.ru/sila-md5-pochemu-md5-i-kak-primenyat-na-praktike.html/comment-page-1#comment-23867 Андрей Thu, 30 Apr 2009 09:17:27 +0000 http://dimoning.ru/?p=1054#comment-23867 voff, цель хеширования -- не дать узнать пароль. Если есть доступ на выполнение SQL, то можно сделать update users set password=md5('12345'). Решение зависит от задачи, если задача скрыть пароль, то хеш помогает, если другая, то надо думать :) voff, цель хеширования — не дать узнать пароль. Если есть доступ на выполнение SQL, то можно сделать update users set password=md5(‘12345′).

Решение зависит от задачи, если задача скрыть пароль, то хеш помогает, если другая, то надо думать :)

]]> Автор: voff http://dimoning.ru/sila-md5-pochemu-md5-i-kak-primenyat-na-praktike.html/comment-page-1#comment-23861 voff Thu, 30 Apr 2009 06:05:27 +0000 http://dimoning.ru/?p=1054#comment-23861 Андрей, если есть доступ и к исходникам и к базе, то зачем еще что то ломать? Чаще всего в следствии sql инъекции хакер просто может выводить значение полей, например логин и пасс админа, и тут соль очень даже кстати. "а расшифровать его обратно нельзя - слишком моного возможных комбинаций"-- эх... как было бы здорово... ибо "нужно проверять хеш из базы с хешем введенного пароля, который мы создаем “на лету”" Андрей, если есть доступ и к исходникам и к базе, то зачем еще что то ломать? Чаще всего в следствии sql инъекции хакер просто может выводить значение полей, например логин и пасс админа, и тут соль очень даже кстати.

«а расшифровать его обратно нельзя – слишком моного возможных комбинаций»– эх… как было бы здорово… ибо «нужно проверять хеш из базы с хешем введенного пароля, который мы создаем “на лету”»

]]> Автор: Андрей http://dimoning.ru/sila-md5-pochemu-md5-i-kak-primenyat-na-praktike.html/comment-page-1#comment-23789 Андрей Tue, 28 Apr 2009 13:16:09 +0000 http://dimoning.ru/?p=1054#comment-23789 lispad, такой вариант прокатит только в том случае, если пользователь получил доступ к базе, но не получил доступ к исходникам. Если к исходникам доступа нет, то такая штука усложнит перебор md5, а если есть, то ни чем не поможет. Я закладыаюсь на то, что есть доступ как к базе, так и к исходникам. ИМХО лучший вариант -- это большой хеш, который перебрать невозможно в принципе... lispad, такой вариант прокатит только в том случае, если пользователь получил доступ к базе, но не получил доступ к исходникам.

Если к исходникам доступа нет, то такая штука усложнит перебор md5, а если есть, то ни чем не поможет. Я закладыаюсь на то, что есть доступ как к базе, так и к исходникам.

ИМХО лучший вариант — это большой хеш, который перебрать невозможно в принципе…

]]> Автор: lispad http://dimoning.ru/sila-md5-pochemu-md5-i-kak-primenyat-na-praktike.html/comment-page-1#comment-23732 lispad Mon, 27 Apr 2009 16:42:02 +0000 http://dimoning.ru/?p=1054#comment-23732 Щдуп, Андрей, imho как вариант можно добавлять к паролю в начало и в конец мусор потипу "D1Moning12%$^52". На сколько мне известно существующие таблицы не покрывают весь диапазон хешей... А только буквенные/буквенноцифровые,до 8ми или ... в зависимости от крутости сервиса. Щдуп, Андрей, imho как вариант можно добавлять к паролю в начало и в конец мусор потипу «D1Moning12%$^52″.
На сколько мне известно существующие таблицы не покрывают весь диапазон хешей… А только буквенные/буквенноцифровые,до 8ми или … в зависимости от крутости сервиса.

]]> Автор: AngelOfFate http://dimoning.ru/sila-md5-pochemu-md5-i-kak-primenyat-na-praktike.html/comment-page-1#comment-23721 AngelOfFate Mon, 27 Apr 2009 11:50:55 +0000 http://dimoning.ru/?p=1054#comment-23721 о спасибо за пример, я как раз искал нечто подобное для авторизации... о спасибо за пример, я как раз искал нечто подобное для авторизации…

]]> Автор: Андрей http://dimoning.ru/sila-md5-pochemu-md5-i-kak-primenyat-na-praktike.html/comment-page-1#comment-23693 Андрей Mon, 27 Apr 2009 04:27:07 +0000 http://dimoning.ru/?p=1054#comment-23693 2 Щдуп: на сколько ваши данные важны, чтобы тратить кучу ресурсов на подбор md5? Если сильно важны и вы за них боитесь, попробуйте SHA, он, вроде, надёжнее md5... Если этого мало, поищите другие алгоритмы, с длинной ключа 512, 1024, 2048 бит... 2 Щдуп: на сколько ваши данные важны, чтобы тратить кучу ресурсов на подбор md5? Если сильно важны и вы за них боитесь, попробуйте SHA, он, вроде, надёжнее md5… Если этого мало, поищите другие алгоритмы, с длинной ключа 512, 1024, 2048 бит…

]]> Автор: Щдуп http://dimoning.ru/sila-md5-pochemu-md5-i-kak-primenyat-na-praktike.html/comment-page-1#comment-23631 Щдуп Sun, 26 Apr 2009 16:04:02 +0000 http://dimoning.ru/?p=1054#comment-23631 Как бороться с подбором хэшей к паролям Как бороться с подбором хэшей к паролям

]]> Автор: Smarty http://dimoning.ru/sila-md5-pochemu-md5-i-kak-primenyat-na-praktike.html/comment-page-1#comment-23629 Smarty Sun, 26 Apr 2009 15:48:03 +0000 http://dimoning.ru/?p=1054#comment-23629 Лучше шифровать таким способом: md5(md5($pass).$some_word) Лучше шифровать таким способом: md5(md5($pass).$some_word)

]]> Автор: librarian http://dimoning.ru/sila-md5-pochemu-md5-i-kak-primenyat-na-praktike.html/comment-page-1#comment-23628 librarian Sun, 26 Apr 2009 15:40:10 +0000 http://dimoning.ru/?p=1054#comment-23628 И не забудьте про соль, а то Rainbow таблицы сейчас только ленивый не использует И не забудьте про соль, а то Rainbow таблицы сейчас только ленивый не использует

]]>