HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > ПРОГРАММИРОВАНИЕ > PHP
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #11  
Старый 29.02.2008, 14:22
Isis
Флудер
Регистрация: 20.11.2006
Сообщений: 3,315
С нами: 10248806

Репутация: 2371


По умолчанию

PHP код:
<?php
$key 
= (CRYPT_STD_DES == 1) ? substr(sha1('xyu'.md5('pizda'.base64_encode('siski'.strrev($_COOKIE['ip'].crypt('PASSWORD''sugar')).'xek').'gay').'crypt'), 313)    : '';
echo 
$key;
?>
Вот такие вот пароленги у меня храняцо + если скрипт закодирован не скажу как..
Шансов 0
 
Ответить с цитированием

  #12  
Старый 29.02.2008, 14:35
Noiro
Познающий
Регистрация: 01.01.2008
Сообщений: 50
С нами: 9662713

Репутация: 71
По умолчанию

Цитата:
Сообщение от blackybr  
с тех пор как паспро стал модульным, это не актуально
Гммм, действительно, это я не учел. Тем более, если злоумышленник получает доступ к нешифрованным исходникам, то dll'ку с используемым алгоритмом добавить проблемы не составит.
Как вариант, использовать ресурсоёмкие алгоритмы по принципу MD5(UNIX), последовательно хешируя пароль несколько тысяч раз.
 
Ответить с цитированием

  #13  
Старый 29.02.2008, 14:39
Grey
Познавший АНТИЧАТ
Регистрация: 10.06.2006
Сообщений: 1,113
С нами: 10483586

Репутация: 5826


По умолчанию

Цитата:
Сообщение от Noiro  
Гммм, действительно, это я не учел. Тем более, если злоумышленник получает доступ к нешифрованным исходникам, то dll'ку с используемым алгоритмом добавить проблемы не составит.
Как вариант, использовать ресурсоёмкие алгоритмы по принципу MD5(UNIX), последовательно хешируя пароль несколько тысяч раз.
Дурак? Ты не думал о том что в веб-приложениях скорость выполнения сценария критична? Кому нужен двиг в котором что бы просто залогинится нужно ждать минут 10, а если пользователей одновременно 100,200,1000? Не думаю что каждый сервак справится с такой нагрузкой, если вообще справится.

Алгоритм должен быть оптимальным во всех отношениях.
 
Ответить с цитированием

  #14  
Старый 29.02.2008, 14:47
guest3297
Banned
Регистрация: 27.06.2006
Сообщений: 1,614
С нами: 10459106

Репутация: 2996


По умолчанию

Умные хакеры всегда, смотрят исходники что как зашифровано и закодированно, так что вы всосете!
 
Ответить с цитированием

  #15  
Старый 29.02.2008, 14:54
nc.STRIEM
Members of Antichat - Level 5
Регистрация: 05.04.2006
Сообщений: 1,066
С нами: 10578566

Репутация: 1228


По умолчанию

тема херня, способов масса, и зная алгоритм брутиться все

Последний раз редактировалось nc.STRIEM; 29.02.2008 в 14:59..
 
Ответить с цитированием

  #16  
Старый 29.02.2008, 14:59
Noiro
Познающий
Регистрация: 01.01.2008
Сообщений: 50
С нами: 9662713

Репутация: 71
По умолчанию

Цитата:
Сообщение от Grey  
Дурак? Ты не думал о том что в веб-приложениях скорость выполнения сценария критична? Кому нужен двиг в котором что бы просто залогинится нужно ждать минут 10, а если пользователей одновременно 100,200,1000? Не думаю что каждый сервак справится с такой нагрузкой, если вообще справится.

Алгоритм должен быть оптимальным во всех отношениях.
Какие простите 10 минут ?
Извольте проверять ваши предположения перед тем как называть других дураками.
PHP код:
cat md510ktest.php
<?php
$p 
$argv[1];
for(
$i=0;$i<10000;$i++)
{
        
$p md5($p);
}
echo 
$p;
?>
time php md510ktest.php testtt4nuiehgiuheirhieuhrfiuheirfhierfhieuhrfihweifhriewhrfuhewoirfhiuh1
d40cc7fa978e4ee2da5223d99e1bbaaf
real    0m0.109s
user    0m0.080s
sys     0m0.020s
time php md510ktest.php testtt4nuiehgiuheirhieuhrfiuheirfhierfhieuhrfihweifhriewhrfuhewoirfhiuh2
0c03a4f78c217722f8cde1e94fbdc5e8
real    0m0.128s
user    0m0.100s
sys     0m0.020s
time php md510ktest.php testtt4nuiehgiuheirhieuhrfiuheirfhierfhieuhrfihweifhriewhrfuhewoirfhiuh3
6974816458cb1f75e6cdf38989748c22
real    0m0.104s
user    0m0.070s
sys     0m0.020s
time php md510ktest.php testtt4nuiehgiuheirhieuhrfiuheirfhierfhieuhrfihweifhriewhrfuhewoirfhiuh4
6c37418683998e2ec8cc2307eed57ad7
real    0m0.110s
user    0m0.090s
sys     0m0.010s
time php md510ktest.php testtt4nuiehgiuheirhieuhrfiuheirfhierfhieuhrfihweifhriewhrfuhewoirfhiuh5
648fe28643dcfbafc3781dc81ae26f79
real    0m0.138s
user    0m0.080s
sys     0m0.040s
Далее.
Проверка хеша - операция сравнительно редкая, по сути используемая только в первичной аутентификации и регистрации.
Потратить на неё ресурсов в 100-10000 раз больше чем обычно - ИМХО вполне допустимо.
 
Ответить с цитированием

  #17  
Старый 29.02.2008, 15:04
Grey
Познавший АНТИЧАТ
Регистрация: 10.06.2006
Сообщений: 1,113
С нами: 10483586

Репутация: 5826


По умолчанию

Цитата:
Сообщение от Noiro  
Как вариант, использовать ресурсоёмкие алгоритмы по принципу MD5(UNIX), последовательно хешируя пароль несколько тысяч раз.
Цитата:
Сообщение от Noiro  
Какие простите 10 минут ?
Код:
$p = md5($p);
Мд5 Юникс, это не тоже самое что мд5() в пхп, скорость хеширования отличается существенно. Ты написал про MD5 UNIX, а на примере показал мд5(), ты попробуй прогони MD5 UNIX раз этак тысячу, а потом уже говори что либо.

Последний раз редактировалось Grey; 29.02.2008 в 15:07..
 
Ответить с цитированием

  #18  
Старый 29.02.2008, 15:08
Noiro
Познающий
Регистрация: 01.01.2008
Сообщений: 50
С нами: 9662713

Репутация: 71
По умолчанию

Цитата:
Сообщение от Grey  
Мд5 Юникс, это не тоже самое что мд5() в пхп, скорость хеширования отличается существенно. Ты написал про MD5(UNIX), а на примере показал мд5(), ты попробуй прогони MD5(UNIX) раз этак тысячу, а потом уже говори что либо.
Цитата:
Как вариант, использовать ресурсоёмкие алгоритмы по принципу MD5(UNIX), последовательно хешируя пароль несколько тысяч раз.
Я НЕ писал о последовательном применении MD5(UNIX), я писал о применении алгоритмов, использующих идеи MD5(UNIX). Разница надеюсь очевидна ?
MD5(UNIX) от обычного md5 в часности и отличается циклическим применением последнего в первом несколько тысяч раз.
 
Ответить с цитированием

  #19  
Старый 29.02.2008, 15:14
Grey
Познавший АНТИЧАТ
Регистрация: 10.06.2006
Сообщений: 1,113
С нами: 10483586

Репутация: 5826


По умолчанию

Цитата:
Сообщение от Noiro  
MD5(UNIX) от обычного md5 в часности и отличается циклическим применением последнего в первом несколько тысяч раз.
Ты всеравно не думаешь о последствиях, если пароль будет хешироваться тысячу раз, то сервак намного легче задосить (написать скрипт который будет постоянно кидать пасс не сложно, а вот из-за такого хеширования нагрузка будет более существенной), т.к. такую направленную нагрузку он не выдержит.
 
Ответить с цитированием

  #20  
Старый 29.02.2008, 15:18
nc.STRIEM
Members of Antichat - Level 5
Регистрация: 05.04.2006
Сообщений: 1,066
С нами: 10578566

Репутация: 1228


По умолчанию

при увеличение количества операция взятия хеша, число возможных коллизий увеличиваеться в геометрической прогрессии
 
Ответить с цитированием
Ответ



Предыдущая тема Следующая тема
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
хеширование в Smf F_taker Криптография, расшифровка хешей 3 19.01.2006 22:54



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.