forum.opennet.ru

Составление сообщения

Исходное сообщение

"Релиз языка программирования PHP 7.3"
Отправлено Ilya Indigo, 07-Дек-18 11:06

>> Особенная, состоящая из статической и динамической части, при этом статическая хранится в конфиге
> Т.е. утекла каким-то образом статическая часть, здравствуй генерация новых паролей.
1 НЕТ! Без динамической части соль бесполезна, для генерации нужна и соль и данные из БД для каждого пользователя!
2 Для password_hash()/password_verify() здравствуй генерация новых паролей By Design!
> А если утекла статическая часть, то какова вероятность того, что злодей знает
> алгоритм готовки хеша?
Если он получил доступ к ssh, то тут, конечно, уже ничего не поможет.
Но если он каким-то образом получил доступ только к MariaDB, причём прецеденты были, то это ему никак не поможет в отличие от password_hash()/password_verify() где достаточно просто всунуть валидную хэш для админа. (P.S. И да id админов в конфиге вручную задаю)
> Соль вообще-то не обязана быть скрытой, она вообще про другое.
Я знаю, но меня не устраивает такой принятый By Design порядок вещей, что можно получив доступ к СУБД тупо вставить хэщ другого пользователя, пароль которого тебе известен или вообще самому сгенерировать её и такой хэш будет валиден.
> Вот, пожалста, хеш пароля, какой он?
> $2y$10$kCkVDOxVduJsFkeD5mVcMO2YxK3/BcV02a0rmse6/KE6qjfDwSGcK
Да мне плевать какой он, я сгенируирую новый стандартным способом, пароль которого буду знать и заменю хэш в таблице админа, сделаю свои тёмные дела, верну старый хеш назад, и про это даже никто не узнает, если конечно в access log не посмотреть, а если админ заходит из той же сети или с телефона такого же оператора то он даже не сможет отличить он это входил или нет.

Исходное сообщение
"Релиз языка программирования PHP 7.3" Отправлено Ilya Indigo, 07-Дек-18 11:06
>> Особенная, состоящая из статической и динамической части, при этом статическая хранится в конфиге > Т.е. утекла каким-то образом статическая часть, здравствуй генерация новых паролей. 1 НЕТ! Без динамической части соль бесполезна, для генерации нужна и соль и данные из БД для каждого пользователя! 2 Для password_hash()/password_verify() здравствуй генерация новых паролей By Design! > А если утекла статическая часть, то какова вероятность того, что злодей знает > алгоритм готовки хеша? Если он получил доступ к ssh, то тут, конечно, уже ничего не поможет. Но если он каким-то образом получил доступ только к MariaDB, причём прецеденты были, то это ему никак не поможет в отличие от password_hash()/password_verify() где достаточно просто всунуть валидную хэш для админа. (P.S. И да id админов в конфиге вручную задаю) > Соль вообще-то не обязана быть скрытой, она вообще про другое. Я знаю, но меня не устраивает такой принятый By Design порядок вещей, что можно получив доступ к СУБД тупо вставить хэщ другого пользователя, пароль которого тебе известен или вообще самому сгенерировать её и такой хэш будет валиден. > Вот, пожалста, хеш пароля, какой он? > $2y$10$kCkVDOxVduJsFkeD5mVcMO2YxK3/BcV02a0rmse6/KE6qjfDwSGcK Да мне плевать какой он, я сгенируирую новый стандартным способом, пароль которого буду знать и заменю хэш в таблице админа, сделаю свои тёмные дела, верну старый хеш назад, и про это даже никто не узнает, если конечно в access log не посмотреть, а если админ заходит из той же сети или с телефона такого же оператора то он даже не сможет отличить он это входил или нет.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

>>> Особенная, состоящая из статической и динамической части, при этом статическая хранится в конфиге 
>> Т.е. утекла каким-то образом статическая часть, здравствуй генерация новых паролей.

> 1 НЕТ! Без динамической части соль бесполезна, для генерации нужна и соль 
> и данные из БД для каждого пользователя!
> 2 Для password_hash()/password_verify() здравствуй генерация новых паролей By Design!

>> А если утекла статическая часть, то какова вероятность того, что злодей знает 
>> алгоритм готовки хеша?

> Если он получил доступ к ssh, то тут, конечно, уже ничего не 
> поможет.
> Но если он каким-то образом получил доступ только к MariaDB, причём прецеденты 
> были, то это ему никак не поможет в отличие от password_hash()/password_verify() 
> где достаточно просто всунуть валидную хэш для админа. (P.S. И да 
> id админов в конфиге вручную задаю) 
>> Соль вообще-то не обязана быть скрытой, она вообще про другое.

> Я знаю, но меня не устраивает такой принятый By Design порядок вещей, 
> что можно получив доступ к СУБД тупо вставить хэщ другого пользователя, 
> пароль которого тебе известен или вообще самому сгенерировать её и такой 
> хэш будет валиден.

>> Вот, пожалста, хеш пароля, какой он?
>> $2y$10$kCkVDOxVduJsFkeD5mVcMO2YxK3/BcV02a0rmse6/KE6qjfDwSGcK

> Да мне плевать какой он, я сгенируирую новый стандартным способом, пароль которого 
> буду знать и заменю хэш в таблице админа, сделаю свои тёмные 
> дела, верну старый хеш назад, и про это даже никто не 
> узнает, если конечно в access log не посмотреть, а если админ 
> заходит из той же сети или с телефона такого же оператора 
> то он даже не сможет отличить он это входил или нет.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру