| Subiectul anterior :: Subiectul următor |
| Autor |
Mesaj |
coditza
Data înscrierii: 23/Ian/2004
Mesaje: 298
Locație: cluj-napoca
|
| Trimis: Lun Iul 26, 2004 5:48 pm Titlul subiectului: criparea parolelor in baza de date |
|
|
niatza, nou subiect de discutie
merita sau nu sa criptam parolele in baza de date
eu spun ca nu.
argumente:
1) daca cineva iti sparge serverul, hence ajunge sa vada ce si cum in baza de date, poi oricat de criptata e parola, deja e in plus.
2) parola aia oricum circula de cele mai multe ori *necodata* intre browser si server... (nu toata lumea pune pentru un login ssl)
3) ii mult mai usor sa "recuperezi" o parola pierduta care e necodata in nici un fel in baza de date... (adik nui mai generezi una, io dai pe aia veche...)
comentarii? |
|
| Sus |
|
Troto
Data înscrierii: 29/Iun/2004
Mesaje: 249
Locație: Brasov
|
| Trimis: Lun Iul 26, 2004 6:07 pm Titlul subiectului: |
|
|
Si eu spun NU
si ai dreptate cu spartul serverului.
Poti sa faci ce vrei daca ai parola de la baza de date sau mai stiu eu de unde.
totusi daca se folosesc parolele si se pun intr-un cookie de exemplu spun DA. Altfel oricune imi poate vedea parola cu care m-am logat. Nu?
Oricum ar fi multe de spus pe tema asta.. dar ami astept pareri ;) |
|
| Sus |
|
smallAdmin
Data înscrierii: 21/Mai/2004
Mesaje: 117
Locație: Bucuresti
|
| Trimis: Lun Iul 26, 2004 6:43 pm Titlul subiectului: Poveste |
|
|
Haideti sa va spun o poveste.
Un amic lucra la o firma care a facut un site ce a ajuns sa aiba nenumarati membri. Parolele erau tinute in clar. La 75% din membri cu adrese @yahoo.com sau @hotmail.com mergea aceeasi parola. Citeau baietii mei mailurile oamenilor fara probleme.
Eu cand imi fac un cont, am o parola standard pe care o mereu pe unde imi fac un cont nou. In momentul in care cer trimiterea parolei, daca e aceeasi n-o mai schimb niciodata, iar programatorii/proprietarii site-ului scad in ochii mei.
Iar discutia nu e despre securitate, e despre privacy. |
|
| Sus |
|
Troto
Data înscrierii: 29/Iun/2004
Mesaje: 249
Locație: Brasov
|
| Trimis: Lun Iul 26, 2004 8:10 pm Titlul subiectului: |
|
|
Pai problema e de securitate si nu de privacy
Ce ? eu pot sa iau si phpbb-ul... sa il modific si aflu toate parolele utilizatorilor mei. Ce e asa mare scofala?
Daca tu ai site-ul.. tu ai totul. |
|
| Sus |
|
smallAdmin
Data înscrierii: 21/Mai/2004
Mesaje: 117
Locație: Bucuresti
|
| Trimis: Lun Iul 26, 2004 8:28 pm Titlul subiectului: |
|
|
Troto a scris: Pai problema e de securitate si nu de privacy
Ce ? eu pot sa iau si phpbb-ul... sa il modific si aflu toate parolele utilizatorilor mei. Ce e asa mare scofala?
securitate in caz ca ce ? pe mine ca user nu ma afecteaza asa rau ca-ti sparge tie serverul. il sparge, asta e.
si phpbb-ul poti sa-l modifici... tocmai d'aia spuneam ca e vorba de bun simt pana la urma.
md5 e totusi un algoritm destul de sigur. iti ia ceva vreme sa descifrezi 1000 de parole, sa zicem. |
|
| Sus |
|
Troto
Data înscrierii: 29/Iun/2004
Mesaje: 249
Locație: Brasov
|
| Trimis: Lun Iul 26, 2004 10:58 pm Titlul subiectului: |
|
|
Pai problema e de securitate si pt useri. poate nu pentru toti, dar pentru unii sigur. poate au informatii vulnerabile pentru ei. Bine.. daca cineva sparge un site nu cred ca il sparg pentru a afla ceva de la un user si mai mult pentur informatiile site-ului propriu-zis.
ca sa spargi md5 se poate numa prin bruteforce. Am scris odata un algoritm pentru asa ceva, si i-a luat cam 1 minut jumate pentru a sparge o parola de 4 caractere :)
Oricum nu asa le poti lua daca este cazut si vrei sa faci asa ceva. Se poate modifica scriptul ca atunci cand cineva isi introduce datele de logare sa ti le triita pe mail sau sa le salveze undeva , etc :D
si da.. este totusi o chestie de bun simt si privacy |
|
| Sus |
|
stealth
Data înscrierii: 21/Iun/2004
Mesaje: 304
Locație: Timisoara
|
| Trimis: Mar Iul 27, 2004 4:05 am Titlul subiectului: |
|
|
Mie nu mi se pare corect din cauza ca multi din cei ce vor avea cont pe site-ul in cauza vor alege aceeasi parola ce au ales-o la e-mail si asa mai departe. Este o chestiune strict de bunul simt.
Apoi, pe de alta parte, este singura metoda ca sa permiti utilizatorilor sa isi recupereze parola. Daca este criptata in baza de date, va functiona doar resetarea. |
|
| Sus |
|
smallAdmin
Data înscrierii: 21/Mai/2004
Mesaje: 117
Locație: Bucuresti
|
| Trimis: Mar Iul 27, 2004 8:23 am Titlul subiectului: |
|
|
stealth a scris: Apoi, pe de alta parte, este singura metoda ca sa permiti utilizatorilor sa isi recupereze parola. Daca este criptata in baza de date, va functiona doar resetarea.
Daca si-a uitat parola, cred ca ii e indiferent daca e tot aia sau nu |
|
| Sus |
|
Radical
Data înscrierii: 16/Feb/2004
Mesaje: 327
Locație: Bucuresti
|
| Trimis: Mar Iul 27, 2004 11:16 am Titlul subiectului: XML |
|
|
Modificari la mine pe site pot face doar membri... care oricum se afla in "membri_contacte" cu toate datele... asa ca am decis sa schimb metoda de autentificare... am renuntat la username & password...
Generez automat un fisier XML cu neste chestii prin el... si il trimit prin email... si ii spun omului sa il "puna bine"...
La autentificare... il rog frumos sa il uploadeze... mai avantajos si la "deranjul" utilizatorilor... care acuma fac click...click...click...click... si gata...
Apoi cate verificari se fac pe datele de acolo... Dumnezeu cu mila... ca o virgula daca schimba "pa pa autentificare"... (ValidFrom & ValidUntil... included)
Dupa ce are fishierul ii dau si drepturi la cerere...
Daca pierde fishierul poate sa isi trimita altul singur prin email de pe site... drepturile se pastreaza... ca sunt pastrate la mine in DB...
Astfel am scapt de "merita sau nu sa criptam parolele in baza de date"...
AnyWay... eu nu am criptat niciodata parolele in baza de date... pentru ca la
"SELECT Host FROM `mysql`.`user`"
mi se raspunde paranoic cu
"localhost","localhost","localhost","localhost","localhost","localhost","localhost", "amr.b.astral.ro" |
|
| Sus |
|
Zamolxe
Data înscrierii: 14/Ian/2003
Mesaje: 126
Locație: Bucharest
|
| Trimis: Mie Iul 28, 2004 12:41 pm Titlul subiectului: re |
|
|
salut
aveti dreptate cu parolele, trebuie criptate intr-un fel. cel mai bine ar fi md5 cu un string secret.
md5 simplu este deja vulnerabil: http://passcracking.com <- sparge hashul md5 in 24 ore.
in nici un caz parola nu trebuie sa fie raw in baza de date, chit ca folosesti sesiuni sau cookie. daca chiar esti maniac 8) , faci o tabela separata si cu un cron ii dai backup si truncate la anumite intervale de timp.
serban |
|
| Sus |
|
arond
Data înscrierii: 11/Mar/2004
Mesaje: 580
Locație: 127.0.0.1
|
| Trimis: Mie Iul 28, 2004 2:57 pm Titlul subiectului: |
|
|
[ontopic]
Nu are importanta. Ca le criptezi sau nu, e aceeasi mancare de peste.
Singura situatie in care ai vrea sa le criptezi este daca, din varii ratiuni, are acces la baza de date cineva care nu e tocmai de incredere (angajat, etc) si care n-o sa iti dea baza de date peste cap da' e si el curios sa vada ce face user-ul xyz :). In felul asta o sa-i fie mai greu (dar nu cu mult :)).
Si oricum folositi cu incredere SSL la signup/login/etc, altfel securitatea voastra se duce exact pe apa sambetei.
[/ontopic]
[offtopic]
Vad ca se face si aici confuzia intre criptare si hashing. MD5 e un algoritm de one-way hashing, nu de criptare.
Si e unidirectional, dintr-un hash MD5 nu poti sa obtii mesajul initial (parola) (nu vorbesc aici de brute force, care n-are legatura).
[/offtopic]
Numa' bune. |
|
| Sus |
|
Zamolxe
Data înscrierii: 14/Ian/2003
Mesaje: 126
Locație: Bucharest
|
| Trimis: Mie Iul 28, 2004 5:56 pm Titlul subiectului: re |
|
|
in toate cazurile este normal sa folosesti hash (vorbesc de php) pentru datele sensibile.
am doua exemple concrete, pe care le-am si testat cu succes pe anumite site-uri:
1. site-ul foloseste cookie in care retine user/pass/data/limba
Fac un iframe sau un XSS pe unul din url-urile din site, si trimit calea unuia dintre utilizatorii site-ului (admins, moderators), fur cookieul => parola in raw
2. folosesc sesiuni. majoritatea serverelor (configurate prost - 80%), folosesc acelasi director /tmp pentru stocarea sesiunilor, unde toata lumea are acces de read/write. aici se ajunge la situatia de la punctul 1, vad parola in raw.
ssl nu te ajuta din pacate in niciunul din cazurile de mai sus.
solutia optima: hash de parola + string secret. sau has de parola + string secret + data la care este inscris userul (ca sa complici putin lucrurile).
serban |
|
| Sus |
|
coditza
Data înscrierii: 23/Ian/2004
Mesaje: 298
Locație: cluj-napoca
|
| Trimis: Mie Aug 04, 2004 8:11 pm Titlul subiectului: |
|
|
in toate aplicatiile pe care le-am facut, parola circula intre browser si server doar cand userul se loga. si eventual cand isi schimba sau uita parola. deci numai in baza de date exista parola aia necriptata...
+
aproape toate turorialele pe care le-am vazut de login tralallaa, foloseau ceva de genu:
" ... where password = md5('$password')";
adica parola era criptata abea in mysql, in php era tot raw... so, where is the security there?
solutia cea mai buna (care implica si pastrarea parolei criptate in db, este sa o intruduci direct criptata dupa un algoritm oarecare din afara mysql-ului... asa cum face yahoo mail cand dai pe "secure conection blabla" |
|
| Sus |
|
stealth
Data înscrierii: 21/Iun/2004
Mesaje: 304
Locație: Timisoara
|
| Trimis: Joi Aug 05, 2004 12:00 pm Titlul subiectului: |
|
|
| Yahoo mail, cand dai pe secure conection face acelasi lucru, dar se foloseste de avantajele SSL |
|
| Sus |
|
Pirahna
Data înscrierii: 22/Aug/2004
Mesaje: 4337
Locație: la birou
|
| Trimis: Dum Sep 05, 2004 10:44 pm Titlul subiectului: |
|
|
| eu as folosi md5-ul ... e super folositor ... |
|
| Sus |
|
PHPRomania Bot
Bot Member
Data înscrierii: 27/Dec/2007
Mesaje: 1
Locaţie: Server Google |
| Trimis: Mie Dec 26, 2007 7:01 pm Titlul subiectului: Ad |
|
|
|
|
|
| Sus |
|
| |
