Forse ti sfugge che con questo metodo non e' piu' necessario intercettare la password... basta intercettare l'hash che e' in chiaro e reinviare quello ...
Forse ti sfugge che con questo metodo non e' piu' necessario intercettare la password... basta intercettare l'hash che e' in chiaro e reinviare quello ...
Il guaio per i poveri computers e' che sono gli uomini a comandarli.
Attenzione ai titoli delle discussioni: (ri)leggete il regolamento
Consultate la discussione in rilievo: script / discussioni utili
Usate la funzione di Ricerca del Forum
no non mi sfugge.Originariamente inviata da br1
Forse ti sfugge che con questo metodo non e' piu' necessario intercettare la password... basta intercettare l'hash che e' in chiaro...
ma io nel campo password non ci scrivo l'hash.
se ce lo scrivessi, risulterebbe cmq password errata (andrei a calcolare l'hash dell'hash).
e quindi dovrebbero prima risalire alla parola da cui deriva l'hash.
sicuramente una rottura in più, no?
a meno che non sia banale questa operazione, e allora ovviamente le due cose sono equivalenti.
ma pensavo di no....
Qualsiasi cosa invii tra client e server in chiaro, pu� essere riutilizzata da chiunque intercetti i dati in transito. Non ha importanza se � un hash o una stringa criptata o ancora in chiaro, tanto una terza parte la pu� copiare cos� com'� e inviarla a sua volta.
Se invece il tuo intento è nascondere le password ad un eventuale male intenzionato che ha accesso al database, allora stai facendo in maniera corretta, ma non è necessario coinvolgere il client in questo caso, lavori solo sul server.
Ultima modifica di U235; 22-02-2017 a 17:20
Permessi di invio
Rispondi quotando