ragazzi io non ne capisco niente ma ho visto che esistono anche siti "bastardissimi"dobbiamo sempre sperare che non esistano le nostre password nei loro db?
http://www.md5decrypter.co.uk/
ragazzi io non ne capisco niente ma ho visto che esistono anche siti "bastardissimi"
http://www.md5decrypter.co.uk/
dobbiamo sperare che l'md5 delle nostre pass non venga esposto piu che altro
eh già
Beh, a parte che sembra un altro MD5, ma ho indicato l'utilizzo di HMAC-MD5 o HMAC-SHA1 o, meglio ancora, HMAC applicato a SHA2 per una sicurezza considerevolmente maggioreOriginariamente inviato da dottwatson
ah si?
e questo come me lo decodifichi?
e soprattutto, in quanto tempo?
codice:5e3bc871b846846975d2d3d2742e12c6
se poi magari la chiave è generata da dati statici (configurati nel sito) più dati specifici dell'utente la chiave è sempre diversa è la cosa può considerevolmente aiutare
---
hanno miliardi di hash con i corrispettivi dati in ingresso, non che sia molto utileOriginariamente inviato da ispuk
ragazzi io non ne capisco niente ma ho visto che esistono anche siti "bastardissimi"
http://www.md5decrypter.co.uk/
cmq, ripeto, utilizzando HMAC-XYZ anche questo viene vanificato ^^
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
una cosa però mi incuriosisce... come fanno i grandi sistemi a dare passwords recuperabili?
io sono sempre restato sul punto fermo in cui una password persa è bruciata oramai, quindi non recuperabile, ma mi chiedo a questo punto come sia possibile con php creare un algoritmo reversibile abbastanza sicuro, e non dico impenetrabile perchè già il fatto di avere un qualcosa che presenta una strada di ritorno è indice di vulnerabilità...
Non sempre essere l'ultimo è un male... almeno non devi guardarti le spalle
il mio profilo su PHPClasses e il mio blog laboweb
La salvano in chiaro o usano la crittografia: personalmente le salvo in chiaroOriginariamente inviato da dottwatson
una cosa però mi incuriosisce... come fanno i grandi sistemi a dare passwords recuperabili?
io sono sempre restato sul punto fermo in cui una password persa è bruciata oramai, quindi non recuperabile, ma mi chiedo a questo punto come sia possibile con php creare un algoritmo reversibile abbastanza sicuro, e non dico impenetrabile perchè già il fatto di avere un qualcosa che presenta una strada di ritorno è indice di vulnerabilità...
Preferisco aumentare la sicurezza in altri modi, ad esempio un bel check su QUALSIASI cosa che arriva nella query string o via post che contenga caratteri particolari o keyword dell'SQL fa scattare un blocco sulla richiesta
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
ma conviene quando sei su hosting condiviso? dove magari non hai possibilità di ottimizzare la sicurezza in maniera indipendente?Originariamente inviato da daniele_dll
La salvano in chiaro o usano la crittografia: personalmente le salvo in chiaro
Preferisco aumentare la sicurezza in altri modi, ad esempio un bel check su QUALSIASI cosa che arriva nella query string o via post che contenga caratteri particolari o keyword dell'SQL fa scattare un blocco sulla richiesta
se mi bucano il serve in hosting, e mi prendono i dati, di chi è la responsabilità? mia che non ho preservato il dato da occhi indiscreti o totale del mantainer? o 50 e 50?
Non sempre essere l'ultimo è un male... almeno non devi guardarti le spalle
il mio profilo su PHPClasses e il mio blog laboweb
personalmente il problema non me lo sono mai posto, gestisco un dedicato dove tengo anche le mie cose ^^
però, se dovessi rispondere direi che se bucano il server (quindi hanno accesso anche al disco, ad esempio tramite qualche script vulnerabile) è possibile scoprire con una certa facilità cosa si usa per la codifica ed avere quindi il necessario per una decodifica
in realtà, se si usa un blowfish come algorittimo per la codifica/decodifica va già più che bene perché tranne che c'è l'hanno con te specificatamente non frugheranno il codice del tuo sito web (premettendo che non si sta usando roba standard ma codice proprio scritto da zero o quasi)
D'altra parte se vogliono farti danno ... specificatamente a te ... una volta visto che i dati nel DB sono codificati ci staranno poco a rintracciare come effettuare la decodifica perché, personalmente, oltre a scaricarmi il DB mi scaricherei anche il codice del sito
The fastest Redis alternative ... cachegrand! https://github.com/danielealbano/cachegrand
Permessi di invio
Rispondi quotando
