Md5

[ignorantone]

Allora la mia domanda è piuttosto semplice.
Forse scema.

Cme funziona la funzione md5? O meglio a cosa serve?

Grazie per le risposte eventuali

[iraiscoming223]

l'algoritmo md5 permette di criptare delle stringhe, restituendo a sua volta una stringa alfanumerica di 16 (o 32?) caratteri. L'algoritmo è a una sola via, il che significa che una volta criptata la scritta non puoi più ricavare dalla stringa criptata quella originale.

A cosa serve? Beh gli usi che ne puoi fare sono i più molteplici (molti dei quali anche non "conformi" al motivo per cui è stato creato questo algoritmo):
- criptazione di password (essendo un algoritmo ad una sola via garantisce un livello di sicurezza piuttosto elevato
- ottenere sequenze di caratteri con una probabilità molto bassa di ottenere due stringhe uguali (ad esempio
$stringa1=md5(time());
sleep(2);
$stringa2=md5(time());
produrrà due stringhe diverse)
-ecc ecc...

Poi come dice anche piero.mac in molte occasioni è la necessità che ti suggerisce l'uso che puoi farne =)

[ignorantone]

Innanzitutto grazie per la risposta.

Adesso mi sorge un altro dubbio.
Un utente inserisce la propria password di accesso a un'area riservata.

Questi dati vengono così inviati al server che prende dal database la password salvata [ovviamente già criptata] e la controlla con quella inviata dall'utente dopo averla criptata.


Ma se funziona così, da cosa protegge? Da admin sbircioni?
Nel tragitto tra utente e server la password è in chiaro? Non può essere intercettata da eventuali sniffer o cose simili?

Se dico baggianate perdonatemi. Non ci capisco molto ed è per questo che chiedo.

[iraiscoming223]

no no occhio!

giusto per riprendere l'algoritmo che hai pensato tu:
-prendo la password alla registrazione e la salvo criptata sul db
(a questo punto anche se qualcuno riuscisse ad accedere al db come potrebbe risalire alla password, visto che è criptata?)
Quando un utente effettua un login il processo è più o meno questo:
-la pagina riceve la password inviata dall'utente
-LA PASSWORD INVIATA VIENE CRIPTATA con lo stesso metodo utilizzato per salvare la password nel db (ritorna sempre la stessa stringa, applicato agli stessi dati)
-il confronto viene fatto tra password criptate...

potrebbe anche servire contro admin sbircioni, ma lo scopo primario è questo ^_^

[ignorantone]

Non prendertela a male ma io sono un po' duro di comprendonio.

Ma quando un utente digita la propria password nel form di accesso la password è in chiaro.
Poi viene inviata alla pagina che la cripta e la confronta con la password criptata salvata nel database.

Ma nel passaggio in cui la password viene inviata dall'utente alla pagina sul server, questa non può essere intercettata da eventuali sniffer che copiano il contenuto del pacchetto senza alterarlo?

Non esiste un modo per inviare la password digitata dall'utente già criptata?
Che ne so, magari usando Javascript [mi sa che dovrò cambiare sezione]....

Chiedo conforto..

[gta3!]

Ciao, penso che ciò che chiedi non sia possibile con php alemnochè non hai l'https di apache....

[ipnotic]

Originariamente inviato da ignorantone

Ma quando un utente digita la propria password nel form di accesso la password è in chiaro.
Poi viene inviata alla pagina che la cripta e la confronta con la password criptata salvata nel database.

Ma nel passaggio in cui la password viene inviata dall'utente alla pagina sul server, questa non può essere intercettata da eventuali sniffer che copiano il contenuto del pacchetto senza alterarlo?

Non esiste un modo per inviare la password digitata dall'utente già criptata?
Che ne so, magari usando Javascript [mi sa che dovrò cambiare sezione]....

Hai ragione.... guarda questa pillola LINK.... mi sa che fa proprio al caso tuo...


ciao

[ignorantone]

Grazie della pillola.

Era proprio quello che intendevo.
Non sarà sicura al 100% ma almeno rompi le scatole. :P