Nieuwe PHPhulp

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Pagina: « vorige 1 2 3 ... 36 37 38

Niels K

Niels K

02/02/2010 20:14:00
Quote Anchor link
Paradox� schreef op 02.02.2010 19:44:
Lol ik gebruik altijd een dubbele md5 xD
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?php
$hash
= md5(md5($string));
?>



Haal je het dan niet gewoon terug naar een normale string?
 
PHP hulp

PHP hulp

24/12/2024 00:30:23
 
Richard van Velzen

Richard van Velzen

02/02/2010 20:17:00
Quote Anchor link
Dubbele MD5 is kansloos om de simpele reden dat je precies weet dat de eerste vorm waar je naar moet zoeken 32 tekens [a-f\d] is. Dat maakt het extreem simpel.
 
Erwin Geen

Erwin Geen

02/02/2010 20:33:00
Quote Anchor link
Is sha512 beter dan md5 of sha-1?
 
Richard van Velzen

Richard van Velzen

02/02/2010 20:37:00
Quote Anchor link
Er is (zoals ik al zei) niet zozeer een nut aan hevigere encryptie. Ja, het is beter ja, maar dat is bijna niet relevant: ervoor zorgen dat mensen er überhaupt niet bij kunnen komen is googolplex maal zo belangrijk. :-)
 
Johan Dam

Johan Dam

03/02/2010 09:07:00
Quote Anchor link
zoals richard *NIET* zei, md5(md5(md5($str))); is veiliger dan md5($str) maar als je écht veilig wilt werken dan zoek je iets anders,
Gewijzigd op 01/01/1970 01:00:00 door Johan Dam
 
Richard van Velzen

Richard van Velzen

03/02/2010 09:39:00
Quote Anchor link
nosferatu schreef op 03.02.2010 09:07:
zoals richard zei, md5(md5(md5($str))); is veiliger dan md5($str) maar als je écht veilig wilt werken dan zoek je iets anders,

Dat zei ik *NIET*, het is absoluut niet waar.

Lezen jullie niet? Ik zeg al meerdere malen dat het hashen van je wachtwoord alleen maar bijzaak is, ervoor zorgen dat *niemand* erbij kan is veel en dan echt extreem veel belangrijker.

En dat is dan gelijk de reden dat je gevoelige data niet op een shared hosting account wil doorgaans, veel shared hosters weten niks van beveiliging.
 
Mar cel

Mar cel

03/02/2010 10:11:00
Quote Anchor link
Als je een hash hebt zoals dit is het vrijwel niet te achterhalen als 't goed is.

Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
4
5
<?php
//zelf in te vullen string
$salt = '@as324dasd*2312(*Am_SADA)S';
hash('sha512', $password . $salt);
?>
Gewijzigd op 01/01/1970 01:00:00 door Mar cel
 
Robert Deiman

Robert Deiman

03/02/2010 10:23:00
Quote Anchor link
@Marcel
Nog mooier is als je een "pre_salt" en "end_salt" hebt van verschillende lengte. Het uitvissen van het eigenlijke wachtwoord is dan nog lastiger.
 
Mar cel

Mar cel

03/02/2010 10:47:00
Quote Anchor link
Mm dat is ook een goede. Maar het is zoiezo toch al bijna onmogelijk om sha512 hash om te achterhalen?
 
- Jim  -

- Jim -

03/02/2010 11:30:00
Quote Anchor link
En zowiezo geen user-data achterlaten in een sessie of cookie. Dat is en blijft riskant.

Ik genereer voor een login een random code zonder gevoelige gevens en die wordt in de sessie geplaatst. Alleen deze code icm sessie_id() en REMOTE_ADDR maakt de login geldig.

Dat lijkt me een van de meest veilige methodes. Ookal wordt de code in de sessie gehacked, er staan geen gegevens in, en je kan er ook niets mee zonder het sessie_id en remote_addr. Een soort 'triangle' constructie.
 
SilverWolf NL

SilverWolf NL

03/02/2010 11:38:00
Quote Anchor link
Jim schreef op 03.02.2010 11:30:
Ik genereer voor een login een random code zonder gevoelige gevens en die wordt in de sessie geplaatst. Alleen deze code icm sessie_id() en REMOTE_ADDR maakt de login geldig.


Bewaar je die sessie of niet? Want als je hem bewaart, moet je er rekening mee houden dat het IP adres kan veranderen bij een reboot...
 
- Jim  -

- Jim -

03/02/2010 11:44:00
Quote Anchor link
Als je een nieuw IP-adres hebt moet je wel opnieuw aanmelden, of de sessie van dat ip kan je dan doorstarten...
EDIT:typo
Gewijzigd op 01/01/1970 01:00:00 door - Jim -
 
Pieter Jansen

Pieter Jansen

03/02/2010 12:27:00
Quote Anchor link
@jim: ik maak ook gebruik van zo`n soort setup. Er wordt een sessionId aangemaakt, hier wordt een unieke hash gekoppeld, en die koppeling wordt, samen met het gebruikersId en ipAddress opgeslagen.
 
- Jim  -

- Jim -

03/02/2010 12:32:00
Quote Anchor link
Ik vond het van belang dat er geen userdata in de hash stond als deze zou worden gehacked.
 
Pieter Jansen

Pieter Jansen

03/02/2010 12:51:00
Quote Anchor link
kan ik me voorstellen, echter een random 128bit hash, waar zowel de sessie sleutel als userId in wordt bewaard, kan alsnog niet veel gevaarlijks op leveren. Je moet eerst de hash ontcijferen, duurt te lang, daarnaast wordt het gekoppeld aan je ip adres, dus kun je er sowieso niet veel mee van buiten af. En op deze manier kun je distinct zijn per ip adres, door te filteren op user id.
 
Wouter De Schuyter

Wouter De Schuyter

03/02/2010 12:55:00
Quote Anchor link
Niels schreef op 02.02.2010 20:14:
Paradox� schreef op 02.02.2010 19:44:
Lol ik gebruik altijd een dubbele md5 xD
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
2
3
<?php
$hash
= md5(md5($string));
?>



Haal je het dan niet gewoon terug naar een normale string?
LOL WTF!
MD5() is een HASH en een HASH is niet omkeerbaar!
HASH != ENCRYPTIE!


Edit:
Misschien nog even toelichten waarom ik een dubbele md5 gebruik, simpelweg omdat er inmiddels al verschillende databases zijn met strings en md5 strings en een enkele md5 dus makkelijker te bruteforcen is.
Gewijzigd op 01/01/1970 01:00:00 door Wouter De Schuyter
 
TJVB tvb

TJVB tvb

03/02/2010 13:10:00
Quote Anchor link
Paradox, gebruik je dan geen salt?
 
Richard van Velzen

Richard van Velzen

03/02/2010 13:10:00
Quote Anchor link
En dus? Je eerste niveau is makkelijk te overkomen omdat je, zoals ik al zei, weet dat het [a-f\d]{32} is.

Echt, letten jullie nou echt niet op wat ik zeg?? Het is *EXTREEM VEEL* belangrijker om er voor te zorgen dat er niemand bij kan! Zo moeilijk is het niet.
 

Pagina: « vorige 1 2 3 ... 36 37 38



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.