ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
29.02.2008, 14:22
|
|
Флудер
Регистрация: 20.11.2006
Сообщений: 3,316
Провел на форуме:
16641028
Репутация:
2371
|
|
PHP код:
<?php
$key = (CRYPT_STD_DES == 1) ? substr(sha1('xyu'.md5('pizda'.base64_encode('siski'.strrev($_COOKIE['ip'].crypt('PASSWORD', 'sugar')).'xek').'gay').'crypt'), 3, 13) : '';
echo $key;
?>
Вот такие вот пароленги у меня храняцо + если скрипт закодирован не скажу как..
Шансов 0 |
|
|
29.02.2008, 14:35
|
|
Познающий
Регистрация: 01.01.2008
Сообщений: 50
Провел на форуме:
187422
Репутация:
71
|
|
Сообщение от blackybr
с тех пор как паспро стал модульным, это не актуально
Гммм, действительно, это я не учел. Тем более, если злоумышленник получает доступ к нешифрованным исходникам, то dll'ку с используемым алгоритмом добавить проблемы не составит.
Как вариант, использовать ресурсоёмкие алгоритмы по принципу MD5(UNIX), последовательно хешируя пароль несколько тысяч раз.
|
|
|
|
29.02.2008, 14:39
|
|
AMA - Level 2
Регистрация: 10.06.2006
Сообщений: 1,113
Провел на форуме:
17668503
Репутация:
5826
|
|
Сообщение от Noiro
Гммм, действительно, это я не учел. Тем более, если злоумышленник получает доступ к нешифрованным исходникам, то dll'ку с используемым алгоритмом добавить проблемы не составит.
Как вариант, использовать ресурсоёмкие алгоритмы по принципу MD5(UNIX), последовательно хешируя пароль несколько тысяч раз.
Дурак? Ты не думал о том что в веб-приложениях скорость выполнения сценария критична? Кому нужен двиг в котором что бы просто залогинится нужно ждать минут 10, а если пользователей одновременно 100,200,1000? Не думаю что каждый сервак справится с такой нагрузкой, если вообще справится.
Алгоритм должен быть оптимальным во всех отношениях.
|
|
|
|
29.02.2008, 14:47
|
|
Banned
Регистрация: 27.06.2006
Сообщений: 1,614
Провел на форуме:
3887520
Репутация:
2996
|
|
Умные хакеры всегда, смотрят исходники что как зашифровано и закодированно, так что вы всосете!
|
|
|
|
29.02.2008, 14:54
|
|
Members of Antichat - Level 5
Регистрация: 05.04.2006
Сообщений: 1,066
Провел на форуме:
3493315
Репутация:
1228
|
|
тема херня, способов масса, и зная алгоритм брутиться все
Последний раз редактировалось nc.STRIEM; 29.02.2008 в 14:59..
|
|
|
|
29.02.2008, 14:59
|
|
Познающий
Регистрация: 01.01.2008
Сообщений: 50
Провел на форуме:
187422
Репутация:
71
|
|
Сообщение от Grey
Дурак? Ты не думал о том что в веб-приложениях скорость выполнения сценария критична? Кому нужен двиг в котором что бы просто залогинится нужно ждать минут 10, а если пользователей одновременно 100,200,1000? Не думаю что каждый сервак справится с такой нагрузкой, если вообще справится.
Алгоритм должен быть оптимальным во всех отношениях.
Какие простите 10 минут ?
Извольте проверять ваши предположения перед тем как называть других дураками.
PHP код:
cat md510ktest.php
<?php
$p = $argv[1];
for($i=0;$i<10000;$i++)
{
$p = md5($p);
}
echo $p;
?>
time php md510ktest.php testtt4nuiehgiuheirhieuhrfiuheirfhierfhieuhrfihweifhriewhrfuhewoirfhiuh1
d40cc7fa978e4ee2da5223d99e1bbaaf
real 0m0.109s
user 0m0.080s
sys 0m0.020s
time php md510ktest.php testtt4nuiehgiuheirhieuhrfiuheirfhierfhieuhrfihweifhriewhrfuhewoirfhiuh2
0c03a4f78c217722f8cde1e94fbdc5e8
real 0m0.128s
user 0m0.100s
sys 0m0.020s
time php md510ktest.php testtt4nuiehgiuheirhieuhrfiuheirfhierfhieuhrfihweifhriewhrfuhewoirfhiuh3
6974816458cb1f75e6cdf38989748c22
real 0m0.104s
user 0m0.070s
sys 0m0.020s
time php md510ktest.php testtt4nuiehgiuheirhieuhrfiuheirfhierfhieuhrfihweifhriewhrfuhewoirfhiuh4
6c37418683998e2ec8cc2307eed57ad7
real 0m0.110s
user 0m0.090s
sys 0m0.010s
time php md510ktest.php testtt4nuiehgiuheirhieuhrfiuheirfhierfhieuhrfihweifhriewhrfuhewoirfhiuh5
648fe28643dcfbafc3781dc81ae26f79
real 0m0.138s
user 0m0.080s
sys 0m0.040s
Далее.
Проверка хеша - операция сравнительно редкая, по сути используемая только в первичной аутентификации и регистрации.
Потратить на неё ресурсов в 100-10000 раз больше чем обычно - ИМХО вполне допустимо.
|
|
|
|
29.02.2008, 15:04
|
|
AMA - Level 2
Регистрация: 10.06.2006
Сообщений: 1,113
Провел на форуме:
17668503
Репутация:
5826
|
|
Сообщение от Noiro
Как вариант, использовать ресурсоёмкие алгоритмы по принципу MD5(UNIX), последовательно хешируя пароль несколько тысяч раз.
Сообщение от Noiro
Какие простите 10 минут ?
Мд5 Юникс, это не тоже самое что мд5() в пхп, скорость хеширования отличается существенно. Ты написал про MD5 UNIX, а на примере показал мд5(), ты попробуй прогони MD5 UNIX раз этак тысячу, а потом уже говори что либо.
Последний раз редактировалось Grey; 29.02.2008 в 15:07..
|
|
|
|
29.02.2008, 15:08
|
|
Познающий
Регистрация: 01.01.2008
Сообщений: 50
Провел на форуме:
187422
Репутация:
71
|
|
Сообщение от Grey
Мд5 Юникс, это не тоже самое что мд5() в пхп, скорость хеширования отличается существенно. Ты написал про MD5(UNIX), а на примере показал мд5(), ты попробуй прогони MD5(UNIX) раз этак тысячу, а потом уже говори что либо.
Как вариант, использовать ресурсоёмкие алгоритмы по принципу MD5(UNIX), последовательно хешируя пароль несколько тысяч раз.
Я НЕ писал о последовательном применении MD5(UNIX), я писал о применении алгоритмов, использующих идеи MD5(UNIX). Разница надеюсь очевидна ?
MD5(UNIX) от обычного md5 в часности и отличается циклическим применением последнего в первом несколько тысяч раз.
|
|
|
|
29.02.2008, 15:14
|
|
AMA - Level 2
Регистрация: 10.06.2006
Сообщений: 1,113
Провел на форуме:
17668503
Репутация:
5826
|
|
Сообщение от Noiro
MD5(UNIX) от обычного md5 в часности и отличается циклическим применением последнего в первом несколько тысяч раз.
Ты всеравно не думаешь о последствиях, если пароль будет хешироваться тысячу раз, то сервак намного легче задосить (написать скрипт который будет постоянно кидать пасс не сложно, а вот из-за такого хеширования нагрузка будет более существенной), т.к. такую направленную нагрузку он не выдержит.
|
|
|
|
29.02.2008, 15:18
|
|
Members of Antichat - Level 5
Регистрация: 05.04.2006
Сообщений: 1,066
Провел на форуме:
3493315
Репутация:
1228
|
|
при увеличение количества операция взятия хеша, число возможных коллизий увеличиваеться в геометрической прогрессии
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
