Ich hoffe du meinst das jetzt zeitmäßig und nicht programmiertechnisch.Zitat von NeoGriever
Ich hoffe du meinst das jetzt zeitmäßig und nicht programmiertechnisch.
Zeitmäßig.
Und darüber hinaus weiß ich schlichtweg nicht, welche Klammanbindungs-Punkte da beachtet werden müsten, damit dies entfernt/ausgeschaltet werden könnte.
Würde dafür nämlich keine separate Version rausbringen, sondern eine Option im Adminbereich zur Verfügung stellen.
VMS-R Downloads | VMS-R Supportbereich | E-Mail | Facebook: VMS-R | ICQ: 413-432-780 | MSN: vmsr@hotmail.de
Hi
ich hab mir eben mal das Teil runter geladen und in ner Testumgebung installiert.
Optisch sieht es aufgeräumt aus, allerdings bin ich nach der Installation über die Datei VMSR.EasySetup.v2.3.2.ftp.php nicht mehr ins Admin gekommen. Nach etwas Suche hab ich dann raus gefunden das es beim anlegen nur nicht verschlüsselt wird.
Nicht so prickelnd find ich das Admin Passwort dann noch als Klartext im Global Log gefunden habe. Das sollte bitte nachgebessert werden.
Oha. Sry. Wird alles direkt korrigiert. :/
Nobody is perfect. Danke für den Bugreport.
VMS-R Downloads | VMS-R Supportbereich | E-Mail | Facebook: VMS-R | ICQ: 413-432-780 | MSN: vmsr@hotmail.de
Echt, warum?
Hab grad das VMS-R nicht zur Hand, aber im VMS hatten wiroder so ähnlich...PHP-Code:if (in_array($_SESSION[uid], $teamIDs)) {
// Adminmenue
}
Die Verlinkunt ist drin. Oben steht "Startseite" usw, welches nebeneinander steht. Diese führen zur Startseite.
Das mit den Admins wird eh noch auf die User-Datenbank übertragen. Genauso wie die User-Passwörter ohne SALT (weiterhin auf MD5), aber besser verschlüsselt werden. Man erreicht dies schon, indem man an das Passwort einfach ein weiteres Wort oder irgendwas dranhängt. Beispiel:
md5("12345") = 827ccb0eea8a706c4c34a16891f84e7b = http://www.md5-hash.com/md5-hashing-...34a16891f84e7b
Aber:
md5("12345" . "_g98w234b50db8b88") = aa93e00a0cdfcd3f5c72ec6f1dd1e2e1 = http://www.md5-hash.com/md5-hashing-...72ec6f1dd1e2e1
Ist einfach und sehr effektiv. Und wenn jeder ein anständiges Passwort hat, würde das ganze schon ziemlich sicherer gegenüber der normalen md5-verschlüsselung sein. Und das trotz ungenutztem SALT.
VMS-R Downloads | VMS-R Supportbereich | E-Mail | Facebook: VMS-R | ICQ: 413-432-780 | MSN: vmsr@hotmail.de
Wie sagt man so schön? Sicherer Eindruck bei völliger Ahnungslosigkeit?Aber:
md5("12345" . "_g98w234b50db8b88") = aa93e00a0cdfcd3f5c72ec6f1dd1e2e1 = http://www.md5-hash.com/md5-hashing-...72ec6f1dd1e2e1
Ist einfach und sehr effektiv. Und wenn jeder ein anständiges Passwort hat, würde das ganze schon ziemlich sicherer gegenüber der normalen md5-verschlüsselung sein. Und das trotz ungenutztem SALT.
Kann das sein das du überhaupt nicht weißt was mit salt gemeint ist? Du scheinst "SALT" irgendwie für eine eigene Verschlüsselung zu halten oder so.
ist nichts anderes alsPHP-Code:md5("12345" . "_g98w234b50db8b88")
Normalerweise sollt man das salt noch dynamisch gestalten, bringt aber nicht viel bei einem frei zugänglichen Script.PHP-Code:md5($passwort.$salt)
Computer-Logik pur:
Keyboard not found
Press <F1> to continue...
Was bringt dann ein Salt bei einem frei zugänglichem script?
Mal davon abgesehen. 12345 ist in vielen md5-hashtables vorhanden. wenn man aber was zufälliges hinten dranhängt, sieht die ganze sache schon wieder anders aus.
Zur not schriebe ich eine bitwise-operation-funktion dazu, welche das pw vor dem md5 mit diversen bitshiftings und umrechnungen in ein bytearray umwandelt.
Aber meine Variante ist hingegen schon einigermaßen sicher. Weil alle pw's, die es online in hashtables gibt, wird man so in den hashtables nicht mehr finden und man müsste von 0 beginnen als hacker. Das ist die Idee, die dahinter steckt.
Edit:
Mir wurde hier erklärt, dass md5 mit salt ne ziemliche umstellung der funktionen wäre.
VMS-R Downloads | VMS-R Supportbereich | E-Mail | Facebook: VMS-R | ICQ: 413-432-780 | MSN: vmsr@hotmail.de
Du verstehst nicht, was ich dir sagen will. "Deine Variante" IST Passwort mit Salt!
Und das bringt insofern schonmal etwas, das ein Hacker den Wert von Salt kennen müßte. Das erschwert es auf jeden Fall auch schonmal bei einem frei zugänglichen Script.
Wenn nun aber ein Hacker sein eigenes Passwort kennt und es schafft an den md5-hash aus der DB zu gelangen, könnte er theoretisch den Wert von salt ermitteln und wäre dadurch wieder ganz normal in der Lage Rainbow-Tables zu nutzen. Deswegen halt dynamisch. Mit dynamisch meine ich das jedes Konto einen eigenen Salt erhält, den man im Skript auch rekonstruieren kann. Z.B.:
oder so ähnlich. Das Problem bei einem frei zugänglichen Script ist aber eben, das egal nach welcher Formel man salt nun konstruiert, man einfach nur in das Script schauen muß, um an diese zu gelangen. Es müßte also jeder Scriptnutzer seine eigene Formel entwickeln und einfügen.PHP-Code:md5($passwort.sha1(round(mysql_insert_id()+5555)))
Jetz verstehen?^^
Computer-Logik pur:
Keyboard not found
Press <F1> to continue...
PHP-Code:<?php
$secret_salt = "topsecretsalt"; // Autogeneriert vom installer script 32Zeichen Random
$password = "testpasswort"; //Passwort des Users
$salted_password = md5(md5($secret_salt) . md5($password)); //MD5 vom salt + MD5 vom Passwort -> MD5
$password_hash = hash('sha256', $salted_password); //und diesen string durch sha 256
?>
Wenn wir nun davon ausgehen das ein hacker das passwort in der db nun kennt,
so muss er den sha256 knacken was nicht mal unsere amis mit 3 buchstaben schaffen...
gehn wir davon aus, so hat er 32 zeichen die er duch eine tabelle jagen darf um einen string zu bekommen den er nochmal durchjagen muss (ohne zu wissen das er stimmt)
und dan einen teil salt und einen teil pw zu haben...
Have fun...
SwissNetWorX - VMS Hosting / V-Server / Cloud-Server / Hosting
Berechtigungen
Zitieren