הוסטס - פורום אחסון האתרים הגדול בישראל

הוסטס - פורום אחסון האתרים הגדול בישראל (https://hosts.co.il/forums/index.php)
-   פורום תיכנות (https://hosts.co.il/forums/forumdisplay.php?f=14)
-   -   שאלה בקשר לMD5 (https://hosts.co.il/forums/showthread.php?t=32131)

DorWD 04-10-06 21:07
שאלה בקשר לMD5
 
שלום לכם!.
יש לי שאלה פשוטה יחסית.
למה בעצם חשוב לשמור את הסיסמא כMD5 במסד נתונים (בלי שימוש בעוגיות או בסשנים)?
למה זה טוב בעצם?, חלקכם תגידו "לשם האבטחה", במה זה מאובטח בעצם? הרי אף אחד לא יודע את הסיסמא לMySQl..
תודה.

lalamen 04-10-06 21:08
ואם מישהו יפרוץ לך למסד נתונים? כתבת שהוא לא יודע את הסיסמא של הMySQL אבל אם הוא פרץ לך לשרת הוא יכול להעתיק את הקבצים ואז לפרוץ חופשי למשתמשים

meshuga 04-10-06 21:13
ציטוט:
נכתב במקור על ידי DorWD
שלום לכם!.
יש לי שאלה פשוטה יחסית.
למה בעצם חשוב לשמור את הסיסמא כMD5 במסד נתונים (בלי שימוש בעוגיות או בסשנים)?
למה זה טוב בעצם?, חלקכם תגידו "לשם האבטחה", במה זה מאובטח בעצם? הרי אף אחד לא יודע את הסיסמא לMySQl..
תודה.
Worse Case Scenarios אם אתה מכיר את התכנית..
תחשוב על המקרה הגרוע ביותר, הצליחו להכנס למסד שלך...אז נכון, הם יוכלו לשנות את הסיסמה שלך למשהו אחר, אז נכון הם יוכלו למחוק הכל...אבל תחשוב שהסיסמה שאתה משתמש היא לא רק באותה מערכת אלא גם במייל, באיי סי קיו, בחשבון בנק וכו'...אז ככה הם לא יכולים (לפחות לא בקלות...אפשר להריץ פריצה ברוטלית) לדעת את הסיסמה..

omaniusd 04-10-06 21:50
ציטוט:
נכתב במקור על ידי DorWD
שלום לכם!.
יש לי שאלה פשוטה יחסית.
למה בעצם חשוב לשמור את הסיסמא כMD5 במסד נתונים (בלי שימוש בעוגיות או בסשנים)?
למה זה טוב בעצם?, חלקכם תגידו "לשם האבטחה", במה זה מאובטח בעצם? הרי אף אחד לא יודע את הסיסמא לMySQl..
תודה.
אני חייב לציין, שבהרבה מקרים בשביל להגיע לטבלא שמכילה את הסיסמאות, בכלל לא צריך את סיסמאת המסד.

סמי 04-10-06 21:54
כיום גם MD5 פריצים מאוד!

satan 04-10-06 21:59
ציטוט:
נכתב במקור על ידי meshuga
Worse Case Scenarios אם אתה מכיר את התכנית..
תחשוב על המקרה הגרוע ביותר, הצליחו להכנס למסד שלך...אז נכון, הם יוכלו לשנות את הסיסמה שלך למשהו אחר, אז נכון הם יוכלו למחוק הכל...אבל תחשוב שהסיסמה שאתה משתמש היא לא רק באותה מערכת אלא גם במייל, באיי סי קיו, בחשבון בנק וכו'...אז ככה הם לא יכולים (לפחות לא בקלות...אפשר להריץ פריצה ברוטלית) לדעת את הסיסמה..
צודק... וגם התוכנית לא רעה P:

omaniusd גם צודק - במידה והמערכת לא מאובטחת כראוי לא צריך בהכרח את הסיסמא למסד אפשר לנצל חורי אבטחה במערכת... אני מניח.

Joking.co.il מצטער לבשר לך אבל כל השמועות האידיוטיות האלו על כך שMD5 נפרצה כל השמועות האלו נועדו כדי למנוע שימוש בהצפנה הזו - סתם שטויות!

אז תצפין פעמיים עם MD5 ופעם אחת עם SHA1 ואף אחד לא יצליח לפצח את זה, בנוסף תמיד אפשר לערבל סיסמאות ולדאוג לכך שהסיסמא תהיה לגמרי חסינה נגיד על ידי הוספת X תווים בכל צד של הסיסמא ואז להצפין אותה... ואז בהתחברות חוזרים על הפעולה ובודקים אם יש שיווין בין הסיסמא שהמשתמש הקיש לסיסמא שבDB.

DorWD 04-10-06 22:01
תודה לכם על המענה המהיר, לא חשבתי על כך בצורה כזאת ;), תודה לכם.


כל הזמנים הם GMT +2. הזמן כעת הוא 17:43.

מופעל באמצעות VBulletin גרסה 3.8.6
כל הזכויות שמורות ©
כל הזכויות שמורות לסולל יבוא ורשתות (1997) בע"מ