הצפנה כלשהי - עמוד 2 - הוסטס

~The_Sultan~ · 20-07-10, 23:36

ציטוט:

נכתב במקור על ידי Baku

טוב מה זה הבולשיט הזה?!
קודם כל זה לא הצפנה משוכללת שבנית! זה בסה"כ MD5 עם תוספת שלך או האש מסוג אחר..
קוראים לזה SLAT: הרעיון הוא להוסיף ערך משלך כך שיהיה מאוד קשה לאמוד את הקוד המקורי עם כוח ברוטאלי, וגם אם תגיע לתוצאה אמיתית סביר להניח שתסתבך.

אין צורך בשימוש ביותר מתוספת אחד והאש על הכל.. אם תוסיפו אולי עוד האש מסוג שונה זה יכול להיות חביב, יותר מזה זה מיותר

אם סתם תוסיף ערך משלך לסיסמאות של המשתמשים שלך, גם אם הוא יהיה קשה, עדיין תהיה סבירות גבוהה שמשתמשים בעלי אמצעים יפענחו אותו. בגלל זה יש כל מיני שיטות ועקיפות שצריך להשתמש גם בהן, כמו למשל שימוש ב-MD5+SHA1+UNIQID+מפתח שלך (שכדאי שיכלול תווים כמו ☺╚♀♫ ואותיות בעברית, פשוט כי בדר"כ לא מכלילים תווים כאלו בקבצי ענק).

Shay Ben Moshe · 17-07-10, 01:02

RS324, הגזמת עם הmd5 לחלוטין, way over. הצפנה על הצפנה על הצפנה זה לא הכי טוב.
Kernel, זה לא נכון שמומלץ להצפין, גם לא נכון שלא מומלץ להצפין - הכל תלוי מה אתה רוצה.

בגדול לדעתי השיטה הכי פשוטה ויעילה זה להשתמש בhmac כשלכל אתר יש key ייחודי. מאוד פשוט ומאוד מאוד חזק.

HOLD · 17-07-10, 05:02

ציטוט:

נכתב במקור על ידי Shay Falador

בגדול לדעתי השיטה הכי פשוטה ויעילה זה להשתמש בhmac כשלכל אתר יש key ייחודי. מאוד פשוט ומאוד מאוד חזק.

אשמח אם תפרט יותר.

תודה.

Shay Ben Moshe · 17-07-10, 11:44

http://en.wikipedia.org/wiki/HMAC
http://www.php.net/manual/en/function.hash-hmac.php

בגדול השיטה מיועדת למקרים שאתה מתכנן להצפין עם salt ואני מאמין שsha1(pass.salt) חלש מhmac_sha1(pass, salt) באופן משמעותי. זו שיטה מאוד שימושית והמימוש שלה די קטן.
עם זאת בכדי למצות את הפוטנציאל המלא שלה בד"כ הsalt נשמר בנפרד לכל משתמש. אני משתמש בsalt 1 לכל המשתמשים שלי, זה עדיין חזק מאוד.

~The_Sultan~ · 17-07-10, 19:53

תודה על כל הרעיונות, עזרו לי ובטח יעזרו להרבה אחרים

~The_Sultan~ · 21-07-10, 02:15

אני גם מדבר על כוח ברוטאלי כלשהו, אחרת מה חשבת?
בקשר לדוגמה בקוד שלי, זה לא מגניב, זה שימושי ונחוץ - אני אפילו אריץ את הקוד של SHA1 עד 1000 פעמים כדי להגן על הסיסמה. יש טבלאות מספיק גדולות שמוצאות המון המון סיסמאות, והעניין הוא להאט ככל שיותר את השיחזור של הסיסמה שלך, כי לבטל אותו לגמרי בחיים לא תוכל, וככל שהשיחזור יהיה יותר איטי, ככה להאקר יהיה יותר מבאס לשחזר והוא בסופו של דבר יאבד עניין.
בקשר ל-UNIQID זה לא בזבוז משאבים לחינם, שהרי מדובר פה באבטחה. בנוסף, אם אתה רוצה עדיין לחסוך את זה, אתה יכול להשתמש בשיטה שהביאו פה אני חושב שכוללת במקום UNIQID שימוש בפונקציה TIME של תאריך ההרשמה של המשתמש (ברוב המערכות זה שמור בכל מקרה, והנה אתה לא "מבזבז משאבים לחינם"..).

עוד משהו, מי לעזאזל משקיע מאות אלפי דולרים בפיתוח הצפנה אמיתית? לא יזיק להגן גם על אתרים שהם לא בנקים או פייסבוק לצורך העניין. אין מישהו שירצה להשאיר סתם חורי אבטחה במערכות שלו.

AlmogBaku · 21-07-10, 02:24

ציטוט:

נכתב במקור על ידי ~The_Sultan~

אני גם מדבר על כוח ברוטאלי כלשהו, אחרת מה חשבת?
בקשר לדוגמה בקוד שלי, זה לא מגניב, זה שימושי ונחוץ - אני אפילו אריץ את הקוד של SHA1 עד 1000 פעמים כדי להגן על הסיסמה. יש טבלאות מספיק גדולות שמוצאות המון המון סיסמאות, והעניין הוא להאט ככל שיותר את השיחזור של הסיסמה שלך, כי לבטל אותו לגמרי בחיים לא תוכל, וככל שהשיחזור יהיה יותר איטי, ככה להאקר יהיה יותר מבאס לשחזר והוא בסופו של דבר יאבד עניין.
בקשר ל-UNIQID זה לא בזבוז משאבים לחינם, שהרי מדובר פה באבטחה. בנוסף, אם אתה רוצה עדיין לחסוך את זה, אתה יכול להשתמש בשיטה שהביאו פה אני חושב שכוללת במקום UNIQID שימוש בפונקציה TIME של תאריך ההרשמה של המשתמש (ברוב המערכות זה שמור בכל מקרה, והנה אתה לא "מבזבז משאבים לחינם"..).

עוד משהו, מי לעזאזל משקיע מאות אלפי דולרים בפיתוח הצפנה אמיתית? לא יזיק להגן גם על אתרים שהם לא בנקים או פייסבוק לצורך העניין. אין מישהו שירצה להשאיר סתם חורי אבטחה במערכות שלו.

טוב, אני רואה שאני מדבר עם עצמי.

בכל אופן, אני נגד השיטה המגוכחת הזו. היא מיותרת, מנפחת סתם את מסד הנתונים, צורכת משאבים והרבה שאילתות, ואפשר להסתפק גם בפחות.

~The_Sultan~ · 21-07-10, 04:26

לא מדבר עם עצמך, אתה פשוט לא מוכן להיפתח לדעה אחרת. היא לא מנפחת את מסד הנתונים (כמה זה כבר? 20 בתים פר שורה? תעשה לי טובה), היא לא צורכת הרבה משאבים (לוקח 0.02 שניות בערך לעשות את כל החישובים שנתתי פה * לולאה של 1000 לחיזוק - כלום! ובדקתי את זה כן?) ותמיד אפשר להסתפק בפחות, אבל האבטחה גם תהיה פחות.

RS324 · 21-07-10, 17:34

קרנל , בפעם האחרונה שבדקתי (בערך לפני שנתיים +/-) היו DECODERS להצפנות של IONCUBE ושל ZEND

Baku - הרעיון של להוסיף את הזמן הרשמה לאתר לתוך ההצפנה של הסיסמא נועד בעיקר בשביל למנוע שיהיה 2 משתמשים עם אותה סיסמא מוצפנת , לצורך העניין אם אני ואתה בעלי הסיסמא 1234 אז התוצאה של ההצפנה שלנו תהיה שונה בגלל שזמן ההרשמה שלנו לאתר שונה, לא הייתי קורא לזה בזבוז משאבים כי אתה גם ככה מביא את כל ה USERINFO מה DB אז לבחור שדה אחד יותר או פחות זה כבר פחות קריטי בגלל זה אמרתי
שלעשות HASH(USERPASS . SECRECT_KEY . REGISTER_TIME) תמיד ייתן ערך שונה ובגלל זה לפי דעתי זה השיטה הכי טובה שעולה הכי פחות מבחינת משאבים.

~The_Sultan~ = אין באמת סיבה ממשית לעשות 1000 פעם את ההצפנה אם אתה באמת רוצה להגזים תסתכל על הדוגמא שהבאתי באחד הפוסטים הקודמים באשכול הזה ותראה שזה מספיק.

~The_Sultan~ · 21-07-10, 17:58

מסכים עם כל מילה שלך

17-07-10, 01:02	# 2
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	RS324, הגזמת עם הmd5 לחלוטין, way over. הצפנה על הצפנה על הצפנה זה לא הכי טוב. Kernel, זה לא נכון שמומלץ להצפין, גם לא נכון שלא מומלץ להצפין - הכל תלוי מה אתה רוצה. בגדול לדעתי השיטה הכי פשוטה ויעילה זה להשתמש בhmac כשלכל אתר יש key ייחודי. מאוד פשוט ומאוד מאוד חזק. __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.

17-07-10, 11:44	# 4
Shay Ben Moshe משתמש - היכל התהילה מיני פרופיל תאריך הצטרפות: Oct 2007 הודעות: 1,397	http://en.wikipedia.org/wiki/HMAC http://www.php.net/manual/en/function.hash-hmac.php בגדול השיטה מיועדת למקרים שאתה מתכנן להצפין עם salt ואני מאמין שsha1(pass.salt) חלש מhmac_sha1(pass, salt) באופן משמעותי. זו שיטה מאוד שימושית והמימוש שלה די קטן. עם זאת בכדי למצות את הפוטנציאל המלא שלה בד"כ הsalt נשמר בנפרד לכל משתמש. אני משתמש בsalt 1 לכל המשתמשים שלי, זה עדיין חזק מאוד. __________________ שי בן משה - בונה אתרים חותך אתרים, ומתכנת צד לקוח וצד שרת.

21-07-10, 17:34	# 9
RS324 תודה על תרומתך. מיני פרופיל תאריך הצטרפות: May 2006 הודעות: 3,173	קרנל , בפעם האחרונה שבדקתי (בערך לפני שנתיים +/-) היו DECODERS להצפנות של IONCUBE ושל ZEND Baku - הרעיון של להוסיף את הזמן הרשמה לאתר לתוך ההצפנה של הסיסמא נועד בעיקר בשביל למנוע שיהיה 2 משתמשים עם אותה סיסמא מוצפנת , לצורך העניין אם אני ואתה בעלי הסיסמא 1234 אז התוצאה של ההצפנה שלנו תהיה שונה בגלל שזמן ההרשמה שלנו לאתר שונה, לא הייתי קורא לזה בזבוז משאבים כי אתה גם ככה מביא את כל ה USERINFO מה DB אז לבחור שדה אחד יותר או פחות זה כבר פחות קריטי בגלל זה אמרתי שלעשות HASH(USERPASS . SECRECT_KEY . REGISTER_TIME) תמיד ייתן ערך שונה ובגלל זה לפי דעתי זה השיטה הכי טובה שעולה הכי פחות מבחינת משאבים. ~The_Sultan~ = אין באמת סיבה ממשית לעשות 1000 פעם את ההצפנה אם אתה באמת רוצה להגזים תסתכל על הדוגמא שהבאתי באחד הפוסטים הקודמים באשכול הזה ותראה שזה מספיק. __________________ כלים לקידום אתרים בלוג PHP למתקדמים

כלים לאשכול
הצגת גרסת הדפסה שלח דף זה באימייל
תצורת הצגה
עבור לתצורה לניארית תצורה משולבת עבור לתצורת אשכולות


	ההרשמה לפורום נפתחה - אפשרות רישום לכל אימייל (דומיינים פרטיים, gmail, הוטמייל..)!

17-07-10, 19:53	# 5
~The_Sultan~ חבר על מיני פרופיל תאריך הצטרפות: Oct 2008 הודעות: 771	תודה על כל הרעיונות, עזרו לי ובטח יעזרו להרבה אחרים

21-07-10, 02:15	# 6
~The_Sultan~ חבר על מיני פרופיל תאריך הצטרפות: Oct 2008 הודעות: 771	אני גם מדבר על כוח ברוטאלי כלשהו, אחרת מה חשבת? בקשר לדוגמה בקוד שלי, זה לא מגניב, זה שימושי ונחוץ - אני אפילו אריץ את הקוד של SHA1 עד 1000 פעמים כדי להגן על הסיסמה. יש טבלאות מספיק גדולות שמוצאות המון המון סיסמאות, והעניין הוא להאט ככל שיותר את השיחזור של הסיסמה שלך, כי לבטל אותו לגמרי בחיים לא תוכל, וככל שהשיחזור יהיה יותר איטי, ככה להאקר יהיה יותר מבאס לשחזר והוא בסופו של דבר יאבד עניין. בקשר ל-UNIQID זה לא בזבוז משאבים לחינם, שהרי מדובר פה באבטחה. בנוסף, אם אתה רוצה עדיין לחסוך את זה, אתה יכול להשתמש בשיטה שהביאו פה אני חושב שכוללת במקום UNIQID שימוש בפונקציה TIME של תאריך ההרשמה של המשתמש (ברוב המערכות זה שמור בכל מקרה, והנה אתה לא "מבזבז משאבים לחינם"..). עוד משהו, מי לעזאזל משקיע מאות אלפי דולרים בפיתוח הצפנה אמיתית? לא יזיק להגן גם על אתרים שהם לא בנקים או פייסבוק לצורך העניין. אין מישהו שירצה להשאיר סתם חורי אבטחה במערכות שלו.

21-07-10, 04:26	# 8
~The_Sultan~ חבר על מיני פרופיל תאריך הצטרפות: Oct 2008 הודעות: 771	לא מדבר עם עצמך, אתה פשוט לא מוכן להיפתח לדעה אחרת. היא לא מנפחת את מסד הנתונים (כמה זה כבר? 20 בתים פר שורה? תעשה לי טובה), היא לא צורכת הרבה משאבים (לוקח 0.02 שניות בערך לעשות את כל החישובים שנתתי פה * לולאה של 1000 לחיזוק - כלום! ובדקתי את זה כן?) ותמיד אפשר להסתפק בפחות, אבל האבטחה גם תהיה פחות.

21-07-10, 17:58	# 10
~The_Sultan~ חבר על מיני פרופיל תאריך הצטרפות: Oct 2008 הודעות: 771	מסכים עם כל מילה שלך

חברים פעילים הצופים באשכול זה: 1 (0 חברים ו- 1 אורחים)