Hirdetés
Új hozzászólás Aktív témák
-
#3432
cucka
addikt
Sk8erPeter
#3426
cucka
addikt
válasz
Sk8erPeter
#3426
üzenetére
De ha itt md5-tel ismét "titkosítom" azt a karaktersorozatot, amit a felhasználó bevitt, és az eredményt összevetem az adatbázisban tárolt adatokkal, akkor ezt miért nem tudják ugyanezzel a módszerrel automatizáltan feltörni?
Már hogy képzeled az automatizáltan feltörést? Végigpróbálod az összes lehetséges jelszót?
A lényege a dolognak, hogy az md5 (és más hash algoritmusok is) egyirányúak. Ez azt jelenti, hogy nincs olyan algoritmus, ami polinomiális időben tudna egy adott hash-re ütközést találni. Tehát hiába látod a hash-t, a jelszót nem tudod belőle visszafejteni.Most ez kábé olyan, mintha nem is lenne titkosítva, mert a bevitelkor úgyis a titkosított
eredményt veti össze a már korábbban titkosítottal.
Nem. Először is a hash az nem titkosítás, hanem hash. Más a célja, másra jó. Hiába tudja az illető a hash-t, attól még nem tud belépni az oldaladra, mert ahhoz a jelszót kéne tudnia.Hogy érzékeld a különbséget a hash és a titkosítás között: gondolom te is találkoztál már netről letöltött zenével/programokkal, ahol a fileok mellett ott az svf file. Na az pont ugyanilyen hash algoritmussal készül, az svf-ben minden filehoz tartozik egy 32 biten ábrázolt szám. Miután letöltötted a fileokat, ezzel lehet ellenőrizni, hogy valóban helyesek-e az adatok. A hash algoritmusok egyik jellemzője, hogy nagyon "szórnak", tehát ha a bemeneti adatot kis mértékben megváltoztatod, az eredményül kapott hash teljesen más lesz. Ezért jó pl. ilyen ellenőrzésekre. (Igen, elvileg az md5 vagy az sha1 is tökéletesen megfelelő ilyen ellenőrzésekre, de ha nem kifejezetten fontos az egyirányúság, akkor jellemzően megéri valamilyen gyorsabb algoritmust használni)
-
#3428
fordfairlane
veterán
Sk8erPeter
#3426
fordfairlane
veterán
válasz
Sk8erPeter
#3426
üzenetére
Remélem érthető, mire akarok kilyukadni
Mi a kérdés?
Hash-t tárolsz, azt veted össze loginnál, oké. Nincs további teendő ezzel szerintem. -
#3427
ArchElf
addikt
Sk8erPeter
#3426
ArchElf
addikt
válasz
Sk8erPeter
#3426
üzenetére
A legegyszerűbb módja az, ha megszerzik az authentikációs csomagot. Ha ezt újra be tudják küldni a szervernek és az elfogadja, akkor meg is van a session hijack (pontosabban ez inkább reuse). Az igazi hijack az, amikor a bejelentkezés után a felhasználónak adsz pl egy Session ID-t ami alapján meg tudod mondani, hogy a már be van lépve. A ez a session id pl egy másik gépről is működik (vagy ugyanarról a gépről (kicsit később), az az igazi session hijack.
Ha pedig egy kívülálló már select-elni tudja az adatbázisod, az rég rossz.
AE
Hash-t tárolsz, azt veted össze loginnál, oké. Nincs további teendő ezzel szerintem.
Új hozzászólás Aktív témák
- sziku69: Szólánc.
- Telekom mobilszolgáltatások
- Gumi és felni topik
- Vezetékes FEJhallgatók
- sziku69: Fűzzük össze a szavakat :)
- Samsung Galaxy Z Fold7 - ezt vártuk, de…
- Felforgatná Kína a technológiai világrendet
- Huawei P40 Pro - kilökték a célegyenesben
- Formula-1
- Audi, Cupra, Seat, Skoda, Volkswagen topik
- További aktív témák...
- DJI AVATA Dupla Fly More Combo drón szett - VADONATÚJ, aktiválatlan
- ÁRCSÖKKENTÉS MSI Z77 MPOWER Alaplap eladó
- DJI Air 3 Fly More Combo RC2 drón - NO LIMITS
- AMD Radeon RX 7900 XT 20GB XFX Speedster MERC310 Garanciás!
- Playstation 5 Slim Disc Edition 1TB, újra fémpasztázva, 6 hó garanciával, Bp-i üzletből eladó!
- ÚJ AKKU! Ár/ÉRTÉK BAJNOK! Dell Latitude 5330 i3-1215U 6mag! 16GB 512GB 13.3" FHD 1 év gar
- Külföldi csomagszállítás Packeta csomagpontokon keresztül!
- Hp Zbook 15 G5 15,6" FHD/ i7-8850H, 32GB, 512GB SSD, Quadro P2000, Magyar- Win11
- Eladó egy oneplus 9 pro 256/12
- Telefon felvásárlás!! Honor 200 Lite, Honor 200, Honor 200 Pro, Honor 200 Smart
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest