buslikdrev Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 Кто ведает (существует-ли вообще она) функцию создания хэша пароля которая не будет совпадать, если сравнить пароль с хэшем на другом сервере (хостинге)? Например, эта функция должна подмешивать в хэш данные системы которые нельзя узнать средствами php. Каково ваше мнение по поводу: https://github.com/ircmaxell/password_compat https://github.com/opencart/opencart/blob/master/upload/system/library/cart/user.php Спойлер if (password_verify($password, $user_query->row['password'])) { $rehash = password_needs_rehash($user_query->row['password'], PASSWORD_DEFAULT); } elseif (isset($user_query->row['salt']) && $user_query->row['password'] == sha1($user_query->row['salt'] . sha1($user_query->row['salt'] . sha1($password)))) { $rehash = true; } elseif ($user_query->row['password'] == md5($password)) { $rehash = true; } else { return false; } if ($rehash) { $this->db->query("UPDATE `" . DB_PREFIX . "user` SET `password` = '" . $this->db->escape(password_hash($password, PASSWORD_DEFAULT)) . "' WHERE `user_id` = '" . (int)$user_query->row['user_id'] . "'"); } Если: Спойлер <? // php 7.0 $password = 123; $hash = '$2y$10$wxLdEelrVD8j54OFCd8OQurdwdhPy6fNs0DFgVATdXN/Trk.5L8Yq'; if (password_verify($password, $hash)) { echo $hash . ' - пароль ' . $password . '<br>'; } /* $hash = password_hash($password, PASSWORD_DEFAULT); if (password_verify($password, $hash)) { echo $hash . ' - пароль ' . $password . '<br>'; } else { echo 'Пароль неправильный.'; } */ $hash = '$2y$10$79rBupcjDS69qBIQV2l81.MiVy36XhLzeqb0F7kzXtbeiTuuaEm.u'; if (password_verify($password, $hash)) { echo $hash . ' - пароль ' . $password . '<br>'; } /* $hash = password_hash2($password, PASSWORD_BCRYPT); if (password_verify($password, $hash)) { echo $hash . ' - пароль ' . $password . '<br>'; } else { echo 'Пароль неправильный.'; } */ function password_hash2($pass, $type = false) { return crypt($pass, '$2y$10$'.str_replace('+', '.', base64_encode(mcrypt_create_iv(22, MCRYPT_DEV_URANDOM))).'$'); } Варианты которые не показывают разный результат на разных хостингах (серверах), а значит узнать пароль человека смогут со временем: <?php //7.0 $password = 123; //1) $hash = hash('sha256', $password); if ($hash == 'a665a45920422f9d417e4867efdc4fb8a04a1f3fff1fa07e998e86f7f7a27ae3') { echo $hash . ' - пароль найден = ' . $password . '<br>'; } //2) $hash = password_hash($password, PASSWORD_DEFAULT); if (password_verify($password, $hash) && password_verify($password, '$2y$10$wxLdEelrVD8j54OFCd8OQurdwdhPy6fNs0DFgVATdXN/Trk.5L8Yq')) { echo $hash . ' - пароль найден = ' . $password . '<br>'; } Решения и предложения: 1. Выводить при регистрации и смены пароля информацию о том, чтобы использовали уникальный пароль и объяснить почему. (действенный метод) 2. Установить валидацию при регистрации и смены пароля на проверку присутствия не менее одной буквы в верхнем и нижнем регистре, цифры и минимум от 8 символов. (усложнит задачу злоумышленникам) 3. Создать второй сервер в другой стране открыв доступ только между запросами сайтов для обмена токенами для получения соли. (усложнит задачу злоумышленникам) 4. Закубировать файл проверки паролей. (усложнит задачу злоумышленникам) Надіслати Поділитися на інших сайтах More sharing options... esculapra Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 Насколько я знаю, хэш создается путем криптования пароль+емаил. Но можно еще добавить имя домена - тогда хэши на разнх доменах будут отличаться. Надіслати Поділитися на інших сайтах More sharing options... drOC Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 https://www.php.net/manual/en/function.password-hash.php Надіслати Поділитися на інших сайтах More sharing options... 3 р buslikdrev changed the title to Защита паролей после взлома buslikdrev Опубліковано: 14 серпня 2021 Автор Share Опубліковано: 14 серпня 2021 5 часов назад, esculapra сказал: Насколько я знаю, хэш создается путем криптования пароль+емаил. Но можно еще добавить имя домена - тогда хэши на разнх доменах будут отличаться. Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. 2 часа назад, drOC сказал: https://www.php.net/manual/en/function.password-hash.php Не подходит - проверка проходит на разных хостингах. Надіслати Поділитися на інших сайтах More sharing options... Venter Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 13 минут назад, buslikdrev сказал: Не подходит - проверка проходит на разных хостингах. Ты пытаешься защитить пользователей??? А как на счет того что пользователь должен ставить разные пароли??? Избитая тема. Можно при регистрации создавать пользователю отдельный хеш и писать его в бд и при хешировании пароля добавлять этот самый хеш. Что делать с авторизацией? Логика - Если почта или логин такой есть то достаем хеш хешируем введеный пароль и сравниваем с тем что в бд Надіслати Поділитися на інших сайтах More sharing options... Venter Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 Ну а так вообще то можно для своего сайта или клиентского сделать соль пароля свою, можно два варианта SALT_ONE.$password.SALT_TWO так точно не будет совпадать с другими сайтами Надіслати Поділитися на інших сайтах More sharing options... Venter Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 31 минуту назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. Если ты имеешь в виду установку опенкарта, то можно сделать так чтоб при установке создавалась эта самая соль пароля, в итоге будет у каждого сайта после установки свой хеш, даже если пароли будут одинаковые Надіслати Поділитися на інших сайтах More sharing options... esculapra Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 17 часов назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. 1. хакера нужно не допустить! То есть уделить особое внимание безопасности. 2. можно дополнительно исользовать htpasswd (я так понимаю, вопрос о защите входа в админку) 3. использовать SMS-аутентифика́цию сессии одноразовым паролем. 4. скрыть вход в админку. Я уже писал на форуме об этом. Я делал типа admin?_key=_value (эти параметры изменяются в настройках). Вот примерно http://magazilla.itlancers.org/admin/. Путь в мою админку скрыт, а подбирать значения _key и _value - пустая затея, тем более, что я могу назначить переход на левый сайт, если указан неправильный путь. Также желательно не размещать магазин на шаред-хостинге. Если хакер получит доступ к любому другому домену (особенно уязвим вордпресс), то дальше он сможет закинуть шелл и просматривать другие домены. 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 21 час назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. К чему подмешивать? sha2 необратима, это главная особенность. Знание соли не помогает вычислить первоначальный пароль, если соль унинкальна (иначе возможен подбор через рэйнбоу). Приделывайте длинную, уникальную для каждого сайта соль - и пусть хакер хоть полный доступ к одному сайту получит, к другому получить пасс это никак не поможет. Ну а уж сгенерировать уникальную соль - не проблема, и хранить её можно хоть в БД, хоть в файле. Можете её хоть на главной странице опубликовать, хэш останется безопасным 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Давайте я вам пример приведу. Вот с одного "сайта" хэш 0bb0f40d99b7176b9c824bf81b1ce236f68d8739624036c9d679b8c771c4e640 и известна соль, приписывается к пасу в конце abyrvalg1508221 с другого сайта хэш 0479270c8fff37e944c8e2ef5ba7326fca93e49aa3572da565131400fc47dd1d и соль, аналогично abyrvalg1408221 пасс одинаковый. И что вам (хакеру) это даст? Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Жаль программисты не дали своего комментария в теме. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Жаль программисты не дали своего комментария в теме. А вы попробуйте в следующий раз задать вопрос, относящийся к программированию. А то этот из области суеверий и заблуждений. Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 12 минут назад, Shureg сказал: А то этот из области суеверий и заблуждений. Это реальность и получив файлы, и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Меня лишь интересовал ответ, да есть вот функция или нет, не встречал. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Это реальность и получив файлы и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 36 минут назад, Shureg сказал: Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. И? Я не могу понять, от какого типа атаки вы защититься пытаетесь. Вот вскрыл хацкер ваш сайт, узнал все соли и хэши. Зарядил 100 компов и подобрал пароли, подходящие к другому сайту. Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Только что, Shureg сказал: Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Мысль-то ваша, вы ее и развивайте) Я не телепат. Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 2 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Допомога програмістам та розробникам Защита паролей после взлома Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
esculapra Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 Насколько я знаю, хэш создается путем криптования пароль+емаил. Но можно еще добавить имя домена - тогда хэши на разнх доменах будут отличаться. Надіслати Поділитися на інших сайтах More sharing options... drOC Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 https://www.php.net/manual/en/function.password-hash.php Надіслати Поділитися на інших сайтах More sharing options... 3 р buslikdrev changed the title to Защита паролей после взлома buslikdrev Опубліковано: 14 серпня 2021 Автор Share Опубліковано: 14 серпня 2021 5 часов назад, esculapra сказал: Насколько я знаю, хэш создается путем криптования пароль+емаил. Но можно еще добавить имя домена - тогда хэши на разнх доменах будут отличаться. Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. 2 часа назад, drOC сказал: https://www.php.net/manual/en/function.password-hash.php Не подходит - проверка проходит на разных хостингах. Надіслати Поділитися на інших сайтах More sharing options... Venter Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 13 минут назад, buslikdrev сказал: Не подходит - проверка проходит на разных хостингах. Ты пытаешься защитить пользователей??? А как на счет того что пользователь должен ставить разные пароли??? Избитая тема. Можно при регистрации создавать пользователю отдельный хеш и писать его в бд и при хешировании пароля добавлять этот самый хеш. Что делать с авторизацией? Логика - Если почта или логин такой есть то достаем хеш хешируем введеный пароль и сравниваем с тем что в бд Надіслати Поділитися на інших сайтах More sharing options... Venter Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 Ну а так вообще то можно для своего сайта или клиентского сделать соль пароля свою, можно два варианта SALT_ONE.$password.SALT_TWO так точно не будет совпадать с другими сайтами Надіслати Поділитися на інших сайтах More sharing options... Venter Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 31 минуту назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. Если ты имеешь в виду установку опенкарта, то можно сделать так чтоб при установке создавалась эта самая соль пароля, в итоге будет у каждого сайта после установки свой хеш, даже если пароли будут одинаковые Надіслати Поділитися на інших сайтах More sharing options... esculapra Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 17 часов назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. 1. хакера нужно не допустить! То есть уделить особое внимание безопасности. 2. можно дополнительно исользовать htpasswd (я так понимаю, вопрос о защите входа в админку) 3. использовать SMS-аутентифика́цию сессии одноразовым паролем. 4. скрыть вход в админку. Я уже писал на форуме об этом. Я делал типа admin?_key=_value (эти параметры изменяются в настройках). Вот примерно http://magazilla.itlancers.org/admin/. Путь в мою админку скрыт, а подбирать значения _key и _value - пустая затея, тем более, что я могу назначить переход на левый сайт, если указан неправильный путь. Также желательно не размещать магазин на шаред-хостинге. Если хакер получит доступ к любому другому домену (особенно уязвим вордпресс), то дальше он сможет закинуть шелл и просматривать другие домены. 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 21 час назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. К чему подмешивать? sha2 необратима, это главная особенность. Знание соли не помогает вычислить первоначальный пароль, если соль унинкальна (иначе возможен подбор через рэйнбоу). Приделывайте длинную, уникальную для каждого сайта соль - и пусть хакер хоть полный доступ к одному сайту получит, к другому получить пасс это никак не поможет. Ну а уж сгенерировать уникальную соль - не проблема, и хранить её можно хоть в БД, хоть в файле. Можете её хоть на главной странице опубликовать, хэш останется безопасным 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Давайте я вам пример приведу. Вот с одного "сайта" хэш 0bb0f40d99b7176b9c824bf81b1ce236f68d8739624036c9d679b8c771c4e640 и известна соль, приписывается к пасу в конце abyrvalg1508221 с другого сайта хэш 0479270c8fff37e944c8e2ef5ba7326fca93e49aa3572da565131400fc47dd1d и соль, аналогично abyrvalg1408221 пасс одинаковый. И что вам (хакеру) это даст? Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Жаль программисты не дали своего комментария в теме. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Жаль программисты не дали своего комментария в теме. А вы попробуйте в следующий раз задать вопрос, относящийся к программированию. А то этот из области суеверий и заблуждений. Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 12 минут назад, Shureg сказал: А то этот из области суеверий и заблуждений. Это реальность и получив файлы, и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Меня лишь интересовал ответ, да есть вот функция или нет, не встречал. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Это реальность и получив файлы и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 36 минут назад, Shureg сказал: Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. И? Я не могу понять, от какого типа атаки вы защититься пытаетесь. Вот вскрыл хацкер ваш сайт, узнал все соли и хэши. Зарядил 100 компов и подобрал пароли, подходящие к другому сайту. Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Только что, Shureg сказал: Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Мысль-то ваша, вы ее и развивайте) Я не телепат. Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 2 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Допомога програмістам та розробникам Защита паролей после взлома Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
drOC Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 https://www.php.net/manual/en/function.password-hash.php Надіслати Поділитися на інших сайтах More sharing options... 3 р buslikdrev changed the title to Защита паролей после взлома buslikdrev Опубліковано: 14 серпня 2021 Автор Share Опубліковано: 14 серпня 2021 5 часов назад, esculapra сказал: Насколько я знаю, хэш создается путем криптования пароль+емаил. Но можно еще добавить имя домена - тогда хэши на разнх доменах будут отличаться. Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. 2 часа назад, drOC сказал: https://www.php.net/manual/en/function.password-hash.php Не подходит - проверка проходит на разных хостингах. Надіслати Поділитися на інших сайтах More sharing options... Venter Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 13 минут назад, buslikdrev сказал: Не подходит - проверка проходит на разных хостингах. Ты пытаешься защитить пользователей??? А как на счет того что пользователь должен ставить разные пароли??? Избитая тема. Можно при регистрации создавать пользователю отдельный хеш и писать его в бд и при хешировании пароля добавлять этот самый хеш. Что делать с авторизацией? Логика - Если почта или логин такой есть то достаем хеш хешируем введеный пароль и сравниваем с тем что в бд Надіслати Поділитися на інших сайтах More sharing options... Venter Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 Ну а так вообще то можно для своего сайта или клиентского сделать соль пароля свою, можно два варианта SALT_ONE.$password.SALT_TWO так точно не будет совпадать с другими сайтами Надіслати Поділитися на інших сайтах More sharing options... Venter Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 31 минуту назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. Если ты имеешь в виду установку опенкарта, то можно сделать так чтоб при установке создавалась эта самая соль пароля, в итоге будет у каждого сайта после установки свой хеш, даже если пароли будут одинаковые Надіслати Поділитися на інших сайтах More sharing options... esculapra Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 17 часов назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. 1. хакера нужно не допустить! То есть уделить особое внимание безопасности. 2. можно дополнительно исользовать htpasswd (я так понимаю, вопрос о защите входа в админку) 3. использовать SMS-аутентифика́цию сессии одноразовым паролем. 4. скрыть вход в админку. Я уже писал на форуме об этом. Я делал типа admin?_key=_value (эти параметры изменяются в настройках). Вот примерно http://magazilla.itlancers.org/admin/. Путь в мою админку скрыт, а подбирать значения _key и _value - пустая затея, тем более, что я могу назначить переход на левый сайт, если указан неправильный путь. Также желательно не размещать магазин на шаред-хостинге. Если хакер получит доступ к любому другому домену (особенно уязвим вордпресс), то дальше он сможет закинуть шелл и просматривать другие домены. 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 21 час назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. К чему подмешивать? sha2 необратима, это главная особенность. Знание соли не помогает вычислить первоначальный пароль, если соль унинкальна (иначе возможен подбор через рэйнбоу). Приделывайте длинную, уникальную для каждого сайта соль - и пусть хакер хоть полный доступ к одному сайту получит, к другому получить пасс это никак не поможет. Ну а уж сгенерировать уникальную соль - не проблема, и хранить её можно хоть в БД, хоть в файле. Можете её хоть на главной странице опубликовать, хэш останется безопасным 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Давайте я вам пример приведу. Вот с одного "сайта" хэш 0bb0f40d99b7176b9c824bf81b1ce236f68d8739624036c9d679b8c771c4e640 и известна соль, приписывается к пасу в конце abyrvalg1508221 с другого сайта хэш 0479270c8fff37e944c8e2ef5ba7326fca93e49aa3572da565131400fc47dd1d и соль, аналогично abyrvalg1408221 пасс одинаковый. И что вам (хакеру) это даст? Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Жаль программисты не дали своего комментария в теме. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Жаль программисты не дали своего комментария в теме. А вы попробуйте в следующий раз задать вопрос, относящийся к программированию. А то этот из области суеверий и заблуждений. Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 12 минут назад, Shureg сказал: А то этот из области суеверий и заблуждений. Это реальность и получив файлы, и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Меня лишь интересовал ответ, да есть вот функция или нет, не встречал. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Это реальность и получив файлы и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 36 минут назад, Shureg сказал: Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. И? Я не могу понять, от какого типа атаки вы защититься пытаетесь. Вот вскрыл хацкер ваш сайт, узнал все соли и хэши. Зарядил 100 компов и подобрал пароли, подходящие к другому сайту. Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Только что, Shureg сказал: Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Мысль-то ваша, вы ее и развивайте) Я не телепат. Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 2 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Допомога програмістам та розробникам Защита паролей после взлома Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
buslikdrev Опубліковано: 14 серпня 2021 Автор Share Опубліковано: 14 серпня 2021 5 часов назад, esculapra сказал: Насколько я знаю, хэш создается путем криптования пароль+емаил. Но можно еще добавить имя домена - тогда хэши на разнх доменах будут отличаться. Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. 2 часа назад, drOC сказал: https://www.php.net/manual/en/function.password-hash.php Не подходит - проверка проходит на разных хостингах. Надіслати Поділитися на інших сайтах More sharing options... Venter Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 13 минут назад, buslikdrev сказал: Не подходит - проверка проходит на разных хостингах. Ты пытаешься защитить пользователей??? А как на счет того что пользователь должен ставить разные пароли??? Избитая тема. Можно при регистрации создавать пользователю отдельный хеш и писать его в бд и при хешировании пароля добавлять этот самый хеш. Что делать с авторизацией? Логика - Если почта или логин такой есть то достаем хеш хешируем введеный пароль и сравниваем с тем что в бд Надіслати Поділитися на інших сайтах More sharing options... Venter Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 Ну а так вообще то можно для своего сайта или клиентского сделать соль пароля свою, можно два варианта SALT_ONE.$password.SALT_TWO так точно не будет совпадать с другими сайтами Надіслати Поділитися на інших сайтах More sharing options... Venter Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 31 минуту назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. Если ты имеешь в виду установку опенкарта, то можно сделать так чтоб при установке создавалась эта самая соль пароля, в итоге будет у каждого сайта после установки свой хеш, даже если пароли будут одинаковые Надіслати Поділитися на інших сайтах More sharing options... esculapra Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 17 часов назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. 1. хакера нужно не допустить! То есть уделить особое внимание безопасности. 2. можно дополнительно исользовать htpasswd (я так понимаю, вопрос о защите входа в админку) 3. использовать SMS-аутентифика́цию сессии одноразовым паролем. 4. скрыть вход в админку. Я уже писал на форуме об этом. Я делал типа admin?_key=_value (эти параметры изменяются в настройках). Вот примерно http://magazilla.itlancers.org/admin/. Путь в мою админку скрыт, а подбирать значения _key и _value - пустая затея, тем более, что я могу назначить переход на левый сайт, если указан неправильный путь. Также желательно не размещать магазин на шаред-хостинге. Если хакер получит доступ к любому другому домену (особенно уязвим вордпресс), то дальше он сможет закинуть шелл и просматривать другие домены. 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 21 час назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. К чему подмешивать? sha2 необратима, это главная особенность. Знание соли не помогает вычислить первоначальный пароль, если соль унинкальна (иначе возможен подбор через рэйнбоу). Приделывайте длинную, уникальную для каждого сайта соль - и пусть хакер хоть полный доступ к одному сайту получит, к другому получить пасс это никак не поможет. Ну а уж сгенерировать уникальную соль - не проблема, и хранить её можно хоть в БД, хоть в файле. Можете её хоть на главной странице опубликовать, хэш останется безопасным 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Давайте я вам пример приведу. Вот с одного "сайта" хэш 0bb0f40d99b7176b9c824bf81b1ce236f68d8739624036c9d679b8c771c4e640 и известна соль, приписывается к пасу в конце abyrvalg1508221 с другого сайта хэш 0479270c8fff37e944c8e2ef5ba7326fca93e49aa3572da565131400fc47dd1d и соль, аналогично abyrvalg1408221 пасс одинаковый. И что вам (хакеру) это даст? Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Жаль программисты не дали своего комментария в теме. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Жаль программисты не дали своего комментария в теме. А вы попробуйте в следующий раз задать вопрос, относящийся к программированию. А то этот из области суеверий и заблуждений. Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 12 минут назад, Shureg сказал: А то этот из области суеверий и заблуждений. Это реальность и получив файлы, и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Меня лишь интересовал ответ, да есть вот функция или нет, не встречал. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Это реальность и получив файлы и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 36 минут назад, Shureg сказал: Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. И? Я не могу понять, от какого типа атаки вы защититься пытаетесь. Вот вскрыл хацкер ваш сайт, узнал все соли и хэши. Зарядил 100 компов и подобрал пароли, подходящие к другому сайту. Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Только что, Shureg сказал: Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Мысль-то ваша, вы ее и развивайте) Я не телепат. Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 2 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Допомога програмістам та розробникам Защита паролей после взлома Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
Venter Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 13 минут назад, buslikdrev сказал: Не подходит - проверка проходит на разных хостингах. Ты пытаешься защитить пользователей??? А как на счет того что пользователь должен ставить разные пароли??? Избитая тема. Можно при регистрации создавать пользователю отдельный хеш и писать его в бд и при хешировании пароля добавлять этот самый хеш. Что делать с авторизацией? Логика - Если почта или логин такой есть то достаем хеш хешируем введеный пароль и сравниваем с тем что в бд Надіслати Поділитися на інших сайтах More sharing options... Venter Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 Ну а так вообще то можно для своего сайта или клиентского сделать соль пароля свою, можно два варианта SALT_ONE.$password.SALT_TWO так точно не будет совпадать с другими сайтами Надіслати Поділитися на інших сайтах More sharing options... Venter Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 31 минуту назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. Если ты имеешь в виду установку опенкарта, то можно сделать так чтоб при установке создавалась эта самая соль пароля, в итоге будет у каждого сайта после установки свой хеш, даже если пароли будут одинаковые Надіслати Поділитися на інших сайтах More sharing options... esculapra Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 17 часов назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. 1. хакера нужно не допустить! То есть уделить особое внимание безопасности. 2. можно дополнительно исользовать htpasswd (я так понимаю, вопрос о защите входа в админку) 3. использовать SMS-аутентифика́цию сессии одноразовым паролем. 4. скрыть вход в админку. Я уже писал на форуме об этом. Я делал типа admin?_key=_value (эти параметры изменяются в настройках). Вот примерно http://magazilla.itlancers.org/admin/. Путь в мою админку скрыт, а подбирать значения _key и _value - пустая затея, тем более, что я могу назначить переход на левый сайт, если указан неправильный путь. Также желательно не размещать магазин на шаред-хостинге. Если хакер получит доступ к любому другому домену (особенно уязвим вордпресс), то дальше он сможет закинуть шелл и просматривать другие домены. 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 21 час назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. К чему подмешивать? sha2 необратима, это главная особенность. Знание соли не помогает вычислить первоначальный пароль, если соль унинкальна (иначе возможен подбор через рэйнбоу). Приделывайте длинную, уникальную для каждого сайта соль - и пусть хакер хоть полный доступ к одному сайту получит, к другому получить пасс это никак не поможет. Ну а уж сгенерировать уникальную соль - не проблема, и хранить её можно хоть в БД, хоть в файле. Можете её хоть на главной странице опубликовать, хэш останется безопасным 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Давайте я вам пример приведу. Вот с одного "сайта" хэш 0bb0f40d99b7176b9c824bf81b1ce236f68d8739624036c9d679b8c771c4e640 и известна соль, приписывается к пасу в конце abyrvalg1508221 с другого сайта хэш 0479270c8fff37e944c8e2ef5ba7326fca93e49aa3572da565131400fc47dd1d и соль, аналогично abyrvalg1408221 пасс одинаковый. И что вам (хакеру) это даст? Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Жаль программисты не дали своего комментария в теме. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Жаль программисты не дали своего комментария в теме. А вы попробуйте в следующий раз задать вопрос, относящийся к программированию. А то этот из области суеверий и заблуждений. Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 12 минут назад, Shureg сказал: А то этот из области суеверий и заблуждений. Это реальность и получив файлы, и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Меня лишь интересовал ответ, да есть вот функция или нет, не встречал. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Это реальность и получив файлы и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 36 минут назад, Shureg сказал: Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. И? Я не могу понять, от какого типа атаки вы защититься пытаетесь. Вот вскрыл хацкер ваш сайт, узнал все соли и хэши. Зарядил 100 компов и подобрал пароли, подходящие к другому сайту. Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Только что, Shureg сказал: Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Мысль-то ваша, вы ее и развивайте) Я не телепат. Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 2 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Допомога програмістам та розробникам Защита паролей после взлома Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
Venter Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 Ну а так вообще то можно для своего сайта или клиентского сделать соль пароля свою, можно два варианта SALT_ONE.$password.SALT_TWO так точно не будет совпадать с другими сайтами Надіслати Поділитися на інших сайтах More sharing options... Venter Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 31 минуту назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. Если ты имеешь в виду установку опенкарта, то можно сделать так чтоб при установке создавалась эта самая соль пароля, в итоге будет у каждого сайта после установки свой хеш, даже если пароли будут одинаковые Надіслати Поділитися на інших сайтах More sharing options... esculapra Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 17 часов назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. 1. хакера нужно не допустить! То есть уделить особое внимание безопасности. 2. можно дополнительно исользовать htpasswd (я так понимаю, вопрос о защите входа в админку) 3. использовать SMS-аутентифика́цию сессии одноразовым паролем. 4. скрыть вход в админку. Я уже писал на форуме об этом. Я делал типа admin?_key=_value (эти параметры изменяются в настройках). Вот примерно http://magazilla.itlancers.org/admin/. Путь в мою админку скрыт, а подбирать значения _key и _value - пустая затея, тем более, что я могу назначить переход на левый сайт, если указан неправильный путь. Также желательно не размещать магазин на шаред-хостинге. Если хакер получит доступ к любому другому домену (особенно уязвим вордпресс), то дальше он сможет закинуть шелл и просматривать другие домены. 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 21 час назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. К чему подмешивать? sha2 необратима, это главная особенность. Знание соли не помогает вычислить первоначальный пароль, если соль унинкальна (иначе возможен подбор через рэйнбоу). Приделывайте длинную, уникальную для каждого сайта соль - и пусть хакер хоть полный доступ к одному сайту получит, к другому получить пасс это никак не поможет. Ну а уж сгенерировать уникальную соль - не проблема, и хранить её можно хоть в БД, хоть в файле. Можете её хоть на главной странице опубликовать, хэш останется безопасным 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Давайте я вам пример приведу. Вот с одного "сайта" хэш 0bb0f40d99b7176b9c824bf81b1ce236f68d8739624036c9d679b8c771c4e640 и известна соль, приписывается к пасу в конце abyrvalg1508221 с другого сайта хэш 0479270c8fff37e944c8e2ef5ba7326fca93e49aa3572da565131400fc47dd1d и соль, аналогично abyrvalg1408221 пасс одинаковый. И что вам (хакеру) это даст? Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Жаль программисты не дали своего комментария в теме. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Жаль программисты не дали своего комментария в теме. А вы попробуйте в следующий раз задать вопрос, относящийся к программированию. А то этот из области суеверий и заблуждений. Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 12 минут назад, Shureg сказал: А то этот из области суеверий и заблуждений. Это реальность и получив файлы, и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Меня лишь интересовал ответ, да есть вот функция или нет, не встречал. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Это реальность и получив файлы и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 36 минут назад, Shureg сказал: Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. И? Я не могу понять, от какого типа атаки вы защититься пытаетесь. Вот вскрыл хацкер ваш сайт, узнал все соли и хэши. Зарядил 100 компов и подобрал пароли, подходящие к другому сайту. Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Только что, Shureg сказал: Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Мысль-то ваша, вы ее и развивайте) Я не телепат. Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 2 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Допомога програмістам та розробникам Защита паролей после взлома Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
Venter Опубліковано: 14 серпня 2021 Share Опубліковано: 14 серпня 2021 31 минуту назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. Если ты имеешь в виду установку опенкарта, то можно сделать так чтоб при установке создавалась эта самая соль пароля, в итоге будет у каждого сайта после установки свой хеш, даже если пароли будут одинаковые Надіслати Поділитися на інших сайтах More sharing options... esculapra Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 17 часов назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. 1. хакера нужно не допустить! То есть уделить особое внимание безопасности. 2. можно дополнительно исользовать htpasswd (я так понимаю, вопрос о защите входа в админку) 3. использовать SMS-аутентифика́цию сессии одноразовым паролем. 4. скрыть вход в админку. Я уже писал на форуме об этом. Я делал типа admin?_key=_value (эти параметры изменяются в настройках). Вот примерно http://magazilla.itlancers.org/admin/. Путь в мою админку скрыт, а подбирать значения _key и _value - пустая затея, тем более, что я могу назначить переход на левый сайт, если указан неправильный путь. Также желательно не размещать магазин на шаред-хостинге. Если хакер получит доступ к любому другому домену (особенно уязвим вордпресс), то дальше он сможет закинуть шелл и просматривать другие домены. 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 21 час назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. К чему подмешивать? sha2 необратима, это главная особенность. Знание соли не помогает вычислить первоначальный пароль, если соль унинкальна (иначе возможен подбор через рэйнбоу). Приделывайте длинную, уникальную для каждого сайта соль - и пусть хакер хоть полный доступ к одному сайту получит, к другому получить пасс это никак не поможет. Ну а уж сгенерировать уникальную соль - не проблема, и хранить её можно хоть в БД, хоть в файле. Можете её хоть на главной странице опубликовать, хэш останется безопасным 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Давайте я вам пример приведу. Вот с одного "сайта" хэш 0bb0f40d99b7176b9c824bf81b1ce236f68d8739624036c9d679b8c771c4e640 и известна соль, приписывается к пасу в конце abyrvalg1508221 с другого сайта хэш 0479270c8fff37e944c8e2ef5ba7326fca93e49aa3572da565131400fc47dd1d и соль, аналогично abyrvalg1408221 пасс одинаковый. И что вам (хакеру) это даст? Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Жаль программисты не дали своего комментария в теме. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Жаль программисты не дали своего комментария в теме. А вы попробуйте в следующий раз задать вопрос, относящийся к программированию. А то этот из области суеверий и заблуждений. Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 12 минут назад, Shureg сказал: А то этот из области суеверий и заблуждений. Это реальность и получив файлы, и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Меня лишь интересовал ответ, да есть вот функция или нет, не встречал. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Это реальность и получив файлы и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 36 минут назад, Shureg сказал: Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. И? Я не могу понять, от какого типа атаки вы защититься пытаетесь. Вот вскрыл хацкер ваш сайт, узнал все соли и хэши. Зарядил 100 компов и подобрал пароли, подходящие к другому сайту. Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Только что, Shureg сказал: Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Мысль-то ваша, вы ее и развивайте) Я не телепат. Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 2 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Допомога програмістам та розробникам Защита паролей после взлома Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
esculapra Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 17 часов назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. 1. хакера нужно не допустить! То есть уделить особое внимание безопасности. 2. можно дополнительно исользовать htpasswd (я так понимаю, вопрос о защите входа в админку) 3. использовать SMS-аутентифика́цию сессии одноразовым паролем. 4. скрыть вход в админку. Я уже писал на форуме об этом. Я делал типа admin?_key=_value (эти параметры изменяются в настройках). Вот примерно http://magazilla.itlancers.org/admin/. Путь в мою админку скрыт, а подбирать значения _key и _value - пустая затея, тем более, что я могу назначить переход на левый сайт, если указан неправильный путь. Также желательно не размещать магазин на шаред-хостинге. Если хакер получит доступ к любому другому домену (особенно уязвим вордпресс), то дальше он сможет закинуть шелл и просматривать другие домены. 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 21 час назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. К чему подмешивать? sha2 необратима, это главная особенность. Знание соли не помогает вычислить первоначальный пароль, если соль унинкальна (иначе возможен подбор через рэйнбоу). Приделывайте длинную, уникальную для каждого сайта соль - и пусть хакер хоть полный доступ к одному сайту получит, к другому получить пасс это никак не поможет. Ну а уж сгенерировать уникальную соль - не проблема, и хранить её можно хоть в БД, хоть в файле. Можете её хоть на главной странице опубликовать, хэш останется безопасным 1 Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Давайте я вам пример приведу. Вот с одного "сайта" хэш 0bb0f40d99b7176b9c824bf81b1ce236f68d8739624036c9d679b8c771c4e640 и известна соль, приписывается к пасу в конце abyrvalg1508221 с другого сайта хэш 0479270c8fff37e944c8e2ef5ba7326fca93e49aa3572da565131400fc47dd1d и соль, аналогично abyrvalg1408221 пасс одинаковый. И что вам (хакеру) это даст? Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Жаль программисты не дали своего комментария в теме. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Жаль программисты не дали своего комментария в теме. А вы попробуйте в следующий раз задать вопрос, относящийся к программированию. А то этот из области суеверий и заблуждений. Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 12 минут назад, Shureg сказал: А то этот из области суеверий и заблуждений. Это реальность и получив файлы, и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Меня лишь интересовал ответ, да есть вот функция или нет, не встречал. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Это реальность и получив файлы и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 36 минут назад, Shureg сказал: Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. И? Я не могу понять, от какого типа атаки вы защититься пытаетесь. Вот вскрыл хацкер ваш сайт, узнал все соли и хэши. Зарядил 100 компов и подобрал пароли, подходящие к другому сайту. Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Только что, Shureg сказал: Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Мысль-то ваша, вы ее и развивайте) Я не телепат. Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 2 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Допомога програмістам та розробникам Защита паролей после взлома Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000 × Уже зареєстровані? Ввійти Реєстрація Ваші замовлення Назад Придбані модулі та шаблони Ваші рахунки Лист очікувань Альтернативні контакти Форум Новини ocStore Назад Офіційний сайт Демо ocStore 3.0.3.2 Демо ocStore 2.3.0.2.4 Завантажити ocStore Документація Історія версій ocStore Блоги Модулі Шаблони Назад Безкоштовні шаблони Платні шаблони Де купувати модулі? Послуги FAQ OpenCart.Pro Назад Демо Купити Порівняння × Створити... Important Information На нашому сайті використовуються файли cookie і відбувається обробка деяких персональних даних користувачів, щоб поліпшити користувальницький інтерфейс. Щоб дізнатися для чого і які персональні дані ми обробляємо перейдіть за посиланням . Якщо Ви натиснете «Я даю згоду», це означає, що Ви розумієте і приймаєте всі умови, зазначені в цьому Повідомленні про конфіденційність. Я даю згоду
Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 21 час назад, buslikdrev сказал: Хакер посмотрит файлы и будет знать, что нужно подмешивать почту и имя домена. К чему подмешивать? sha2 необратима, это главная особенность. Знание соли не помогает вычислить первоначальный пароль, если соль унинкальна (иначе возможен подбор через рэйнбоу). Приделывайте длинную, уникальную для каждого сайта соль - и пусть хакер хоть полный доступ к одному сайту получит, к другому получить пасс это никак не поможет. Ну а уж сгенерировать уникальную соль - не проблема, и хранить её можно хоть в БД, хоть в файле. Можете её хоть на главной странице опубликовать, хэш останется безопасным 1 Надіслати Поділитися на інших сайтах More sharing options...
Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Давайте я вам пример приведу. Вот с одного "сайта" хэш 0bb0f40d99b7176b9c824bf81b1ce236f68d8739624036c9d679b8c771c4e640 и известна соль, приписывается к пасу в конце abyrvalg1508221 с другого сайта хэш 0479270c8fff37e944c8e2ef5ba7326fca93e49aa3572da565131400fc47dd1d и соль, аналогично abyrvalg1408221 пасс одинаковый. И что вам (хакеру) это даст? Надіслати Поділитися на інших сайтах More sharing options...
buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Жаль программисты не дали своего комментария в теме. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Жаль программисты не дали своего комментария в теме. А вы попробуйте в следующий раз задать вопрос, относящийся к программированию. А то этот из области суеверий и заблуждений. Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 12 минут назад, Shureg сказал: А то этот из области суеверий и заблуждений. Это реальность и получив файлы, и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Меня лишь интересовал ответ, да есть вот функция или нет, не встречал. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Это реальность и получив файлы и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 36 минут назад, Shureg сказал: Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. И? Я не могу понять, от какого типа атаки вы защититься пытаетесь. Вот вскрыл хацкер ваш сайт, узнал все соли и хэши. Зарядил 100 компов и подобрал пароли, подходящие к другому сайту. Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Только что, Shureg сказал: Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Мысль-то ваша, вы ее и развивайте) Я не телепат. Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 2 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Допомога програмістам та розробникам Защита паролей после взлома Покупцям Оплата розширень фізичними особами Оплата розширень юридичними особами Політика повернень Розробникам Регламент розміщення розширень Регламент продажу та підтримки розширень Віртуальний обліковий запис автора Політика просування оголошень API каталогу розширень Вирішення спорів щодо авторських прав Корисна інформація Публічна оферта Політика повернень Політика конфіденційності Платіжна політика Політика передачі особистих даних Політика прозорості Останні розширення PRICE MASTER - Модуль імпорту/експорту товарів, парсинг, переклад, генерація текстів, редактор каталогу та багато іншого Автор: ScriptBrains 1.0 Синхронізація Замовлень Rozetka.ua та Opencart Автор: sinco Product Manipulator Автор: Hiperlynx007 Видалення дублікатів товарів для OpenCart Автор: Hatshypsut Вибір категорій і виробників для "Знайшли дешевше" шаблону Upstore Автор: Flint2000
Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Жаль программисты не дали своего комментария в теме. А вы попробуйте в следующий раз задать вопрос, относящийся к программированию. А то этот из области суеверий и заблуждений. Надіслати Поділитися на інших сайтах More sharing options...
buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 12 минут назад, Shureg сказал: А то этот из области суеверий и заблуждений. Это реальность и получив файлы, и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Меня лишь интересовал ответ, да есть вот функция или нет, не встречал. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Это реальность и получив файлы и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 36 минут назад, Shureg сказал: Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. И? Я не могу понять, от какого типа атаки вы защититься пытаетесь. Вот вскрыл хацкер ваш сайт, узнал все соли и хэши. Зарядил 100 компов и подобрал пароли, подходящие к другому сайту. Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Только что, Shureg сказал: Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Мысль-то ваша, вы ее и развивайте) Я не телепат. Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 2 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку Последние темы Последние дополнения Последние новости Вся активність Головна Підтримка та відповіді на запитання. Допомога програмістам та розробникам Защита паролей после взлома
Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 2 минуты назад, buslikdrev сказал: Это реальность и получив файлы и БД (могут получить гос. органы, хакеры, фрилансеры), возьмут 100 компьютеров и будут подбором паролей прогонять. Зная телефон и пароль - будут на других сайтах прогонять. Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Надіслати Поділитися на інших сайтах More sharing options...
buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 36 минут назад, Shureg сказал: Что прогонять? Если я подбором взломал ваш пароль, то нафиг мне сравнивать хэши, я просто зайду с паролем там, где он такой же. И никак вы этому не помешаете))) Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. И? Я не могу понять, от какого типа атаки вы защититься пытаетесь. Вот вскрыл хацкер ваш сайт, узнал все соли и хэши. Зарядил 100 компов и подобрал пароли, подходящие к другому сайту. Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Надіслати Поділитися на інших сайтах More sharing options... buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Только что, Shureg сказал: Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Мысль-то ваша, вы ее и развивайте) Я не телепат. Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 2 Перейти до списку тем Зараз на сторінці 0 користувачів Ні користувачів, які переглядиють цю сторінку
Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Хэши нужны, чтобы подобрать на своём компьютере, а не на сервере жертвы. И? Я не могу понять, от какого типа атаки вы защититься пытаетесь. Вот вскрыл хацкер ваш сайт, узнал все соли и хэши. Зарядил 100 компов и подобрал пароли, подходящие к другому сайту. Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Надіслати Поділитися на інших сайтах More sharing options...
buslikdrev Опубліковано: 15 серпня 2021 Автор Share Опубліковано: 15 серпня 2021 Только что, Shureg сказал: Какая ему разница, какие у вас на другом сайте хэши, если у него пароли есть. Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Надіслати Поділитися на інших сайтах More sharing options... Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Мысль-то ваша, вы ее и развивайте) Я не телепат. Надіслати Поділитися на інших сайтах More sharing options... Створіть аккаунт або увійдіть для коментування Ви повинні бути користувачем, щоб залишити коментар Створити обліковий запис Зареєструйтеся для отримання облікового запису. Це просто! Зареєструвати аккаунт Вхід Уже зареєстровані? Увійдіть тут. Вхід зараз Share More sharing options... Передплатники 2
Shureg Опубліковано: 15 серпня 2021 Share Опубліковано: 15 серпня 2021 Только что, buslikdrev сказал: Ну развивайте мысль далее (много личных данных в зависимости от другого сайта). Мысль-то ваша, вы ее и развивайте) Я не телепат. Надіслати Поділитися на інших сайтах More sharing options...
Recommended Posts