Даже если и нет - это временно. Ионкуб, как и зенд, всего лишь компилит исходники в байт-код. Т.е. там никакого шифрования. Ну т.е. даже если он и шифрует что-то, то алгоритм дешифровки лежит в расширении для запуска кодированных файлов. В общем, опять же, как одна из стадий защиты - вполне, как панацея - нет.
Если ты перечитаешь этот супертопик, то узнаешь, что соль прятать не надо, и я раз пятнадцать озвучил единственную ситуацию, в кторой соль составит проблему для плохих дядек.
в принципе вполне одиаково безопасно хранить пароли в открытом виде в случае если есть второй сервак в локалке без выхода в инет который как раз и осуществляет авторизацию и хранение важной инфы.
нет. через первый сервак - не хакается. Хакается первый сервер. Но во-первых проще заслать трояна или устроиться на работу в эту фирму и действовать изнутри. А во-вторых, если у вас взломали сам сервак, то проблема соления паролей отпадает сама собой - никто с ними возиться не будет. Действовать будут через взломанную машину и получат доступ ко всей инфе риалтайм без всякой возни с хэшами и прочей лабудой. Наличие доступа к серверу снимает любые вопросы про соление, хэши и прочую лабудень. Так что в такой ситуации допустимо хранить пароли на втором серваке в открытом виде.
а вот в крупных проектах так возможно и делают ? и да , скажите наконец чем лучше хешировать и солить всё что видно ибо это уже захерило =)
логин = логин пароль = md5(логин+пароль) ЗЫ: я солить так и не сподобился. Сейчас подумываю о реализации описанной мною схемы с двумя серверами. Но и в этом смысла не вижу на данный момент.
вот ведь развели дискуссию, запарился читать. с солью все ясно, интересно, на самом деле, какой же тип системы должен быть, что бы доступ к базе был менее важен чем доступ именно к самому аккаунту. Ок, аккаунт банка со стопицот денег на нем, но это банки и там системы защиты очень сильные, потому денег себе напереводить имея просто доступ к базе даже с правами супер рута явно не получится, ибо все равно задействованы еще несколько серверов, хотя я, конечно, не знаю. + системы которые работают с какими-то другими сервисами, которые взломать тяжелее, но имея доступ к аккаунту в первой системе можно получить данные из второй. какие еще типы системы требуют именно возможности зайти в них что бы получить profit, а не только иметь базу? их явно много, но у среднестатистического веб-проекта все таки ценность скорее представляет база, и то сомнительную, разве нет? вообщем я согласен с мнением Igordata, что хеши и соль все это классно, но надо оценивать насколько кому-то это понадобится, и делать убер защиту когда в этом есть реальная необходимость, ибо время человека все таки денег стоит. и плюс терморектальный криптоанализ все-таки никто не отменял, какая бы убер защита у вас не была.
VItalijs оригинальные пароли пользователей сами по себе являются такой информацией и стоят хотябы минимальных усилий по их защите.
я уже показывал, как юзать статическую соль, получить все ништяки динамической и при этом ни к чему не привязываться. плата за это - 2 раза придётся хэшировать: исходное: $opensalt $pass $dinamicsalt = hash($pass . $opensalt); $hashedpass = hash($pass . $dinamicsalt); ps: схема классическая, я ничего не придумывал
titch да пофик. суть не меняетя: если солить, то соль должна быть разной. Можно наверное даже так: md5(pass+md5(pass)) единственная цель соли - увеличить пользовательский "пароль" - то что подается на хеш-функцию.
+100500. MiksIr уже говорил это выше в топике, я лишь повторю - у многих людей один и тот же пароль для разных сервисов. Получив его можно например открыть его почту, а через нее получить пароли к платежным системам. Вот это важно, а совсем не контент сайта.