- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Пишу систему авторизации, озаботился таким вопросом: какой по вашему мнению алгоритм хеширования лучше: md5 или sha1, либо другие?
md5 - не рекомендуется.
читайте хабр, там много расписано на эту тему:
http://habrahabr.ru/post/158491/
http://habrahabr.ru/post/100301/
http://habrahabr.ru/post/159043/
и так далее...
Самое главное, если коротко - соль.
Используйте для каждого юзера разную соль.
Да, подобрать пароль к md5-представлению проще, чем к sha1 и пр., НО! для этого нужно получить хэш на руки.
А чтобы получить хэш, нужно взломать сайт.
А если сайт взломан, то какой смысл подбирать пароль к хэшу?
Ради спортивного интереса? :)
;11686007']Да, подобрать пароль к md5-представлению проще, чем к sha1 и пр., НО! для этого нужно получить хэш на руки.
А чтобы получить хэш, нужно взломать сайт.
А если сайт взломан, то какой смысл подбирать пароль к хэшу?
Ради спортивного интереса? :)
В большинстве случаев, требования к заливки шелла на популярных КМСках - "права администратора".
Если нашел скулю и узнал хэш пароля админа, то зачем искать способ заливки шелла без авторизации(его может и нет), если можно в радуге подобрать пароль по хэшу из БД. Сервисов достаточно. Цены копеечные.
Может написал и сумбурно, но идею, надеюсь, донес;)
Если нашел скулю
Кого? :)
и узнал хэш пароля админа
Как?! :)
Кого?
SQL видимо.. - От слова скулить..
Как?!
Может написал и сумбурно, но идею, надеюсь, донес
Донёс-донёс.. :)
;11686026']Кого? :)
Как?! :)
:)
Скуля - SQL-injection
Как?
1) Идем по этому запросу
2) Ищем скулю(в помощь одинарная ковычка, юнион, ордер/гроуп бай 1/2/3/100500)
3) information_schema(schemata, tables, columns)
4) Дальше продолжать не буду.
В этом запросе, в первой сотне будут сайты, на которых разбирается проблема с "warning'om", а вот остальные сайты есть вероятность раскрутить на скулю.
ЗЫ. около пол-года назад по такому же запросу наблюдал в выдаче урлы типа www.site.ru/param1=value1¶m2='value2
Либо кто-то массово загонял такие страницы в индекс, чтобы было легче искать, либо плагины настолько корявые;)
ЗЗЫ. Как взломать сайт не знаю. Все что написано здесь случайно нашел в гугле:D
50% юзеров используют одинаковые пароли, подобрав их - мы получим доступ к мылу и соц сетям, дальше уже от фантазии зависит.
В написании собственной "системы авторизации", хеш - не самое главное, там более важно все максимально безопасно написать, ибо дыр можно наделать огромную кучу.
Аааа... ясно :)
Ну так, грубо говоря, если голова не на месте, то и на хэши уповать не стоит.
Самое главное, если коротко - соль.
Используйте для каждого юзера разную соль.
Да, спасибо! про соль это гуд. Можно даже поизвращаться с тройным хешем и двойной солью. 🤣
Еще думал о функции crypt()
;11686188']Аааа... ясно :)
Ну так, грубо говоря, если голова не на месте, то и на хэши уповать не стоит.
По вашей логике пароли вообще шифровать не стоит.
Это ведь защищает не только от внешних вредителей, но и от недобросовестных коллег.
Кстати, полгода назад занимался сайтом администрации довольно большого города и обнаружил что там пароли хранятся так как есть. Т.е пароли чиновников, которые там зареганы, я мог увести без особого труда. Вот так вот.