безопасность паролей

И всё прочее, что касается HTML
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

безопасность паролей

Непрочитанное сообщение ProFTP » 2008-07-08 0:36:42

есть таблица акканутов! многие программы зашифровывают пароли по разному, proftp и постфик!
есть веб интрфейс который записывает в таблицу данные из формы, формирует все в ней, дальше запускаеться скрипт который смотрит изменния или новые аккануты и заносит данные в программы, как сделать нормально чтобы пароли не узнали??

если proftp будет передавать локально пароли mysql серверу из локалхоста, его можно узнать?

аккаунты пользователей хэширую md5
md5 говорят, можно разшифровать, я нашел в гугле много вариантов...

достаточно вот такого при запросе, чтобы инъекции не было в mysql!

Код: Выделить всё

    $sth->execute("$sd"); 
скорее всего нужно чтобы не ломанули mysql, ну и пароли тоже... есть смысл mysql сервер или клиент поставить в jail? или поставить клиент только? :fool:

еще появилась идея смотреть в сторону openldap, но времени займет много...

как тут сделать чтобы свинарник не изобретать??
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: безопасность паролей

Непрочитанное сообщение ProFTP » 2008-07-08 1:13:45

еще хотел спросить, как деньги передвать и хранить очень безопасно, никто не видел может статью?
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: безопасность паролей

Непрочитанное сообщение zg » 2008-07-08 5:01:35

если работа с деньгами, то https обязательно, никакого http!

paradox_
проходил мимо

Re: безопасность паролей

Непрочитанное сообщение paradox_ » 2008-07-08 5:14:24

ескейп mysql запросов нужно делать
что бы вам иньекцию не сделали = ))

zg
полковник
Сообщения: 5845
Зарегистрирован: 2007-12-07 13:51:33
Откуда: Верх-Нейвинск

Re: безопасность паролей

Непрочитанное сообщение zg » 2008-07-08 5:18:27

ProFTP писал(а):скорее всего нужно чтобы не ломанули mysql, ну и пароли тоже... есть смысл mysql сервер или клиент поставить в jail? или поставить клиент только? :fool:
нет, поскольку она и так должна висеть на локалхосте, это своего рода тоже jail.

Для того, чтобы не ломанули mysql достаточно грамотно составлять запросы и экранировать, экранировать и экранировать...
ProFTP писал(а): $sth->execute("$sd");
во-первых, это будет работать только с prepare, во-вторых удручают кавычки, это говорит о недостаточном уровне понимания перла, в третьих без знания технологий инъекций и приёмов взлома безопасный проект не написать. Помимо инъекций есть ещё XSS с подменой формы логирования.
ProFTP писал(а): как сделать нормально чтобы пароли не узнали?
исключить инъекции в sql, html, perl. Не знаю почему, но любители перла, почему-то обыно нелюбители следить за переменными, особенно при выводе в html, это ошибка за которую можно поплатиться. Если опыта мало и сервис закрытый, то сажай за апачевскую авторизацию, это исключит нежелательных лиц со стороны вебмодры на 99%, далее уже можешь свою админку пихать. И вести лог ошибок с указанием времени и адреса клиента, взлом всегда отчётливо видно по таким логам.

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: безопасность паролей

Непрочитанное сообщение ProFTP » 2008-07-08 22:35:16

мне еще сказали что лучше сгенерировать пароль сиволами [a-zA-Z0-9] в 10 строк, и в хэш 24 бит или 32бит, тогда не расшифруют, хотя в гугле поискал и там форумчане расшифровывали/переберали хэши в которых сложные пароли 5-7 символов!!

тут главное чтобы в базу не зашли, а пароль можно и не шифровать (условно)! Хэш все равно наверное любой разшируют, даже если запустить на 32 процессорном компютере засшифровщик md5 inside

http://forum.xakep.ru/m_1024319/tm.htm
http://passcracking.ru/index.php

Код: Выделить всё

use PerlIO::via::MD5;
 PerlIO::via::MD5->method( 'hexdigest' ); # default, return 32 hex digits
 PerlIO::via::MD5->method( 'digest' );    # return 16-byte binary value
 PerlIO::via::MD5->method( 'b64digest' ); # return 22-byte base64 (MIME) value
 open( my $in,'<:via(MD5)','file' )
  or die "Can't open file for digesting: $!\n";
 my $digest = <$in>;

Код: Выделить всё

 $method = PerlIO::via::MD5->method;  # obtain current setting
 PerlIO::via::MD5->method( $method ); # set new digest method

тут лучше всего openldap, но я уже почти закончил для mysql :cry: :cry: прейдеться потом переделывать, а то уже писать надоело :drinks:
Последний раз редактировалось ProFTP 2008-07-08 22:44:58, всего редактировалось 2 раза.
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: безопасность паролей

Непрочитанное сообщение Alex Keda » 2008-07-08 22:37:37

ProFTP писал(а):сложные пароли 5-7 символов!!
давно они сложными стали?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: безопасность паролей

Непрочитанное сообщение ProFTP » 2008-07-08 22:38:18

всмысле?
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение

Аватара пользователя
ProFTP
подполковник
Сообщения: 3388
Зарегистрирован: 2008-04-13 1:50:04
Откуда: %&й
Контактная информация:

Re: безопасность паролей

Непрочитанное сообщение ProFTP » 2008-07-08 22:39:36

Код: Выделить всё

#!/usr/local/bin/perl
                            
    use Digest::MD5::Reverse;
    print "Data is ".reverse_md5("7fa8282ad93047a4d6fe6111c93b308asdf")."\n"; #хэш я изменил, поставьте свой
    # Data is foo
вот так можно разшифровать! парjль допустим: iii0000

если на много усложненныйто, срадобает тайм-аут в скрипте.... вообще-то расшифровать можно все равно наверное :"":
Pеrl FAQ
perl -e 'print join"",map $$_[rand@$_],([0..9,'a'..'z','A'..'Z'])x30'
ИзображениеИзображение