באיזה הצפנה phpbb מצפינה סיסמאות?

דיון כללי על המערכת החדשה. ספרו לנו איך אתם מסתדרים איתה, הציעו הצעות, הביעו דיעות וכו'. שימו לב שזהו אינו פורום תמיכה.

מנהל: צוות האתר

raz1001
משתמש חדש
משתמש חדש
הודעות: 93
הצטרף: 25/06/2010 ב-15:55:41

באיזה הצפנה phpbb מצפינה סיסמאות?

הודעה שלא נקראהעל ידי raz1001 » 27/05/2011 ב-22:41:37

באיזה הצפנה phpbb מצפינה סיסמאות?

avnerba
משתמש באימונים
משתמש באימונים
הודעות: 352
הצטרף: 18/10/2010 ב-22:35:16
יצירת קשר:

Re: באיזה הצפנה phpbb מצפינה סיסמאות?

הודעה שלא נקראהעל ידי avnerba » 28/05/2011 ב-20:39:38

MD5 כפי שזכור לי, (שמישהו יתקן אותי אם אני טועה).
הודעה מאת:אבנר,
אחסון אתרים חינם

Shlomi1
משתמש מכור
משתמש מכור
הודעות: 2090
הצטרף: 12/04/2009 ב-22:28:31
יצירת קשר:

Re: באיזה הצפנה phpbb מצפינה סיסמאות?

הודעה שלא נקראהעל ידי Shlomi1 » 28/05/2011 ב-20:50:21

avnerba כתב:MD5 כפי שזכור לי, (שמישהו יתקן אותי אם אני טועה).

אבנר צודק.
הצפנת הסיסמאות - md5.
ניתן לראות זאת בקובץ Login.php
if( md5($password) == $row['user_password'] && $row['user_active'] )


תוכלו לקרוא עוד על ההצפנה - http://he.wikipedia.org/wiki/MD5

ttttt
משתמש מתקדם
משתמש מתקדם
הודעות: 1435
הצטרף: 08/01/2006 ב-21:29:11

Re: באיזה הצפנה phpbb מצפינה סיסמאות?

הודעה שלא נקראהעל ידי ttttt » 29/05/2011 ב-02:46:16

Shlomi1 כתב:אבנר צודק.
הצפנת הסיסמאות - md5.
ניתן לראות זאת בקובץ Login.php
if( md5($password) == $row['user_password'] && $row['user_active'] )

תוכלו לקרוא עוד על ההצפנה - http://he.wikipedia.org/wiki/MD5


אבנר כמובן אינו צודק[1], וגם שלומי לא צודק.
קודם כל ולפני הכל, הססמאות ב-phpbb לא "מוצפנות" (encrypted) אלא "מעורבלות" ("hashed"). לפעמים קוראים לערבול "הצפנה חד כיוונית", אבל זו טעות. ערבול אינו הצפנה - אין דרך "לפענח" את הערבול.

טעויות כאלו אינן נדירות בקרב הכותבים בפורום הזה - העברית כאן זה לא מי יודע כמה.
על טעות כזו לא הייתי טורח להעיר.
הטעות המשמעותית יותר היא האמירה שהערבול הוא MD5. זה היה נכון ב-phpbb2, ואינו נכון ב-phpbb3.

הערבול בו משתמשת המערכת הוא ערבול מוזר שהמציאו המפתחים עצמם, ועיקרו הרצת MD5 מספר פעמים תוך הוספת salt בין ריצה לריצה, מתוך אשליה שהתערובת המוזרה הזו תגביר את האבטחה. הסיבה לכך היא שידוע ש-MD5 היא שיטת ערבול לא בטוחה, ובזמן בו נכתבה phpbb3, לא כל פלטפורמות php תמכו בשיטות ערבול בטוחות יותר כמו SHA1 או SHA2.

אם ברצונך לקרוא את הפונקציה המעוותת שהמפתחים סרגו לערבול ססמאות (זהירות - הסתכלות ממושכת מדי בפונקציה זו יכולה לגרום לנזק לראייה)- היא נקראת phpbb_hash, בקובץ functions.php



[1] "כמובן" - מפני שאבנר כמעט לעולם אינו צודק. העצות שהוא נוהג לחלק כאן ביד רחבה כמעט אף פעם אינן מועילות (במקרה הטוב) ולעתים קרובות מזיקות (במקרה הפחות טוב). אבנר, אם אתה קורא את הדברים: אנא הפסק לתת עצות בנושאים בהם אינך מבין, ובפרט הפסק לתת עצות בפורום הזה.

סמל אישי של המשתמש
arye
משתמש חדש
משתמש חדש
הודעות: 137
הצטרף: 03/04/2010 ב-23:57:04
מיקום: ירושלים

Re: באיזה הצפנה phpbb מצפינה סיסמאות?

הודעה שלא נקראהעל ידי arye » 30/05/2011 ב-13:39:15

ttttt כתב:
Shlomi1 כתב:אבנר צודק.
הצפנת הסיסמאות - md5.
ניתן לראות זאת בקובץ Login.php
if( md5($password) == $row['user_password'] && $row['user_active'] )

תוכלו לקרוא עוד על ההצפנה - http://he.wikipedia.org/wiki/MD5


אבנר כמובן אינו צודק[1], וגם שלומי לא צודק.
קודם כל ולפני הכל, הססמאות ב-phpbb לא "מוצפנות" (encrypted) אלא "מעורבלות" ("hashed"). לפעמים קוראים לערבול "הצפנה חד כיוונית", אבל זו טעות. ערבול אינו הצפנה - אין דרך "לפענח" את הערבול.

טעויות כאלו אינן נדירות בקרב הכותבים בפורום הזה - העברית כאן זה לא מי יודע כמה.
על טעות כזו לא הייתי טורח להעיר.
הטעות המשמעותית יותר היא האמירה שהערבול הוא MD5. זה היה נכון ב-phpbb2, ואינו נכון ב-phpbb3.

הערבול בו משתמשת המערכת הוא ערבול מוזר שהמציאו המפתחים עצמם, ועיקרו הרצת MD5 מספר פעמים תוך הוספת salt בין ריצה לריצה, מתוך אשליה שהתערובת המוזרה הזו תגביר את האבטחה. הסיבה לכך היא שידוע ש-MD5 היא שיטת ערבול לא בטוחה, ובזמן בו נכתבה phpbb3, לא כל פלטפורמות php תמכו בשיטות ערבול בטוחות יותר כמו SHA1 או SHA2.

אם ברצונך לקרוא את הפונקציה המעוותת שהמפתחים סרגו לערבול ססמאות (זהירות - הסתכלות ממושכת מדי בפונקציה זו יכולה לגרום לנזק לראייה)- היא נקראת phpbb_hash, בקובץ functions.php



[1] "כמובן" - מפני שאבנר כמעט לעולם אינו צודק. העצות שהוא נוהג לחלק כאן ביד רחבה כמעט אף פעם אינן מועילות (במקרה הטוב) ולעתים קרובות מזיקות (במקרה הפחות טוב). אבנר, אם אתה קורא את הדברים: אנא הפסק לתת עצות בנושאים בהם אינך מבין, ובפרט הפסק לתת עצות בפורום הזה.


רואים שקשה לך עם טעויות של אחרים, אבל לא נורא שהרי "מטעויות לומדים"..
תודה רבה על ההסבר, ממך אפשר ללמוד הרבה!
נ.ב. מדוע אינך משתמש בשם משתמש נורמטיבי? :shock: (ttttt)
עיצובים שתרגמתי:
Artodia: Mobile and SEO
envision
we_clearblue
TBF
FadingMist

למידע נוסף ← תרגום ויישור עיצובים לפורומים


חזור אל “דיון”

מי מחובר

משתמשים הגולשים בפורום זה: אין משתמשים רשומים ו־ 99 אורחים

cron