מנהל: צוות האתר
avnerba כתב:MD5 כפי שזכור לי, (שמישהו יתקן אותי אם אני טועה).
if( md5($password) == $row['user_password'] && $row['user_active'] )
Shlomi1 כתב:אבנר צודק.
הצפנת הסיסמאות - md5.
ניתן לראות זאת בקובץ Login.phpif( md5($password) == $row['user_password'] && $row['user_active'] )
תוכלו לקרוא עוד על ההצפנה - http://he.wikipedia.org/wiki/MD5
ttttt כתב:Shlomi1 כתב:אבנר צודק.
הצפנת הסיסמאות - md5.
ניתן לראות זאת בקובץ Login.phpif( md5($password) == $row['user_password'] && $row['user_active'] )
תוכלו לקרוא עוד על ההצפנה - http://he.wikipedia.org/wiki/MD5
אבנר כמובן אינו צודק[1], וגם שלומי לא צודק.
קודם כל ולפני הכל, הססמאות ב-phpbb לא "מוצפנות" (encrypted) אלא "מעורבלות" ("hashed"). לפעמים קוראים לערבול "הצפנה חד כיוונית", אבל זו טעות. ערבול אינו הצפנה - אין דרך "לפענח" את הערבול.
טעויות כאלו אינן נדירות בקרב הכותבים בפורום הזה - העברית כאן זה לא מי יודע כמה.
על טעות כזו לא הייתי טורח להעיר.
הטעות המשמעותית יותר היא האמירה שהערבול הוא MD5. זה היה נכון ב-phpbb2, ואינו נכון ב-phpbb3.
הערבול בו משתמשת המערכת הוא ערבול מוזר שהמציאו המפתחים עצמם, ועיקרו הרצת MD5 מספר פעמים תוך הוספת salt בין ריצה לריצה, מתוך אשליה שהתערובת המוזרה הזו תגביר את האבטחה. הסיבה לכך היא שידוע ש-MD5 היא שיטת ערבול לא בטוחה, ובזמן בו נכתבה phpbb3, לא כל פלטפורמות php תמכו בשיטות ערבול בטוחות יותר כמו SHA1 או SHA2.
אם ברצונך לקרוא את הפונקציה המעוותת שהמפתחים סרגו לערבול ססמאות (זהירות - הסתכלות ממושכת מדי בפונקציה זו יכולה לגרום לנזק לראייה)- היא נקראת phpbb_hash, בקובץ functions.php
[1] "כמובן" - מפני שאבנר כמעט לעולם אינו צודק. העצות שהוא נוהג לחלק כאן ביד רחבה כמעט אף פעם אינן מועילות (במקרה הטוב) ולעתים קרובות מזיקות (במקרה הפחות טוב). אבנר, אם אתה קורא את הדברים: אנא הפסק לתת עצות בנושאים בהם אינך מבין, ובפרט הפסק לתת עצות בפורום הזה.
משתמשים הגולשים בפורום זה: אין משתמשים רשומים ו־ 99 אורחים