Про замедление YouTube

[Arigato]

Цитата:

Сообщение от Alar

скрипт преобразует хеш в хеш хеша и не даст войти, так как нужен пароль, для преобразования в хеш, чтобы сопоставить хеши.

Пароль нужен лишь на уровне JS. Обрати внимание, что в форме входа введенный пароль перед отправкой исчезает из поля пароля. Так как JS из него делает хеш и записывает в невидимое поле. На сервер отправляется логин и хеш пароля.

Так вот, зная логин и хеш пароля ничего не мешает отправить на сервер эти данные, минуя JS. В ответ получим код сессии. Дальше идентификация пользователя на сервере происходит уже по коду сессии. То есть получив код сессии, дальше можно спокойно находиться на форуме в залогиненом состоянии. Сам пароль можно и не знать в этой цепочке.

[Alar]

А зачем тогда программисты хеш от хеша делали? для пущей надёжности? )

[Arigato]

Цитата:

Сообщение от Alar

А зачем тогда программисты хеш от хеша делали? для пущей надёжности? )

Хеш от хеша и прочая соль это уже в базе. Из базы если извлечь этот хеш, то да, он уже бесполезен. А вот тот хеш, что передает браузер, именно по нему сервер тебя и идентифицирует. Сам пароль вряд ли удастся из него восстановить. Но сервер пароль и не получает, он получает этот хеш. Соответственно, достаточно знать логин и хеш пароля, чтобы авторизоваться.

Цитата:

Сообщение от Alar

А зачем тогда программисты хеш от хеша делали? для пущей надёжности?

Вот, смотри, сделал попытку входа с логином test и паролем 123. На сервер ушли следующие данные:

Код:

{
	"vb_login_username": "test",
	"cookieuser": "1",
	"vb_login_password": "",
	"s": "",
	"securitytoken": "guest",
	"do": "login",
	"vb_login_md5password": "202cb962ac59075b964b07152d234b70",
	"vb_login_md5password_utf": "202cb962ac59075b964b07152d234b70"
}

Что мы здесь видим? Открыто логин, поле пароль очищено, как и должно быть. При этом вместо пароля имеется md5-хеш.

Вот именно этих данных достаточно, чтобы авторизоваться на форуме, даже не зная пароль. И эти данные передаются открыто в случае использования незащищенного HTTP.

Давай проверим. Через другой браузер с другого IP (ну мало ли, может они еще привязаны к браузеру и IP, что было бы неплохо) делаю попытку входа с теми же данные. Вот что отправляется на сервер:

Код:

vb_login_username: test
cookieuser: 1
vb_login_password: 
s: 
securitytoken: guest
do: login
vb_login_md5password: 202cb962ac59075b964b07152d234b70
vb_login_md5password_utf: 202cb962ac59075b964b07152d234b70

Проще говоря, тоже самое. То есть с любого компьютера из любой сети такой запрос позволяет авторизоваться под пользователем test с паролем 123. Вместо test там может быть Arigato или Alar, что сути не меняет.

[Alar]

Цитата:

Сообщение от pu4koff

потыкать палкой еле живой форум

Не палкой потыкать, а поорать в одно место - вас всех убьют, а потом посодят, ходит у нас одна такая по старому району кругами, до форума только не добралась, но это на улице орёт, это неадекватная, а тоже самое орать на форуме - это норм, свобода слова.

Отключили репутацию, чтобы убрать негатив, снизив скрытую токсичность - деспотия, дизлайк отписка.


Так о чём я, расскажи лучше как правильно - двумя пальцами креститься или тремя?

Цитата:

Сообщение от Arigato

Вместо test там может быть Arigato или Alar, что сути не меняет.

Это расширенное повторение, но я с удовольсвием всё тестирование почитал, за это спасибо, вопрос следующий к тебе был, зачем в php-скрипте хеш от хеша кодеры делали?

Ответ тебе позволит понимать многие другие поведенческие особенности людей.

Если не знаешь, спроси зачем, я тебе отвечу.

[Arigato]

Цитата:

Сообщение от Alar

зачем в php-скрипте хеш от хеша кодеры делали?

Я же выше написал. Хеш от хеша с солью хранится в БД. Это другой механизм защиты, он работает от другой угрозы. Он работает от угрозы того, что сисадмин хостинга получит доступ к БД, либо хакер как-то взломает и сольет базу. И из базы он просто так не сможет получить ни пароли, ни те самые хеши, по которым идет аутентификация.

А вот тот хеш, что передается в запросе, он нужен, чтобы не передавать пароль открыто. То есть чтобы не компрометировать сам пароль. К примеру, у вас может быть один и тот же пароль 123 на разных ресурсах. И логины могут совпадать. Но сисадмин у провайдера (или любого прокси-сервера, через который пойдут запросы), даже перехватив этот запрос (если соединение не защищено), не может узнать вашего пароля, и не сможет авторизоваться на прочих ресурсах, где у вас такой же пароль.

Но вот конкретно на этом ресурсе он уже сможет авторизоваться, у него для этого все есть: логин и хеш, который, кстати, снабжен еще и securitytoken. Но это, опять же, поможет защититься лишь от использования данного хеша на других ресурсах. Но на нашем ресурсе сисадмин знает абсолютно все, чтобы зайти под учетной записью Alar.

И защититься здесь можно только с помощью HTTPS.

[Alar]

А мд5_хеш от мд5_хеша зачем?

ну вот времена когда нет https, кодер делает код в котором берёт хеш от хеша, зачем?

pu4koff тоже не знает, а то давно бы рассказал.

Он в те времена ещё лабы сдавал, когда на форуме будущие рублёвые миллиардеры туда сюда ходили, а теперь буд-то бы и нет ни кого, не подслушивают, не подсматривают, для таких даже термин - луркеры буржуи проклятые выдумали.

[Arigato]

Цитата:

Сообщение от Alar

А мд5_хеш от мд5_хеша зачем?

Ну я же выше написал. Там не чистый хеш от хеша. Там хеш от хеша с солью. Это делается против брутфорса, так как хеши перебором обычно вскрывают. Хеш с солью существенно усложняет эту задачу. Это делается на случай слива базы, если данные хеши попадут в руки хакера, и он попытается из них восстановить пароли.

[Alar]

хеш и так никак не забрутсорфишь, мдм5 - это в какой степени защита...

Ну спроси меня зачем это делают, да ещё с солью... )

[Alar]

Ладно отвечу, так как хочу в ванную отойти сбросить жару

Делают так чтобы всё накернилось с потерей данных, при очередном обновлении чего-либо от частей скрипта до интерпритатора.

[Arigato]

Цитата:

Сообщение от Alar

хеш и так никак не забрутсорфишь, мдм5 - это в какой степени защита..

Вообще это явно не по теме и стоило бы обсуждение вынести в отдельную тему в разделе про безопасность.

Но тут ты не прав в корне. Именно что брутфорсят хеши. Сначала по таблицам, если не получилось, то в ход идет полный перебор. Соль усложняет сам процесс брутфорса, но, самое главное, делает невозможным массированный перебор, то есть когда вы хотите получить пароль не конкретного пользователя, а любого, и у вас есть большой массив хешей. Без соли эта задача очень упрощается, а с солью становится практически нереальной, по сути вам надо каждый хеш обрабатывать отдельно, массовая обработка не прокатит.