Strona 6 z 77
Wiewiórka 🐿️
: 23 sty 2022, 14:01
autor: Aleksander
Ostatnia wiadomość z poprzedniej strony wątku
Dlaczego ja od rana muszę się wkurwiać?
Wiewiórka 🐿️
: 23 sty 2022, 14:11
autor: Helwetyk Romański
Aleksander pisze: ↑23 sty 2022, 14:01
Dlaczego ja od rana muszę się wkurwiać?
Taki
lajf koronowanej głowy. Ktoś
angry jest, by
chill był ktoś,
sus nic tu się nie dzieje.
Wiewiórka 🐿️
: 23 sty 2022, 14:15
autor: Aleksander
Uważam, że za używanie anglicyzmów klawiatura powinna jebać prądem.
Wiewiórka 🐿️
: 23 sty 2022, 14:32
autor: Helwetyk Romański
Aleksander pisze: ↑23 sty 2022, 14:15
Uważam, że za używanie anglicyzmów klawiatura powinna jebać prądem.
Zbyt duży
hazard…
Wiewiórka 🐿️
: 23 sty 2022, 14:39
autor: Aleksander
Bycie porażonym od czasu do czasu to niewielka cena do zapłacenia za korektę postawy jednej z naszych poprzedniczek na ekorzyńskim stolcu.
Wiewiórka 🐿️
: 23 sty 2022, 15:13
autor: Michał F. Lubomirski-Lisewicz
Czyli tu nie chodzi o brak szyfrowania, a o brak hashowania haseł?
Wiewiórka 🐿️
: 23 sty 2022, 15:20
autor: Karolina von Lichtenstein
Na tyle, na ile zrozumiałam Garamonda: hasła albo się przechowuje w formie niezmienionej (plain text), albo szyfruje (hashowanie). Twórca systemu zatem przechowywał hasła bez żadnych zmian w ich formie, które miałyby zapewnić ich bezpieczeństwo, a zarazem dwukrotnie zapewnił, że się je szyfruje. Oczywiście, mogę się mylić.
Wiewiórka 🐿️
: 23 sty 2022, 15:25
autor: Michał F. Lubomirski-Lisewicz
Z tego co rozumiem, szyfrowanie jest, ale dopiero przy przesyłaniu formularza. Pytanie czy jest hashowanie.
Odniosę tutaj do takich dwóch miejsc:
https://discord.com/channels/7289074979 ... 7183860816
rozmowa z Federico
http://www.rzeczpospolitaobojganarodow. ... 445#p63445
Tę drugą należy traktować raczej jako próbę poprawnego przeze mnie opisu stanu rzeczy, ale mogę się w tym mylić.
Wiewiórka 🐿️
: 23 sty 2022, 15:49
autor: Karolina von Lichtenstein
Dziękuję za wyjaśnienie tematu!
Wiewiórka 🐿️
: 23 sty 2022, 15:57
autor: Michał F. Lubomirski-Lisewicz
Proszę bardzo, choć przyznam, że sam jeszcze nie mam pewności, jak to jest.
Wiewiórka 🐿️
: 23 sty 2022, 16:02
autor: Franklin Garamond
Przykład A - forum phpBB
Rejestrujemy się, podajemy hasło, z niego powstaje hash i tak jest zapisany w bazie danych. Kiedy się logujemy z podanego w formularzu hasła tworzony jest hash i porównywany z tym, co jest w bazie danych. Każde forum ma unikalną sól dodawaną do hasha. Nawet jeśli administrator sprawdzi w bazie danych hasła - widzi tylko hashe, więc nie może ich użyć gdzie indziej. Przy wycieku danych stanowi to też dodatkową barierę.
Przykład B - Rogatek
Rejestrujemy się, podajemy hasło, zostaje ono zaszyfrowane i zapisane do bazy. Mechanizm logowania może działać dwojako, zakładamy, że bezpieczniej - porównywane są zaszyfrowane hasła, analogicznie do przykładu A. Wchodząc do edycji profilu mamy tam hasło odszyfrowane w kodzie strony zapisane czystym tekstem. Może to odczytać dowolny skrypt JavaScript, ale nie o tym. Brak SSL też można przemilczeć. Jednakże, jeśli hasło jest szyfrowane i znany jest mechanizm tego szyfrowania, znaczy to tyle, że z perspektywy administratora są to hasła dostępne tak samo, jak gdyby były zapisane otwartym tekstem. Przy wycieku danych stanowi to pewną barierę, ale barierę do złamania, bo jak pisałem wcześniej - szyfrowanie jest procesem odwracalnym.