Говнокод #20330 — PHP — Говнокод.ру

PHP / Говнокод #20330

+8
1. 01
2. 02
3. 03
4. 04
5. 05
6. 06
7. 07
8. 08
9. 09
10. 10
11. 11
12. 12
13. 13
14. 14
```
//как создать сильный пароль в php
$hp = md5(md5(md5(strong($_POST['hp']))));  // типо наш пароль

//а что же такое strong?? 

###############################
######## Фильтрация ###########
###############################
function strong($msg){
$msg = trim($msg);
$msg = htmlspecialchars($msg);
$msg = mysql_escape_string($msg);
return $msg;
}
```
Мануал по шифрованию паролей.

Запостил: eskrano, 05 Июля 2016

Tweet
Комментарии (46) RSS
- inkanus-gray 05.07.2016 20:46 # 0
  
  Ещё несколько раз повторить md5, и есть вероятность, что все пароли станут неотличимыми.
  Ответить
  - guestinho 05.07.2016 22:29 # 0
    
    почему?
    Ответить
  - 3.14159265 07.07.2016 15:30 # 0
    
    Неподвижная точка в md5 - миф.
    Все о ней говорят, но никто никогда не видел такой хеш.
    Ответить
    - 3_14dar 07.07.2016 16:11 # 0
      
      Пидар, учи выч.сложность, пидар!
      Ответить
    - habrophag 07.07.2016 17:03 # +1
      
      Неподвижная точка не гарантирует, что md5(md5(x)) имеет меньше значений, чем md5(x). Тут нужны аттракторы или какие-то их аналоги/обобщения.
      Если предположить, что есть некие два хеша A и B, такие, что начиная с какого-то применения md5 будет получаться только один из них, к тому же md5(A) = B и md5(B) = A, то, во-первых, будет соблюдена "почти" неотличимость, о которой сказано выше, а во-вторых, нет неподвижных точек.
      Вообще, вероятность, что неподвижная точка есть, составляет (1-1/N)^(N) ≈ 1 - 1/e ≈ 63%. Где N - мощность множества, в которое отображает md5, т.е. N = 2^128
      Вероятность, что существует хотя бы пара хешей A и B, у которых md5(A) = md5(B) составляет (1-N!/N^N) ≈ 100%
      Ответить
      
      3.14159265 07.07.2016 17:08 # 0
      
      >Вообще, вероятность, что неподвижная точка есть, составляет (1-1/N)^(N) ≈ 1 - 1/e ≈ 63%.
      
      Как только речь заходит о MD5, всегда найдётся тот кто с умным видом скопирует эти 63% с очередной стековерфловочки. А хеша я пока не видел.
      
      PS> http://math.stackexchange.com/questions/1799767/63-chance-of-event-happening-over-repeated-attempts
      Ответить
      
      habrophag 08.07.2016 10:12 # 0
      
      Ну, просто у некоторых математический склад ума, а у некоторых - инженерный (например инженерный, бывают и другие).
      Но согласитесь, что хоть никто сейчас не сможет предъявить объект "Человек, доживший до 10.07.2016", у нас с Вами, вероятнее всего, будут сомнения по поводу справедливости утверждения "Никто не доживет до 10.07.2016". Так и с утверждением о неподвижной точке, а тем более про циклы.
      Ответить
      
      3_14dar 13.07.2016 19:03 # +1
      
      Пидар, перебери все 2**128 кобенаций и найдешь.
      Ответить
      
      3.14159265 07.07.2016 17:18 # 0
      
      >Если предположить, что есть некие два хеша A и B, такие, что начиная с какого-то применения md5 будет получаться только один из них, к тому же md5(A) = B и md5(B) = A, то, во-первых, будет соблюдена "почти" неотличимость, о которой сказано выше
      
      Согласен. Но известны ли примеры таких циклов?
      A=md5(md5(A))
      A=md5(md5(md5(A)))
      
      Ответить
      
      habrophag 08.07.2016 10:13 # 0
      
      Возможно, вполне возможно.
      Но известно ли, что таких циклов не существует или, хотя бы, что ни один человек на планете не знает таких циклов?
      Ответить
- guesto 05.07.2016 21:05 # +1
  ха-ха-ха, вот идиоты)
  md5 же не секьюрен
  
  $hp = sha(sha(sha(strong($_POST['hp']))));
  Ответить
  - bormand 05.07.2016 21:14 # +7
    
    > md5 же не секьюрен
    Автор знал об этом и подстраховался - заэкранировал опасные символы.
    Ответить
    - guesto 05.07.2016 21:22 # +1
      
      я бы еще слово DELETE вырезал из строки на всякий случай
      
      мало-ли что
      Ответить
    - CHayT 05.07.2016 21:38 # 0
      
      Может у него функция md5 переопределена для избежания коллизий, и для этого пары ключ-значение хеша хранятся в БД?
      Ответить
  - guest 05.07.2016 21:27 # 0
    
    школо хакерам далеко до поиска одинаковых md5 хэшей, + сооль :)
    Ответить
    - bormand 05.07.2016 21:30 # +2
      
      Главное - чтобы хакер не смог пропихнуть в хеш кавычку или амперсанд.
      Ответить
      
      guesto 05.07.2016 21:35 # +1
      
      или символ "меньше"
      Ответить
      
      bormand 05.07.2016 21:39 # 0
      
      А ещё хеш из топика необратим - мы никогда не узнаем, сколько пробелов было до трима...
      Ответить
      
      Steve_Brown 06.07.2016 12:10 # 0
      
      Может быть, в этом даже есть смысл. Скажем, секретарше прислали пароль в письме, она его мышкой выделила, и случайно пробел захватила.
      Ответить
      
      Soul_re@ver 06.07.2016 12:13 # +1
      
      А вдруг мои пароли — разные программы на Whitespace?
      Ответить
      
      gost 06.07.2016 12:41 # 0
      
      Ограничение на использование символов в паролях - самое отборнейшее говно и дыра в безопасности. Тем более, таким свинским методом, даже без уведомления. В идеале, система должна поддерживать пароли любой длины из любых символов Unicode.
      Ответить
      
      Fike 07.07.2016 09:28 # 0
      
      мышкой выделила, на пол уронила!
      Ответить
      
      Fike 07.07.2016 09:28 # 0
      
      а там уже правило пяти секунд
      Ответить
  - guestinho 05.07.2016 22:29 # 0
    
    md5 обратим?
    Ответить
    - guest 05.07.2016 22:41 # 0
      
      ну md4 точно
      Ответить
    - guesto 05.07.2016 22:44 # +1
      
      его сломали
      Ответить
      
      guest 05.07.2016 22:53 # 0
      
      что значит сломали?
      научились подбирать строку с заданным хешом?
      я это и спрашиваю
      Ответить
      
      dxd 05.07.2016 22:59 # +1
      
      Срезали около 80 двоичных порядков в сложности подбора. Точнее не вспомню.
      Ответить
      
      Lander 06.07.2016 12:55 # +2
      
      А если не помните, то и не говорите! Изучаем подробно атаку Дней рождений и понимаем почему этот "взлом" не подходит к паролям!
      Ответить
      
      3.14159265 07.07.2016 16:17 # +2
      
      Да всё нормально с MD5. Для никому не нужного говносайта - самое оно.
      
      С SHA-1 такая же история, "ломали", "срезали"
      А по-прежнему и гиты, и торренты и sslи его используют.
      И если "80 бит", то речь явно идёт о 160 битном SHA-1.
      
      Ответить
      
      inkanus-gray 07.07.2016 16:29 # 0
      
      А существует неломаная и несрезанная хэш-функция?
      Ответить
      
      3.14159265 07.07.2016 16:37 # +2
      
      SHA-3, который недавно вышел. И только потому что никто еще не разобрался что там и как.
      
      Только вот я не слышал чтоб его в стандартные либы промышленных языков ложили.
      
      А в целом длину любой хеш-функции нужно делить пополам.
      То есть 128 бит MD5 - это 2^64 переборов.
      160 бит SHA-1 - это 2^80.
      224 бита SHA-2 - это 2^112.
      Итд
      Ответить
      
      3_14dar 07.07.2016 16:46 # 0
      
      Пидар, атака дней рождения действует для коллизий. Она не поможет в поиске 1/2 прообразов, а поиск пароля по хешу - это 1й прообраз.
      Ответить
      
      3.14159265 07.07.2016 16:55 # +1
      
      Да-да-да, нам всем зато очень важно мнение поехавшего неосилятора, который разговаривает сам с собой.
      Ответить
      
      3_14dar 07.07.2016 17:03 # 0
      
      Пидар, ты нуб ебаный, пидар.
      Ответить
      
      inkanus-gray 07.07.2016 16:48 # 0
      
      Значит, всякие RIPEMD, whirlpool, всевозможные варианты ГОСТ, haval, tiger уже срезаны?
      Ответить
      
      3.14159265 07.07.2016 17:02 # 0
      
      Да любой хеш в принципе.
      
      Но это касается цифровых подписей, когда мы можем сгенерить HASH(S)=HASH(S')
      Ответить
      
      3_14dar 07.07.2016 17:03 # +1
      
      Это называется коллизия, пидар.
      Ответить
- guest 05.07.2016 22:56 # +1
  
  Так я не понял, guest и guesto - это общие акки?
  Ответить
  - gost 06.07.2016 07:13 # 0
    
    guest - это технический акк, из-под него пишут без авторизации. Guesto - общий акк, из-под него пишут все кому не лень.
    Ответить
    - Soul_re@ver 06.07.2016 09:37 # +6
      
      > Guesto - общий акк, из-под него пишут все кому не лень. guest - это технический акк, из-под него пишут все кому лень.
      
      FTFY
      Ответить
  - 3_14dar 07.07.2016 16:11 # +2
    
    guest в понедельник, среду, четверг, воскресенье по парашкинскому времени превращается в тыкву и все бегут на guesto.
    Ответить
    - guestinho 07.07.2016 16:49 # +1
      
      а я тут пустое место чтоли?
      Ответить
      
      3_14dar 07.07.2016 17:04 # +2
      
      А где твой пароль?
      Ответить
      
      guestinho 07.07.2016 17:35 # +1
      
      такой же как у гуесто
      Ответить
- Fike 07.07.2016 09:27 # 0
  
  функция стронк - это ядро системы
  Ответить
Добавить комментарий
Ошибка компиляции комментария:

Гости могут высказаться только во вторник, пятницу или субботу
Я, guest, находясь в здравом уме и твердой памяти, торжественно заявляю:

А не использовать ли нам bbcode?

[b]жирный[/b] — жирный

[i]курсив[/i] — курсив

[u]подчеркнутый[/u] — подчеркнутый

[s]перечеркнутый[/s] — перечеркнутый

[blink]мигающий[/blink] — мигающий

[color=red]цвет[/color] — цвет (подробнее)

[size=20]размер[/size] — размер (подробнее)

[code=<language>]some code[/code] (подробнее)

Проверочный код: *

Говнокод: по колено в коде.

PHP / Говнокод #20330

Комментарии (46) RSS

Добавить комментарий