Если угнаная - тогда это фиксируется в логах авторизаций, я же уже написал тебе про это. Конечно - возможности XSS отрицать на 100% нельзя (спереть сессию получится только так), но логи авторизаций позволяют отслеживать несанкционированные авторизации. P.s. я начинал говорить об авторизации и крипте пароля - система сессий вообще не к разговору.
всё это хорошо но без админского пасса хрен узнаешь как шифруеться(замкнутый круг) кстати было бы неплохо написать сложный алгоритм который добавляет к паролю определённую строку причём чтобы эта строка зависила от логина зы ещё одна тема.шифровать md5 N раз,а N=ord($login[0]); если злоумышленник будет знать этого то вааще круто будет зызы чёто меня криптография пропёрла дайте пару ссылок на книги по ней
Когда ты регистрируешься, то возможно что хэш пароля будет у тебя в куках. Когда он у тебя в куках (и ты ведь знаешь свой пароль) то можешь на своем пароле и хэше попытаться пробрутить алгоритм (т.е. попытаться пределить как был сгенерен пароль). При условии что не используется соль (или она была взята из словаря).
Вопрос топик-стартеру: Ты когда-нибудь открывал программы для брута md5? Или ты прямо из них методы перечисляешь?))) Сам придумал?, я бы посмотрел как ты будешь брутить 16 в ТРИДЦАТЬ ВТОРОЙ степени комбинаций , хотя нет, я до окончания не доживу))) Посчитаем? Если хороший комп, то примерно 30'000 паролей в секунду power(16{символов в таблице}, 32{длина пароля})/30000{паролей в секунду}/60{секунд в минуте}/60{минут в часе}/24{часов в день}/360{дней в году} ~ 364700000000000000000000000 лет =) Можешь начинать брутить md5(md5('a')) Кажется пароли так уже никто не хранит... Иначе чем людей сессии не устраивают. Сессию можно привязывать по желанию пользователя как к IP так и хэше юзер-агента.
Да, поддержу hidden : кг/ам. md5(md5($password)) ерунда и ничего особого и нового в шифровке собой не представляет. Короче учи матчасть
если сделать так PHP: md5(sha1(sha1($password+'123') . md5($password))); то незная алгоритма это хрен кто сбрутит. а PHP: md5(md5($password)) брутится не намного сложнеее PHP: md5($password)
я не врубаюсь как так можно его быстро сбрутить!hidden написал примерное кол-во времени 2hidden: комп п4,2Ггц брутит 3млн. паролей/сек. так что ты ошибся
Значит мой комп не такой уж и хороший. 2.7Ghz double core или ты брутишь другой метод у меня md5(md5($pass)+$salt), просто не хотел отчищять лист))) Да не ты ошибся
