Studio Multimedialne ljasinski.pl

  • O mnie
  • Blog
  • Prelekcje
  • Portfolio
  • Kontakt
Jesteś tutaj: Strona główna / Komputery / Bezpieczeństwo haseł czyli o haszu słów kilka

Bezpieczeństwo haseł czyli o haszu słów kilka

21 marca 2010 by lucasyas Zostaw komentarz

Do sieci wyciekają dane użytkowników najpopularniejszych portali. To jest jak śnieg w styczniu – ani to zaskoczenie (tu drogowcy się mogą nie zgodzić), ani do uniknięcia. Złamać jest zawsze łatwiej niż zbudować. Dlatego dobry programista powinien być paranoikiem.

Darujmy sobie myślenie mnie to nigdy nie spotka.  Nie myślmy, co się stanie jeżeli dane wyciekną, tylko jakie będą skutki, gdy, dane wyciekną.

Wyobraźmy sobie sytuację najprostszą – w bazie danych mamy, oczywiście oprócz masy innych pól z bzdurami pokroju numer telefonu, czy karty kredytowej, nazwę użytkownika i hasło. Poprawność danych przy logowaniu sprawdzamy sobie na przykład w ten sposób:

[php]
$res = $mysql_query(„SELECT * FROM uzytkownicy WHERE login = '{$_POST[’login’]}’ AND haslo = '{$_POST[’haslo’]}'”);
if(!$res) {
$zalogowany = false;
} else {
$zalogowany = true;
(…)
[/php]

W momencie, gdy napastnik przechwyci w jakiś sposób naszą bazę danych, będzie niezmiernie szczęśliwy. Oto otrzymał również hasła naszych użytkowników. A że większość z nich używa jednego hasła do wszystkiego… Wystarczy wejść na konto e-mail i je przechwycić zmieniając hasło na swoje. Później można już się kontaktować z bankiem.

Dlatego podstawowa zasada bezpieczeństwa skryptów brzmi: nigdy nie przechowuj haseł w bazie w postaci jawnej

Co więc należy zrobić. Istnieje coś takiego jak funkcje haszujące. Zamieniają one dowolny łańcuch znaków w inny, o stałej długości, zwany z j. angielskiego hash (tych, którzy po słowie „hash” obiecywali sobie coś innego serdecznie pozdrawiam, sztuczki mistrza Kelby’ego działają). Dla nas istotne są dwie cechy hashu

  • hash utworzony z łańcucha znaków kilka razy zawsze będzie dokładnie ten sam, powtarzalny
  • na podstawie hasha, niemożliwym jest odtworzenie pierwotnego łańcucha znaków.

Stąd lekko modyfikujemy nasz poprzedni kod i otrzymujemy:
[php]
$haslo = sha1($_POST[’haslo’]);
$res = $mysql_query(„SELECT * FROM uzytkownicy WHERE login = '{$_POST[’login’]}’ AND haslo = '{$haslo}'”);
if(!$res) {
$zalogowany = false;
} else {
$zalogowany = true;
(…)
[/php]
„sha1()” jest właśnie jedną z takich funkcji hashujących. W tym momencie, gdy napastnik dostanie się do naszej bazy danych, ostro się zawiedzie. Nie uzyska w niej wprost żadnego hasła. Nie jest to rozwiązanie w pełni bezpieczne, ale o tym następnym razem. Dziś skupmy się na zabezpieczeniu naszego kodu do końca. Albowiem sprytny napastnik w pole login wpisze nam: [cc inline=1]admin’ –[/cc] i większość naszych zabezpieczeń bierze w łeb. Bo nasz skrypt zada zapytanie do bazy danych [cc lang=”SQL”]SELECT * FROM uzytkownicy WHERE login = 'admin’ –’ AND haslo = 'wlamalemsie'[/cc]
Czym to się skończy? Bezproblemowym logowaniem na konto admina, znaki „–” powodują uznanie reszty linijki za komentarz(!). Tu więc budujemy drugą zasadę bezpiecznego obchodzenia się z hasłami – nigdy nie podajemy w zapytaniach do bazy niewalidowanych zmiennych. Często zapobiega temu dyrektywa magic_quotes w php.ini, ale nie warto na niej polegać. Dobrym pomysłem jest wyłączenie jej na początku skryptu, a później stosowanie funkcji [cc inline=1]addslashes()[/cc], aby uzyskać w ten sposób łatwo przenośny kod. Atak typu powyżej przedstawionego nosi nazwę sql injection i jest jedną z prostszych technik. Niestety, z uwagi na kiepsko napisany kod, do dzisiaj skutecznie stosowaną. Tak więc po raz trzeci tworzymy nasz kod logowania:
[php]
$login = addslashes($_POST[’login’]);
$haslo = sha1($_POST[’haslo’]);
$res = $mysql_query(„SELECT * FROM uzytkownicy WHERE login = '{$login}’ AND haslo = '{$haslo}'”);
if(!$res) {
$zalogowany = false;
} else {
$zalogowany = true;
(…)
[/php]
W przypadku hasła nie musimy stosować addslashes, ponieważ funkcja sha1 sama się o to zatroszczy. Optymistycznie kończąc na dzisiaj – mamy kod, który w kategorii bezpieczeństwa nie jest może szczególnie wyszukany, ale daje pewne podstawy.
W następnym odcinku napiszę o dalszej ochronie haseł – sam hash to za mało, gdy zależy nam na bezpieczeństwie danych użytkowników.

Podobne

W kategorii:Komputery Tagi:bezpieczeństwo, hash, hasła, PHP, sql

Leave a ReplyCancel reply

WP Core Contributions

View all 0 tickets on Trac.

Mastodon

Ostatnie wpisy

  • Do czego w roku 2025 może przydać się VPN
  • Kontenery z dostępem do Tailnetu
  • Remanent w LANie
  • Kolorowa kontrola wersji
  • Motyw wnuk – prezentacja na WordUp! Kalisz online.

Najnowsze komentarze

  • Jacek - Zakładanie darmowej domeny *.tk
  • Arek - Jak dodać swap do ubuntu
  • refy - Zakładanie darmowej domeny *.tk
  • bezrobotny niepełnosprawny magister - Darmowe domeny – one naprawdę istnieją
  • lucasyas - Jak Lenovo sobie leci…

Archiwa

  • marzec 2025
  • styczeń 2025
  • styczeń 2023
  • styczeń 2021
  • maj 2020
  • luty 2020
  • wrzesień 2018
  • lipiec 2018
  • wrzesień 2016
  • sierpień 2016
  • czerwiec 2016
  • styczeń 2016
  • wrzesień 2015
  • lipiec 2015
  • kwiecień 2015
  • marzec 2015
  • listopad 2014
  • wrzesień 2014
  • lipiec 2014
  • czerwiec 2014
  • maj 2014
  • luty 2014
  • grudzień 2013
  • październik 2013
  • wrzesień 2013
  • sierpień 2013
  • czerwiec 2013
  • maj 2013
  • marzec 2013
  • luty 2013
  • styczeń 2013
  • grudzień 2012
  • listopad 2012
  • październik 2012
  • wrzesień 2012
  • sierpień 2012
  • lipiec 2012
  • czerwiec 2012
  • maj 2012
  • kwiecień 2012
  • marzec 2012
  • luty 2012
  • styczeń 2012
  • grudzień 2011
  • listopad 2011
  • październik 2011
  • wrzesień 2011
  • sierpień 2011
  • czerwiec 2011
  • maj 2011
  • marzec 2011
  • luty 2011
  • styczeń 2011
  • grudzień 2010
  • listopad 2010
  • październik 2010
  • wrzesień 2010
  • sierpień 2010
  • lipiec 2010
  • czerwiec 2010
  • maj 2010
  • kwiecień 2010
  • marzec 2010

Kategorie

  • Android
  • Bez kategorii
  • Dla webmasterów
  • Facebook – prywatność i bezpieczeństwo
  • FAQ
  • Homelab
  • Homelab
  • Komputery
  • LJPL Armored robots.txt
  • Marketing
  • Polityka
  • SEO
  • Thanks God it’s Friday
  • TraktTV Wordpress Widget
  • TraktTV Wordpress Widget @en
  • Twitter Diary
  • ubuntu
  • WordPress
  • Wystąpienia i prezentacje

Meta

  • Zaloguj się
  • Kanał wpisów
  • Kanał komentarzy
  • WordPress.org

Tagi

*.tk .htaccess android Apache apple bezpieczeństwo blog chrome darmowe domeny e-mail facebook firefox git gmail google google analytics Google apps google docs Google drive google logo hasła instagram kernel microsoft mysql PHP piractwo plugin prywatność przekierowanie rich snippet seo serp spam ssh swap twitter ubuntu VMware webmaster windows wordcamp wordpress youtube

Najnowsze komentarze

  • Jacek - Zakładanie darmowej domeny *.tk
  • Arek - Jak dodać swap do ubuntu
  • refy - Zakładanie darmowej domeny *.tk
  • bezrobotny niepełnosprawny magister - Darmowe domeny – one naprawdę istnieją
  • lucasyas - Jak Lenovo sobie leci…

Obserwuj mnie na Twitterze

My Tweets

Copyright © 2025 · ljasinskipl-genesis on Genesis Framework · WordPress · Zaloguj się

Ta strona korzysta z ciasteczek w celach statystycznych oraz dla wyświetlania reklam. Jeżeli nie wyrażasz na to zgody, możesz to zmienić korzystając z ustawień swojej przeglądarki internetowej. Akceptuję
Privacy & Cookies Policy

Privacy Overview

This website uses cookies to improve your experience while you navigate through the website. Out of these, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may affect your browsing experience.
Necessary
Always Enabled
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Non-necessary
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
SAVE & ACCEPT