ne postoji nesto kao ‘neprobojna sifra’… ako se nekako napravi, mora se nekako moci i dekonstruirat, pitanje je vremena, da li ce trebati minuta, sat, dan, godina… nebitno je, ali ne postoji nesto sto je neprobojno
[quote=“zerocoolos”]ne probiju hash, vec zbog programera koji je negdje ostavio sigurnosni propust, dodju do podataka…
dešavalo se to i velikim igracima, ali nitko nista s lozinkama koje je pokupio nije mogao jer su bile hashirane i to s dovoljnom enkripcijom koju se ne moze probiti u ovom trenutku…
ti mijesas babe i zabe kad pricas o toj problematici…[/quote]
hehe 
gle, ako imam pristup serveru (sto kao admin recimo da imam), you’re fucked…
ako nemam, treba vise vremena, i to je to
Meni se čini da jedino kod generiranja hasha je bitno da svaki novi član koji ulazi u string, da mijenja po nekoj funkciji sve članove koji su već ušli u taj string. Na taj način mala promjena podatka, mjenja skroz izlaz.
Druga stvar, ako se taj rezultat u konačnici još prepolovi…od kuda ikom mogućnosti da ga povrati nazad?
Stvarno ne kužim kako je itko mogao napraviti hash za širu primjenu a koji je uspio biti probijen :s.
(Ocke, Ima smisla jedino u tome što taj hash za širu primjenu je bio svima dostupan, pa su svi vidjeli kako kodira…pa se našao neki mozak, hehe) …ali opet bi volio vidjeti kako će netko povratiti hash koji se još na kraju prepolovi ili da odbaci svega nekoliko zadnjih članova.
[quote=“webdeveloping031”]hehe gle, ako imam pristup serveru (sto kao admin recimo da imam), you’re fucked…
ako nemam, treba vise vremena, i to je to[/quote]
o cemu ti? kakav pristup serveru? kakvom sad serveru?
nemoj bulaznit s praznim pricama, kad budes razvijao vece web aplikacije i kad se suocis s problematikom sigurnosti, onda ces razumjet gdje sta i kako…
Ovdje je prica o hash lozinkama i mogucnosti probijanja, a ne o tome kojem ti serveru imas pristup…
[quote=“bozoou”]Meni se čini da jedino kod generiranja hasha je bitno da svaki novi član koji ulazi u string, da mijenja po nekoj funkciji sve članove koji su već ušli u taj string. Na taj način mala promjena podatka, mjenja skroz izlaz.
Druga stvar, ako se taj rezultat u konačnici još prepolovi…od kuda ikom mogućnosti da ga povrati nazad?
Stvarno ne kužim kako je itko mogao napraviti hash za širu primjenu a koji je uspio biti probijen :s.
(Ocke, Ima smisla jedino u tome što taj hash za širu primjenu je bio svima dostupan, pa su svi vidjeli kako kodira…pa se našao neki mozak, hehe) …ali opet bi volio vidjeti kako će netko povratiti hash koji se još na kraju prepolovi ili da odbaci svega nekoliko zadnjih članova.[/quote]
pitaj one koji su nasli npr za sha1 enkripciju nacin da vrate izvorni password…
imas tu puno rasprava, ali treba koristiti provjerene hashove za koje se zna da nemaju trenutno propusta…
[quote=“zerocoolos”]o cemu ti? kakav pristup serveru? kakvom sad serveru?
nemoj bulaznit s praznim pricama, kad budes razvijao vece web aplikacije i kad se suocis s problematikom sigurnosti, onda ces razumjet gdje sta i kako…
Ovdje je prica o hash lozinkama i mogucnosti probijanja, a ne o tome kojem ti serveru imas pristup…[/quote]
pa procitaj cijeli thread pa onda nesto govori… kao sto je receno prije… radi se o tome da ako je netko administrator nekog sitea, da ti on nemoze doci do hashirane lozinke… ako je netko administrator, onda ima pristup serveru
cak su ljudi rekli da ce dati i procedure koje prave hash, ali da se iz toga ne moze dobiti pass…
dakle, prica se o tome da li netko kao administrator moze doci do lozinke nekog korisnika…
ali, ne zelim ulaziti u ovakve rasprave s tobom… ako cemo argumentirano pricati, moze… ako cemo pametovati, slobodono nastavi, nemam nikakako interesa za to…
ja kazem da se bilo koji hashirani pass moze probiti, ti ako mislis da ne, uzivaj, samo mi reci gdje si ti zaduzen za security da obrisem account
[quote=“webdeveloping031”] pa procitaj cijeli thread pa onda nesto govori… kao sto je receno prije… radi se o tome da ako je netko administrator nekog sitea, da ti on nemoze doci do hashirane lozinke… ako je netko administrator, onda ima pristup serveru
cak su ljudi rekli da ce dati i procedure koje prave hash, ali da se iz toga ne moze dobiti pass…
dakle, prica se o tome da li netko kao administrator moze doci do lozinke nekog korisnika…
ali, ne zelim ulaziti u ovakve rasprave s tobom… ako cemo argumentirano pricati, moze… ako cemo pametovati, slobodono nastavi, nemam nikakako interesa za to…
ja kazem da se bilo koji hashirani pass moze probiti, ti ako mislis da ne, uzivaj, samo mi reci gdje si ti zaduzen za security da obrisem account[/quote]
ma s tobom se ne vrijedi raspravljat, lupas bezveze i dalje… vrati whirpool enkripciju i slicne nazad i garantiram ti da ces do za mjesec dana biti milijunas i zaradjivat koliko god zelis…
jedno je modificirati login skriptu da ti jos negdje plain password sprema, a drugo je drzati hashane passworde radi sigurnosti, nemoj mijesati razlicite stvari i tko jos daje pristup modificiranju fileva aplikacije nekom drugom tko mu npr stranicu odrzava…
Ocke…moja funkcija hasiranja ti nakraju odbaci cijeli string i ostavi samo prvu znamenku…kako bi povratio lozinku??
Ocke, to je loš hash zbog malog broja kombinacija…ali numerički se nemožeš vratiti u prvo stanje i tvoja tvrdnja argumentirano pada u vodu
Ili pucaj nešto u svoju obranu?? :zub:
kao sto sam rekao… natjecanja u pisanju u dalj me ne zanimaju… i da, tvoj tata je jaci od mog tate
[quote=“bozoou”]Ocke…moja funkcija hasiranja ti nakraju odbaci cijeli string i ostavi samo prvu znamenku…kako bi povratio lozinku??
Ocke, to je loš hash zbog malog broja kombinacija…ali numerički se nemožeš vratiti u prvo stanje i tvoja tvrdnja argumentirano pada u vodu
Ili pucaj nešto u svoju obranu?? :zub:[/quote]
tvoja funkcija radi to da od passworda koji je dugacak npr 10-20 znakova dobije 1 znamenku?
i to sluzi za sto?
hehe, to je samo pogled u krajnost. U krajnosti su stvari uvijek najočitije. Ocke, napravim 1000 znamenki, ostavim 20. Mislis da su dostatne da se povrati password?
- da bi netko dobio neciji pass (dakle, ne da pronadje nacin kako da reverse-a funkciju) dovoljno je da dobije isti hash kao ta funkcija… na taj nacin funkcionira brute force
a, to je o cemu se pisalo na pocetku threada… dakle, da li admin nekog sitea moze doci do necijeg passa ako je on storan kao hash u bazi - ako bilo koja funkcija za uneseni parametar UVIJEK daje istu izlaznu vrijednost, onda ta vrijednost dolazi iz neke logike i nekih pravila… sto znaci da je netko moze dekonstruirati…pitanje je vremena
Ti si sad skrenuo na temu kako provalti nekom sa brute force, a ne kako dekodirati hash. :s
Otvorio sam temu upravo da se uvjerim da te dvije stvari nemaju veze jedna s drugom!!!
Sad se vratimo na logiku i na hash od jednog znaka…ako je izlaz hashiranja jedan znak, ti tvrdiš da se iz njega mogu povratiti svi ulazni parametri? (ovdje je nebitno govoriti jel jedno slovo ima smisla ili ne ;))
…i da, može se. Uz bilijune ulaznih parametara i njihovih replika u hashu…pa isipitivanjima i pokušajevima doći do odgovarajućih funkcija. Naravno, sve je moguće…daleko od toga…ali svemir lijepo pokazuje da je teorija jedno a praksa drugo. Mislim da je u praksi hash više nego dovoljno zaštićen od takvh metoda probijanja…s obzirom na compute resurs i na životni vjek čovjeka. Nisi svjestan o kakvim brojkama se tu priča…izračunaj koliko je debel svežanj papir nakon 50 presavijanja. Nevjerovatnih 112 589 991 kilometara!! 
A kombinacije rastu mnogo brže od debljine koja samo x2
[quote=“bozoou”]Ti si sad skrenuo na temu kako provalti nekom sa brute force, a ne kako dekodirati hash. :s
Otvorio sam temu upravo da se uvjerim da te dvije stvari nemaju veze jedna s drugom!!!
[/quote]
to na sto sam ja odgovorio, bilo je da li administrator nekog sitea, ako u bazi ima hash tog passworda, moze dobiti pass iz toga. ja kazem da moze, pitanje je vremena, da li ce on doci do toga brute force-om ili na bilo koji drugi nacin, nije bitno, jer je pitanje bilo da li se za pojedini hashed pass moze dobiti plain pass - moze
[quote=""]Sad se vratimo na logiku i na hash od jednog znaka…ako je izlaz hashiranja jedan znak, ti tvrdiš da se iz njega mogu povratiti svi ulazni parametri? (ovdje je nebitno govoriti jel jedno slovo ima smisla ili ne ;))
…i da, može se. Uz bilijune ulaznih parametara i njihovih replika u hashu…pa isipitivanjima i pokušajevima doći do odgovarajućih funkcija. Naravno, sve je moguće…daleko od toga…ali svemir lijepo pokazuje da je teorija jedno a praksa drugo. Mislim da je u praksi hash više nego dovoljno zaštićen od takvh metoda probijanja…s obzirom na compute resurs i na životni vjek čovjeka. Nisi svjestan o kakvim brojkama se tu priča…izračunaj koliko je debel svežanj papir nakon 50 presavijanja. Nevjerovatnih 112 589 991 kilometara!! A kombinacije rastu mnogo brže od debljine koja samo x2[/quote]
papir nakon 50 presavijanja? 112 miliona kilometara?
pa de i meni malo toga sto pusis 
nisu kombinacije, vec permutacije
kao sto sam rekao… nezanimaju me prepucavanja s kojekakim samoprozvanim security expertima…
sto se tice encryptiona podataka, prvenstveno passworda, treba koristiti zdravu logiku, i neko umjereno i razumno rjesenje i biti ce sve ok. Najveci problem oko sigurnosti je sam korisnik, koji za password koristi -> lozinka123 i slicne gluposti
da li se bilo koja funkcija koja na ulazni parametar daje jedinstven izlaz moze dekonstruirat, moze. pitanje je vremena, resorsa i zanimanja, zasto bi to netko uopce napravio… ali ne postoji nesto kao neprobojni hash, postoji hash za koji treba jako puno resorsa i vremena da se probije, ali neprobojan ne.
i postoji taj hash koji ti pusis, pa dobijes 100 miliona kilometara nakon sto presavijes papir 50 puta (btw. papir se nemoze presavit 50 puta)
[quote=“webdeveloping031”]papir nakon 50 presavijanja? 112 miliona kilometara?
pa de i meni malo toga sto pusis
[/quote]
hehe, dao bi ti…jer niti u najluđim snovima ne sumnjaš do kojih saznanja dolazim upravo takvim metodama
Ali za ovo ti netreba nikakva metoda koja graniči s paranormalnim, nego samo kalkulator. Pretpostavi da je debljina jednog lista 0.1mm. Ili ti ga 10 listova=1 mm. Pa ces se uvjeriti da nisi svjestan o kakvim ti stvarima i brojkama pričaš. …isto kao da ja sad tvrdim da je moguće tako presavijat papir samo zato što to matematika omogućava. Ali u praksi ga nebudem jako dugo ispresavijao…kao što ni ti nebudeš dekodirao hash. Samo tvoje dekodiranje dobrog hasha je veći i teži zadatak nego meni presavit papir 50 puta i odšetat pomoću njega na mjesec
pa daj onda nemoj bit skrt
u tom slucaju nemoram dobiti tvoj pass, nego moram dobiti bilo koji pass koji ce za prvi znak imati taj znak koji je tvoja funkcija izbacila… sto znaci da ima (barem) 39! (ako je hash dugacak 40znakova i ti si ostavio samo prvi) (permutacija od 39) passworda s kojima bi se mogao ulogirati
mislim… netko tko nezna postavit session ce me ucit o encryptionu i securityu… uf
ali, oko onog hasha se mozemo dogovorit
[quote=""]mislim… netko tko nezna postavit session ce me ucit o encryptionu i securityu… uf
ali, oko onog hasha se mozemo dogovorit [/quote]
Pucaš nisko bespotrebno, …pogotovo jer kombinatorika i postavljanje sessiona nemaju baš nikakve veze niti izdaleka :zub:
…dok recimo presavijanje papira pedeset puta je 1. razred pred osnovne škole što se tiče kombinatorike.
.tvoja fasciniranost onom brojkom i nemogućnošću da povjeruješ i da se uopće udostojiš provjeriti ju…govori da s kombinatorikom nisi radio, i da nisi svjestan koliko se kombinacije množe.
ne pucam nisko, nego konstantiram odredjene stvari… na osnovu toga sto znas o sessionima, mislim da znam vise od tebe i o nekim drugim stvarima vezanim uz isti programski jezik, ako si se uvrijedio, sorry, nije mi to bila namjera
“kombinatorika” ima veze s enkripcijom isto kao i session, i isto kao i presavijanje papira 50 puta, i dobivanja 120 miliona kilometara kao rezultat toga
zanemarimo hash za trenutak, i pogledajmo tvoju funkciju koja za odredjeni pass vraca jednu znamenku…
ako imas pass od 10 slova
to znaci da ce bilo koji pass koji pocinje s tom znamenkom koju ta tvoja funkcija vrati, odgovarati…
recimo
imas pass "lozinka"
tvoja funkcija vrati “l”
ako uneses lozinka123, ona ce opet vratit “l”, ako imas pass “loo”, opet ce vratiti l… sto znaci, da bilo koja lozinka koja pocinje s l odgovara uvjetu koji ti checkiras…
ista stvar je i kad ubacis hash unutra…
dakle, ako imas lozinku ->“lozinka123” i ona vraca hash 32njknfdJKN45w3sfd, i ti od tog hasha ostavis 3, bilo koji pass koji generira hash koji pocinje s 3 ce ispunit uvjet po kojem ti checkiras da li je to taj pass
tebi takva funkcija ima smisla?
Stari moj, ti niti izdaleka neznaš o čem pričaš. Kao prvo kombinatoriku sam rasturao dok još nisam znao da postoji javascript i php…a kakvi tek sesssion-i? Kakve to onda može imati veze? Nikakve…baš nikakve…to ako nemožeš shvatiti onda tužno.
A sad ovo drugo…pa neznam dali da se smijem ili plačem kad vidim na kojoj razini razmišljanja si a istovremeno toliko samouvjeren.
Zašto pobogu uopće misliš da promjena završetka lozinke nemože utjecat na početak hasha? Kužiš se kao, a neznaš da kod hashiranja je upravo glavno da mala promjena ulaznog parametra daje skroz različit izlaz (od prvog do zadnjeg znaka!!!).
Stvarno si na predškolskoj razini što se tiče ove teme i to nije uvreda s moje strane…jer to nije niti grijeh. Ali malo manje samouvjerenja onda stari moj…jer ćeš proći kroz neke životne situacije na taj način daleko bezbolnije!!
Koliko godina imaš ako smijem znati?
I jedino što si dobro rekao u ovoj temi je…da je zaista sve moguće!! Ali naš ljudski faktor i fizikalna ograničenja nas u mnogo čemu trenutno spriječavaju
Malo me podigla tvoja “glupost”, nemoj se uvrijedit …nebi se ja niti bunio na jednu pravu lekciju “hasha” s tobom, pa da se nasmijemo svemu ovome, hehe
Piss brother
layoff the hashpipe for a second…
rekao sam ovo… ako ti imas pass, koji generira hash od 40 znakova… i taj hash svedes na 1 znak
imat ces 39x38x37x36x35… lozinki koji ce na kraju imati taj isti jedan znak
ako ne vjerujes, provjeri, pa vrati kad dobijes rezultate