Безопасность или как взломать блог?
Запись опубликована Амелькин. Пожалуйста, оставляйте комментарии там.
Настраиваю свой блог и читаю много других блогов. На этом блоге прочитал очень интересную статью о безопасности, думаю многим будет очень интересно почитать.
Многие ли из вас, читатели, знают, что такое SECRET_KEY в новой версии движка?
В общем, многие знают, ну или подозревают, что до того, как попасть в базу данных пароль, вводимый пользователем, подвергается md5-преобразованию. Это делается для того, чтобы даже если злоумышленник получит список паролей, реальных паролей на руках у него не было. Проблема в том, что обычно пользователи указывают простые пароли вроде qwerty и прочих pass12345 у которых ВСЕГДА один и тот же md5-хэш. И введя в тот же гугл полученную из БД строку "зашифрованного" пароля, мы получим на выходе оригинал пароля. Так же существуют онлайн сервисы и оффлайн утилиты, которые просто генерят словари всех возможных слов с их md5-строками (получается некий брут-форс).
Если нужен Мерседес, подпишись на RSS!