Самая надежная в мире соль MD5

Роман, ищи причину в модулях, которые ты сам устанавливал, и закрывай в них уязвимости.

Добавлено: 17.03.2018 / 11:50
ДоХтор, я это понимаю,но соль возможно не дала бы расшифровать пароль

Добавлено: 17.03.2018 / 11:53
а вот вопрос,я немного чайник,md5 шифровение прописано только в регистрации пользователя? или есть еще в файлах движка 3.2 версии и как сменить шифрование на другое альтернативное?

Добавлено: 17.03.2018 / 14:12
не используй md5

Добавлено: 17.03.2018 / 14:12
http://php.net/password_hash

Роман, А с чего ты решил что тебе пароли "расшифровывают"? Дохтур тебе верно написал, найди сначала дырку, напр. если злодей может выполнять sql нахрена ему пароли надо?

kantry, спасибо,буду разбираться

Роман, Если есть доступ к bash, попробуй простой поиск новых(измененных) файлов(на шеллы) find . -type f -mtime -1 # -1 это минус сутки назад, или -mmin -60 60 минут назад

# Роман (17.03.2018 / 11:53)
ДоХтор, я это понимаю,но соль возможно не дала бы расшифровать пароль


а вот вопрос,я немного чайник,md5 шифровение прописано только в регистрации пользователя? или есть еще в файлах движка 3.2 в

При регистрации у юзера используется двойное шифрование md5(md5(пароль)) если мне не изменяет память, то в 3.2.2 соли вообще нет. При успешной авторизации, у юзера в куках или сессии хранится md5(пароль), и при каждом заходе на страницу данные из его кук/сессий обворачиваются в md5() и пара логин и пароль ищется в базе

# AlkatraZ (10.08.2014 / 11:57)
Ну начнем с того, что сама функция бесполезна.
Зачем тебе данная функция, если ты потом сам же не сможешь распознать свой пароль?
Ты скорее всего не разобрался в криптографическом алгоритме шифрован

кто сказал?
проверяя пароль ты имеешь на руках пароль который надо проверить (без этого проверка не имеет смысла, нечего сравнивать просто), и хеш этого пароля.
исходя из этого тебе нужен только неизменный алгоритм генерации соли на базе пароля, которым ты изначально генерировал хеш, и которым ты сгенерируешь хеш по новой и сравнишь с имеющимся в бд. Знать сам пароль тебе не требуется, хранить его в чистом или обратимо-шифрованном виде не за чем и не очень разумно, пароли в чистом виде хранят в спец-хранилищах, доступ к которым обеспечивается еще более сильно защищенным способом чем просто сравнение хеша.
Криптография вообще мало касается аутентификации методом сравнения результатов хеширования, это не шифрование же даже, это генерация уникального ключа

Всем огромное спасибо,соли в 3.2.2 нет,и там двойное md5,я нашел каким образом был взлом анкет,проблемы в самом двиге тут не было

See on my jcms modded topic.. i wass make it encode and decode md5