Citat:
Originalno napisao bojan_bozovic
Moze da trazi koliziju dinke, za MD5 MD4 i sve otale hashove.
Zato ja koristim dupli hash (SHA1+MD5) i proveravam oba, uz user agent i IP.
Da imam dobar cryptolib, koristio bi nesto extra (RIPEMD-160 i SHA-512).
nek ti je pass npr $pass a korisnik unese $pass1 gde je md5($pass)==md5($pass1) i gotovo, logovan je. kod mene sha1($pass.$http_ua.$logintime.$loginip)==sha1(@pa ss1.$http_ua.$logintime.$loginip) i md5 takodje, a posebno jos i $http_ua i $loginip proveravam sa onime sto browser salje - kradja cookija ili trazenje kolizije je u domenu science fictiona.
|
A da li neko vrsi kriptovanje i na client side-u?
__________________
Ako već nisi Anđeo, bar budi čovek...
|