Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
##############################################################
## MOD Title: md5*3()
## MOD Author: R@ < meos@mail.ru > (Kirill) n/a
## MOD Description: Gives more security to your users passwords by hashing it 3 times by md5 algorythm instead of one
## MOD Version: 1.0.0
##
## Installation Level: Easy
## Installation Time: 7 Minutes
## Files To Edit (4): login.php
## includes/usercp_register.php
## includes/usercp_sendpasswd.php
## admin/admin_users.php
## Included Files (1): db_update.php
##############################################################
## For Security Purposes, Please Check: http://www.phpbbguru.net/mods/ for the
## latest version of this MOD. Downloading this MOD from other sites could cause malicious code
## to enter into your phpBB Forum.
##############################################################
## Author Notes: run db_update.php for updating exists passwords
##
## Before adding this MOD to your forum, you should backup users table of your phpBB database
##
##
##############################################################
## MOD History:
##
## 2004-08-11 - Version 1.0.0
## - Initial Release
##
##############################################################
## Before Adding This MOD To Your Forum, You Should Back Up All Files Related To This MOD
##############################################################
#
#-----[ OPEN ]------------------------------------------
#
login.php
#
#-----[ FIND ]------------------------------------------
#
if( md5($password) == $row['user_password'] && $row['user_active'] )
#
#-----[ REPLACE WITH ]------------------------------------------
#
if( md5(md5(md5($password))) == $row['user_password'] && $row['user_active'] )
#
#-----[ OPEN ]------------------------------------------
#
includes/usercp_register.php
#
#-----[ FIND ]------------------------------------------
#
if ( $row['user_password'] != md5($cur_password) )
#
#-----[ REPLACE WITH ]------------------------------------------
#
if ( $row['user_password'] != md5(md5(md5($cur_password))) )
#
#-----[ FIND ]------------------------------------------
#
$new_password = md5($new_password);
#
#-----[ REPLACE WITH ]------------------------------------------
#
$new_password = md5(md5(md5($new_password)));
#
#-----[ FIND ]------------------------------------------
#
if ( $row['user_password'] != md5($cur_password) )
#
#-----[ REPLACE WITH ]------------------------------------------
#
if ( $row['user_password'] != md5(md5(md5($cur_password))) )
#
#-----[ OPEN ]------------------------------------------
#
includes/usercp_sendpasswd.php
#
#-----[ FIND ]------------------------------------------
#
SET user_newpasswd = '" . md5($user_password) . "', user_actkey = '$user_actkey'
#
#-----[ REPLACE WITH ]------------------------------------------
#
SET user_newpasswd = '" . md5(md5(md5($user_password))) . "', user_actkey = '$user_actkey'
#
#-----[ OPEN ]------------------------------------------
#
admin/admin_users.php
#
#-----[ FIND ]------------------------------------------
#
$password = md5($password);
#
#-----[ REPLACE WITH ]------------------------------------------
#
$password = md5(md5(md5($password)));
#
#-----[ SAVE/CLOSE ALL FILES ]------------------------------------------
#
# EoM
Смысл понятен, но вот надо ли оно ?
Проги вычисляющие пароль брутои и так слишком медленные.
Хотя идея хорошая
Серый цвет - светлый (светлее чёрного), но он и тёмный (темнее белого), он же промежуточный (между чёрным и белым). Теорию относительности никто не отменял. Истина в целом - понятие виртуально-ситуативное.
ну есть пароли типа 123, qwert, qaz и т.п. Я вот с нюки много аналагичных паролей расшифровывал
У кого хватает ума ставить такой пароль (123, qwert) тот заслуживает того чтоб его взломали IMHO
(у меня тоже на одном из форумов подобный пароль, но там я junior и мне не жалко чтоб его взломали, я даже могу здесь его выложить)
Серый цвет - светлый (светлее чёрного), но он и тёмный (темнее белого), он же промежуточный (между чёрным и белым). Теорию относительности никто не отменял. Истина в целом - понятие виртуально-ситуативное.
Описание: Gives more security to your users passwords by hashing it 3 times by md5 algorythm instead of one.
Мне кажется, что стоит заменить:
Before adding this MOD to your forum, you should back up your data base
На что-нибудь подобное:
Before adding this MOD to your forum, you should backup users table of your phpBB database.
Эксперт - это человек, который избегает мелких ошибок на пути к грандиозному провалу.
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
Самый наверно популярный пароль 123 я на одном форуме у 18 (из 3000) человек такой видел, на втором месте 1 (у 7 чел)
Серый цвет - светлый (светлее чёрного), но он и тёмный (темнее белого), он же промежуточный (между чёрным и белым). Теорию относительности никто не отменял. Истина в целом - понятие виртуально-ситуативное.
Я в свое время реализоовал это... и тестил перебор мд5 на универской сетке моего знакомого... в общем стандартный мд5 разбирается легко... а с таким.... мало кто решить разбирать после второй не удачной попытки... тк хз скоко там еще раз перехешировано =)
Да как сказать, изменят разработчики чегонить касаемое работы форума с паролями, и придется ждать пока, будет исправлен этот мод, если вообще будет исправлен. От всех остальных модов которые я ставил вродь зависимости нет, их можно откатить, а тут с одной стороны конечно, в плане безопасности, хорошо, что нельзя вернуть исходное состояние базы, а с другой стороны, я уже написал.
VovikV
ты конечно прав, но есть одно "но"...
Разработчики могу изменить всё что угодно, кроме этой части, ибо никто ничего лучше md5 пока не придумал (имееться ввиду по доступности и непоколебимости).
Так что думаю не скоро PhpBB изменит свои предпочтения в этой части...
VovikV
Никак. Новые пароли пользователи могут получить через систему восстановления паролей.
Эксперт - это человек, который избегает мелких ошибок на пути к грандиозному провалу.
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
а правильно ли в db_update.php указан SET user_password = md5(md5(user_password))? А то везде replace with md5(md5(md5($password))); повторяется 3 раза, а в апдейте всего два
Все верно. Один раз пароль уже шифрован самим phpBB.
Добавлено спустя 30 минут 58 секунд:
Можно зашифровать и 3 и 4 раза. Но нет смысла. Важно не сколько раз пароль зашифрован, а то что он зашифрован нестандартно для данного движка. Вот и все. Достаточно применить любое решение, отличное от дефолтного.
Эксперт - это человек, который избегает мелких ошибок на пути к грандиозному провалу.
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений