Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.

[BETA] md5*3()

Здесь авторы постили бета-версии своих модификаций для phpBB 2.0.x. Внимание! Не устанавливайте бета-версии модов на работающие форумы!
ra
phpBB 2.0.2
Сообщения: 325
Стаж: 20 лет 7 месяцев
Откуда: Беларусь

[BETA] md5*3()

Сообщение ra »

Код: Выделить всё

############################################################## 
## MOD Title: md5*3() 
## MOD Author: R@ < meos@mail.ru > (Kirill) n/a 
## MOD Description: Gives more security to your users passwords by hashing it 3 times by md5 algorythm instead of one 
## MOD Version: 1.0.0 
## 
## Installation Level: Easy 
## Installation Time: 7 Minutes 
## Files To Edit (4): login.php 
##        	      includes/usercp_register.php 
##        	      includes/usercp_sendpasswd.php
##		      admin/admin_users.php
## Included Files (1): db_update.php 
############################################################## 
## For Security Purposes, Please Check: http://www.phpbbguru.net/mods/ for the 
## latest version of this MOD. Downloading this MOD from other sites could cause malicious code 
## to enter into your phpBB Forum. 
##############################################################
## Author Notes: run db_update.php for updating exists passwords
##
## Before adding this MOD to your forum, you should backup users table of your phpBB database 
## 
## 
##############################################################
## MOD History: 
## 
##   2004-08-11 - Version 1.0.0 
##      - Initial Release 
## 
############################################################## 
## Before Adding This MOD To Your Forum, You Should Back Up All Files Related To This MOD 
##############################################################

#
#-----[ OPEN ]------------------------------------------
#

login.php

#
#-----[ FIND ]------------------------------------------
#

if( md5($password) == $row['user_password'] && $row['user_active'] )

#
#-----[ REPLACE WITH ]------------------------------------------ 
#

if( md5(md5(md5($password))) == $row['user_password'] && $row['user_active'] )

#
#-----[ OPEN ]------------------------------------------
#

includes/usercp_register.php

#
#-----[ FIND ]------------------------------------------
#

if ( $row['user_password'] != md5($cur_password) )

#
#-----[ REPLACE WITH ]------------------------------------------ 
#

if ( $row['user_password'] != md5(md5(md5($cur_password))) )

#
#-----[ FIND ]------------------------------------------
#

$new_password = md5($new_password);

#
#-----[ REPLACE WITH ]------------------------------------------ 
#

$new_password = md5(md5(md5($new_password)));

#
#-----[ FIND ]------------------------------------------
#

if ( $row['user_password'] != md5($cur_password) )

#
#-----[ REPLACE WITH ]------------------------------------------ 
#

if ( $row['user_password'] != md5(md5(md5($cur_password))) )

#
#-----[ OPEN ]------------------------------------------
#

includes/usercp_sendpasswd.php

#
#-----[ FIND ]------------------------------------------
#

SET user_newpasswd = '" . md5($user_password) . "', user_actkey = '$user_actkey'

#
#-----[ REPLACE WITH ]------------------------------------------ 
#

SET user_newpasswd = '" . md5(md5(md5($user_password))) . "', user_actkey = '$user_actkey'

#
#-----[ OPEN ]------------------------------------------
#

admin/admin_users.php

#
#-----[ FIND ]------------------------------------------
#

$password = md5($password);

#
#-----[ REPLACE WITH ]------------------------------------------ 
#

$password = md5(md5(md5($password)));

#
#-----[ SAVE/CLOSE ALL FILES ]------------------------------------------
#
# EoM

db_update.php

Код: Выделить всё

<?php
define('IN_PHPBB', true); 
$phpbb_root_path = './'; 
include($phpbb_root_path . 'extension.inc'); 
include($phpbb_root_path . 'common.'.$phpEx);

$sql = "UPDATE " . USERS_TABLE . " SET user_password = md5(md5(user_password)) WHERE user_id > '1'";
if (!$result = $db->sql_query($sql))
{
	die('Error');
}
else
{
	die('OK, delete this script');
}
?>
Последний раз редактировалось ra 20.08.2004 12:30, всего редактировалось 2 раза.
Аватара пользователя
Vladson
Former team member
Сообщения: 816
Стаж: 20 лет 8 месяцев
Откуда: Estonia, Tallinn

Сообщение Vladson »

Смысл понятен, но вот надо ли оно ?
Проги вычисляющие пароль брутои и так слишком медленные.
Хотя идея хорошая
Серый цвет - светлый (светлее чёрного), но он и тёмный (темнее белого), он же промежуточный (между чёрным и белым). Теорию относительности никто не отменял. Истина в целом - понятие виртуально-ситуативное.
ra
phpBB 2.0.2
Сообщения: 325
Стаж: 20 лет 7 месяцев
Откуда: Беларусь

Сообщение ra »

Vladson ну есть пароли типа 123, qwert, qaz и т.п. Я вот с нюки много аналагичных паролей расшифровывал.

Добавлено спустя 8 минут 18 секунд:

Несколько месяцев назад, кстати, открыли сервис по взлому хешей до восьми символов включительно.
Аватара пользователя
Vladson
Former team member
Сообщения: 816
Стаж: 20 лет 8 месяцев
Откуда: Estonia, Tallinn

Сообщение Vladson »

ну есть пароли типа 123, qwert, qaz и т.п. Я вот с нюки много аналагичных паролей расшифровывал
У кого хватает ума ставить такой пароль (123, qwert) тот заслуживает того чтоб его взломали IMHO
(у меня тоже на одном из форумов подобный пароль, но там я junior и мне не жалко чтоб его взломали, я даже могу здесь его выложить)
Серый цвет - светлый (светлее чёрного), но он и тёмный (темнее белого), он же промежуточный (между чёрным и белым). Теорию относительности никто не отменял. Истина в целом - понятие виртуально-ситуативное.
Xpert
phpBB Guru
phpBB Guru
Сообщения: 5484
Стаж: 20 лет 9 месяцев
Поблагодарили: 2 раза

Сообщение Xpert »

Описание: Gives more security to your users passwords by hashing it 3 times by md5 algorythm instead of one.

Мне кажется, что стоит заменить:
Before adding this MOD to your forum, you should back up your data base
На что-нибудь подобное:
Before adding this MOD to your forum, you should backup users table of your phpBB database.
Эксперт - это человек, который избегает мелких ошибок на пути к грандиозному провалу.
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
Аватара пользователя
Vladson
Former team member
Сообщения: 816
Стаж: 20 лет 8 месяцев
Откуда: Estonia, Tallinn

Сообщение Vladson »

ну есть пароли типа 123, qwert, qaz и т.п.
Самый наверно популярный пароль 123 я на одном форуме у 18 (из 3000) человек такой видел, на втором месте 1 (у 7 чел)
Серый цвет - светлый (светлее чёрного), но он и тёмный (темнее белого), он же промежуточный (между чёрным и белым). Теорию относительности никто не отменял. Истина в целом - понятие виртуально-ситуативное.
Аватара пользователя
[R: R@m$e$ :U]
phpBB Maniac
Сообщения: 1464
Стаж: 19 лет 11 месяцев
Откуда: Novosibirsk,RU

Сообщение [R: R@m$e$ :U] »

Я в свое время реализоовал это... и тестил перебор мд5 на универской сетке моего знакомого... в общем стандартный мд5 разбирается легко... а с таким.... мало кто решить разбирать после второй не удачной попытки... тк хз скоко там еще раз перехешировано =)
Руководство пользователя | FAQ | Правила | Как устанавливать MOD'ы
ВОСПОЛЬЗУЙСЯ ПОИСКОМ, ТАМ ЕСТЬ БОЛЬШИНСТВО ОТВЕТОВ
ЕСЛИ НЕ ПОМОГЛО, ИСПОЛЬЗУЙ ШАБЛОН ЗАПРОСА, ПОМОГИ В РЕШЕНИИ ЗАДАЧИ
БЕСПЛАТНО ПОМОГУ ТОЛЬКО НА ФОРУМЕ!!! (ЛС НЕ В СЧЕТ)

Оставь благодарность, подтверди работоспособность совета.

ВСЕ ПРАВА НА МОДЫ ОТДАНЫ m157y
VovikV
phpBB 1.4.4
Сообщения: 119
Стаж: 19 лет 1 месяц

Сообщение VovikV »

А как сей мод потом удалить, как обратно преобразовать базу?
Аватара пользователя
[R: R@m$e$ :U]
phpBB Maniac
Сообщения: 1464
Стаж: 19 лет 11 месяцев
Откуда: Novosibirsk,RU

Сообщение [R: R@m$e$ :U] »

VovikV
ни как
Руководство пользователя | FAQ | Правила | Как устанавливать MOD'ы
ВОСПОЛЬЗУЙСЯ ПОИСКОМ, ТАМ ЕСТЬ БОЛЬШИНСТВО ОТВЕТОВ
ЕСЛИ НЕ ПОМОГЛО, ИСПОЛЬЗУЙ ШАБЛОН ЗАПРОСА, ПОМОГИ В РЕШЕНИИ ЗАДАЧИ
БЕСПЛАТНО ПОМОГУ ТОЛЬКО НА ФОРУМЕ!!! (ЛС НЕ В СЧЕТ)

Оставь благодарность, подтверди работоспособность совета.

ВСЕ ПРАВА НА МОДЫ ОТДАНЫ m157y
Аватара пользователя
TUMS
phpBB 2.0.0
Сообщения: 244
Стаж: 19 лет 2 месяца
Откуда: Msk, RU

Сообщение TUMS »

[R: R@m$e$ :U] писал(а):VovikV
ни как
VovikV
да я думаю это не особо и надо-то...
VovikV
phpBB 1.4.4
Сообщения: 119
Стаж: 19 лет 1 месяц

Сообщение VovikV »

Да как сказать, изменят разработчики чегонить касаемое работы форума с паролями, и придется ждать пока, будет исправлен этот мод, если вообще будет исправлен. От всех остальных модов которые я ставил вродь зависимости нет, их можно откатить, а тут с одной стороны конечно, в плане безопасности, хорошо, что нельзя вернуть исходное состояние базы, а с другой стороны, я уже написал.
Аватара пользователя
TUMS
phpBB 2.0.0
Сообщения: 244
Стаж: 19 лет 2 месяца
Откуда: Msk, RU

Сообщение TUMS »

VovikV
ты конечно прав, но есть одно "но"...
Разработчики могу изменить всё что угодно, кроме этой части, ибо никто ничего лучше md5 пока не придумал (имееться ввиду по доступности и непоколебимости).

Так что думаю не скоро PhpBB изменит свои предпочтения в этой части...
Xpert
phpBB Guru
phpBB Guru
Сообщения: 5484
Стаж: 20 лет 9 месяцев
Поблагодарили: 2 раза

Сообщение Xpert »

VovikV
Никак. Новые пароли пользователи могут получить через систему восстановления паролей.
Эксперт - это человек, который избегает мелких ошибок на пути к грандиозному провалу.
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений
Аватара пользователя
окись
phpBB 1.0.0
Сообщения: 8
Стаж: 18 лет 11 месяцев
Забанен: Бессрочно

Сообщение окись »

а правильно ли в db_update.php указан SET user_password = md5(md5(user_password))? А то везде replace with md5(md5(md5($password))); повторяется 3 раза, а в апдейте всего два :oops:
Да будь ты трижды йобнут ДдОСом!
Xpert
phpBB Guru
phpBB Guru
Сообщения: 5484
Стаж: 20 лет 9 месяцев
Поблагодарили: 2 раза

Сообщение Xpert »

Все верно. Один раз пароль уже шифрован самим phpBB.

Добавлено спустя 30 минут 58 секунд:

Можно зашифровать и 3 и 4 раза. Но нет смысла. Важно не сколько раз пароль зашифрован, а то что он зашифрован нестандартно для данного движка. Вот и все. Достаточно применить любое решение, отличное от дефолтного.
Эксперт - это человек, который избегает мелких ошибок на пути к грандиозному провалу.
Любая более-менее сложная задача имеет несколько простых, изящных, лёгких для понимания неправильных решений

Вернуться в «Бета-версии модов для phpBB 2.0.x»