phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

wie sicher ist md5?

https://www.phpbb.de/community/viewtopic.php?t=63683

Seite 1 von 1

wie sicher ist md5?

Verfasst: 31.08.2004 15:40
von Bubu
Hallo,


ich war immer der Meinung, dass die Verschlüsselung per md5 wie auch im phpbb eine ziemlich sichere Sache ist.

Jetzt hat mir jemand erzählt, dass es angeblich recht einfach sei, im phpbb die Passwörter auszulesen.


Ich glaube das nicht. aber was sagt Ihr dazu?


MfG


Bubu

Verfasst: 31.08.2004 15:58
von StarShop
Naja, leicht bestimmt nicht.

Interessant ist dieser Artikel:

http://www.heise.de/newsticker/meldung/50148

Verfasst: 31.08.2004 16:02
von StarShop
hm, vielleicht doch leichter als gedacht:

http://md5crk.com/

Man kann wohl das Passwort nicht auslesen, aber einen String fidnen, der verschlüsselt dieselbe Zeichenfolge ergibt und das in wenigen Stunden.

Verfasst: 31.08.2004 16:14
von Bubu
Danke schon mal so weit! nur mehr davon :-)

im Fall phpbb: für das Finden der gleichen Zeichenfolge muss man aber dann auch erstmal die Zeichenfolge aus der Datenbank rausholen, oder?
und da kommt ja nun auch nicht jeder ohne Weiteres ran?!?

Verfasst: 31.08.2004 21:15
von larsneo
und da kommt ja nun auch nicht jeder ohne Weiteres ran?!?
bis zur version 2.0.8 kommt da jeder dran :roll:

interessant bleibt noch die frage, ob die kollisionen in md5 via bruteforce oder aber analytisch gefunden wurden - im letzteren fall sähe es wirklich ziemlich dunkel aus... für sha-1 will übrigens rijmen (einer der aes entwickler) auch eine 'powerfull attack' gefunden haben - näheres dazu gibt es aber wohl (zum glück) noch nicht...

<ironie>...und eigentlich bedeutet die md5-kollisionsgeschichte ja *nur*, dass es bald möglich sein wird, sich mit zwei verschiedenen kennworten anzumelden die jeweils gegenüber dem hinterlegten crypt validieren 8) </ironie>

Verfasst: 31.08.2004 23:59
von Bubu
larsneo hat geschrieben:bis zur version 2.0.8 kommt da jeder dran :roll:
bis einschließlich der Version 2.08? also mit ner 2.08 steht das ganze offen wie ein Scheunentor?

wie das? wie funktioniert das bzw woran liegt es und wie könnte man das verhindern?

Verfasst: 01.09.2004 08:03
von larsneo
wie funktioniert das bzw woran liegt es
durch einen bug in der privmsg.php der in verbindung mit mysql4 und der dortigen union syntax eine sql-injection erlaubt
wie könnte man das verhindern?
durch einen update auf 2.0.10 (die 2.0.9 hat einen ähnlich schweren bug der unter gewissen umständen das löschen von fremden postings erlaubt)

Verfasst: 01.09.2004 11:38
von Bubu
das ist doch der Bug, bei dem man den Punkt in der Syntax entfernen muss, oder?

der wurde hier aber schon gepostet.

oder ist da noch ein anderer?

Verfasst: 01.09.2004 11:53
von larsneo
natürlich wurde der bug bereits behandelt - schliesslich ist derzeit die 2.0.10 aktuell. wie aber bereits gesagt hat auch die 2.0.9 so ihre lücken, so dass man definitiv die 2.0.10 sourcen einsetzen sollte, damit die seite wirklich sicher ist (und sich nicht durch das nachziehen von ein paar snippets in sicherheit vermutet)...
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de