VMSR Betatest Bugreport

Zitat:

---

vmsr_kontodaten hat einen AUTO_INCREMENT von 0 und nicht 1, sodass das Adminforce die ID 0 (welche der erstellte Admin hat) nicht aufrufen kann. Kommt einfach daher, dass !empty(int(0)) == false ist.

---

vmsr_kontodaten hat garkeinen AUTO_INCREMENT-Wert festgelegt. Der Standard-Index-Wert ist auf 0 gesetzt. Dieser wird via Klamm-ID später festgelegt. Der Admin MUSS also seine Klamm-ID festlegen.

Ist auch im VMSone bereits so. Habe daran nichts geändert.

- Admin-Passwort wird md5 verschlüsselt
- Einzahlgrenze auf 1.000.000 erhöht.

Was meinst du mit einem Salt für die Konten?

Zitat:

---

Zitat von NeoGriever

...

Was meinst du mit einem Salt für die Konten?

---

http://www.vms-tutorial.de/wiki/MD5_...ashes_mit_Salt

Das mit dem Salt ist ein ziemlicher Aufwand im VMS-R. Im VMS ist es noch recht simpel. Im VMS-R hat sich dabei aber einiges geändert. Werd es mir aber überlegen.

Ggf. weiche ich sogar auf einen ganz neuen Algorythmus aus.

Zitat:

---

Zitat von rene_1992

Gruß
Richard R.

---

Stört das hier keinen ? Außerdem sollte selbst rene aus md5 gelernt haben als er allen sein Passwort als md5 hash preisgegeben hatte.

Zitat:

---

Zitat von auron2008

Stört das hier keinen ? Außerdem sollte selbst rene aus md5 gelernt haben als er allen sein Passwort als md5 hash preisgegeben hatte.

---

Wundert dich das? Rene Roebel / Richard R. / und er hat schon vor einiger Zeit sein Passwort hier lesbar hinterlassen ^^

Achso schon beim 1. Satz war iwie klar, dass sein Beitrag nicht ernst gemeint sein kann ....

Zitat:

---

Zitat von NeoGriever

Das mit dem Salt ist ein ziemlicher Aufwand im VMS-R. Im VMS ist es noch recht simpel. Im VMS-R hat sich dabei aber einiges geändert. ...

---

Lol und wieder ein Brüller ^^ Da hat sich gar nix geändert, kannste so 1:1 übernehmen, ohne großen Aufwand. Scheint hier kennt wer sein "eigenes" Skript nicht :p

Zitat:

---

Zitat von NeoGriever

Das mit dem Salt ist ein ziemlicher Aufwand im VMS-R. Im VMS ist es noch recht simpel. Im VMS-R hat sich dabei aber einiges geändert. Werd es mir aber überlegen.

Ggf. weiche ich sogar auf einen ganz neuen Algorythmus aus.

---

Nimm besser einen Salt.
Im Falle dass die PW Hashes mal geklaut werden, ist das besser als auf einen anderen Algo zu wechseln, für welchen in kurzer Zeit ebenfalls Regenbogentabellen zur Verfügung stehen.

wie wäre es mit einem workarround für die php 5.5 pasword api?
https://github.com/ircmaxell/password_compat

das als libary einbinden (deaktiviert sich bei installiertem php 5.5 selbstständig)

md5($password) mit password_hash bzw password_verify ersetzten

und fertig sind die sicheren Passwörter.

alles in allem ein Aufwand von max 1 Stunde

WICHTIG!

Das aktuelle Setup hat einen kleinen Fehler!!!

Ihr könnt diesen selbst korrigieren, indem ihr die Setup-Datei öffnet und in Zeile 74 (bei beiden Versionen gleich) das "AUTO" löscht. ... Und wehe, da fragt jetzt einer, wo mein Auto stünde ... -.- XD

Genauer gesagt: aus

Code:

---

... DEFAULT CHARSET=latin1 AUTO";

---

wird:

Code:

---

... DEFAULT CHARSET=latin1";

---

Wer sich diese Mühe NICHT machen will:

http://zuckercraft.de/VMSR.EasySetup.v.2.3.1.fixed.zip (QuickSetup)
http://zuckercraft.de/VMSR.EasySetup....ftp.fixed.zip (FTP)

*sing* Neo wir wissen wo dein Auto steht

xD

War ja SO klar, dass irgend nen Spruch deswegen kommen musste XD

So mir ist heute mal was aufgefallen. Ich hab jetzt den ersten Sponsor eingebaut und irgendwie den Wartungsmodus vergessen also hat sich heute 439454 bei mir angemeldet.

Hat 10 Forcedklicks und damit 28.000,00 Klammlose verdient

und hat jetzt einen Kontostand von 6.000.028.000,00 ??

in Buchungen ist nichts verzeichnet

ist da noch ein Fehler oder war das schon der erste Hacker ?

zum glück ist mein ef im moment leer das hätte böse ausgehen können :eek:


/edit ok also der user ist schonmal ein böser

Zitat:

---

(1) ClixKinghttp://img4.klamm.de/images/ico_boy.gif vergibt 0 Klammern · 19. März um 20:16
Klickfaker/Botuser! Gesperrt auf LoseKing.de. Finger weg!

---

Ah. Sorry. Das ist definitiv noch ein Debug-Fehler.

Wird umgehend korrigiert mit Korrekturanweisung hier im Beitrag beschrieben zur Behebung. O_O

Dass ich DAS übersehen konnte o_O

Korrektur:
Datei: /content/intern/anmelden.php
Zeile: 140

Code:

---

db_query("INSERT INTO ".$db_prefix."_kontodaten (uid,passwort,status,hinweis,kontostand) VALUES ('".$_POST['uid']."','".md5($_POST['passwort_1'])."','1','','6000000000')");

---

Dort siehtman schon, wo der Fehler liegt. Die 6000000000 zu 0 ändern

Code:

---

db_query("INSERT INTO ".$db_prefix."_kontodaten  (uid,passwort,status,hinweis,kontostand) VALUES  ('".$_POST['uid']."','".md5($_POST['passwort_1'])."','1','','0')");

---

Fertig.

Der Fehler war schlichtweg ein "hab ich übersehen"-fehler. Dieser war drin um halt Debug-Tests problemlos durchführen zu können. Da ich mich bei der Installation nur als Admin angemeldet hatte, war dann das ganze von mir übersehen worden.

Edit:
1. Ich denke ich werde das Setup so ändern, dass die seite grundsätzlich im Wartungsmodus startet.
2. Unabhängig des Faker-Users hat er doch geholfen. Sonst wär uns der Fehler nich so schnell aufgefallen.
3. Ich werde gegebenenfalls eine Global-Ban-List mit einbauen, welche eine zentralanlaufstelle bietet, um user auf fast allen seiten auszusperren. Aber auch um einzelne ausgesperrte user zuzulassen. Inklusive abschaltbarkeit usw. So kann man faker/hacker/botuser sehr schnell global loswerden.

Zitat:

---

Zitat von NeoGriever

...
3. Ich werde gegebenenfalls eine Global-Ban-List mit einbauen, welche eine zentralanlaufstelle bietet, um user auf fast allen seiten auszusperren. Aber auch um einzelne ausgesperrte user zuzulassen. Inklusive abschaltbarkeit usw. So kann man faker/hacker/botuser sehr schnell global loswerden.

---

Die Idee ist schon etwas älter.
Die Frage ist, wer entscheidet wer in diese Liste reinkommt oder nicht?

Viele Admins die leider gar keine Ahnung von Ihrem Script haben, haben schon User wegen den unmöglichsten Dingen des Fakens bezichtigt.
Darunter Dinge wie zu schnelles Klicken mit gedrückter STRG Taste oder das Gewinnen von echten Losen an Slots im Spiel mit Bonuslosen.

Da werden gern auch mal ehrliche User des Fakens bezichtigt.
Ich wurde mal auf einer Seite gesperrt, weil ich den Autosurf aus den Lesezeichen aufgerufen habe, anstatt mich erst einzuloggen und dann den Autosurf per Link zu starten.

So eine Art glober Pranger ist schon nicht unkompliziert.

Es wird moderiert.

Jeder, der über diesen "globalen Pranger" gebannt/gesperrt wird, kann sich dort melden und seinen Fall schildern. Ist dieser Fall plausibel und nachvollziehbar, wird zunächst der Admin, wessen "pranger-eintrag" zum bann führte befragt und die sachlage geschildert. Gibt es vom Admin entweder eine Antwort der positiveren sorte ("habe ihn gebannt, weil er scheinbar ..." blabla) oder antwortet der Admin garnicht, wird der User wieder freigeschaltet

Das Bann-System wird auf Basis von Punkten (Wie ein Strafkatalog) basieren. Ab einer bestimmten Punktezahl-Menge wird der User gebannt. Die Punkte lassen sich nicht abbauen, außer durch gerade geschilderte Methode der Klärung.

Zum Schutz vor Spam-Prangereien wird das System selbstständig auf die Häufigkeit der Pranger-Einträge je Seite ($_SERVER["SERVER_NAME"]) achten und übermäßige Prangereien für Moderatoren anzeigen, dass diese genauer geprüft werden können. Sollte ein Seitenbetreiber absichtlich falsche Pranger-Angaben machen, werden sämtliche Pranger-Einträge von dieser Seite deaktiviert/gelöscht und die Nutzung des Prangers wird für die Seite zwangs-ausgeschaltet. Jegliche durch die gelöschten Pranger-Einträge gebannten User werden entbannt.

Pranger-Einträge haben sofortige Wirkung. Um Hackern keine Chance zu geben. Man kann auch Schlüsselpunkte (V-Check) als Pranger-Automatik-Auslöser integrieren. Werde dafür eine API dazubauen, welche im VMSR direkt integriert ist.

Der Pranger wird mittels eines Sicherheitsschlüssels, welcher ähnlich der Schlüsselgenerierung von Paypal, durch insgesamt 3 Abfragen geschützt wird. Ohne diesen Sicherheitsschlüssel ist es nicht möglich, Pranger-Einträge zu erstellen. Gebannte User werden ohne Sicherheitsschlüssel übermittelt.

Es ist quasi ähnlich meines Projektes http://eul.woetroep.de/, welches auf einem ähnlichen Prinzip beruht.

Das aufwändigste wird die Moderation sein.

Aber wie du siehst, hab ich mir da schon Gedanken gemacht. Falls du noch Angriffslücken siehst, sag bescheid.

Zitat:

---

Zitat von NeoGriever

... Man kann auch Schlüsselpunkte (V-Check) als Pranger-Automatik-Auslöser integrieren. Werde dafür eine API dazubauen, welche im VMSR direkt integriert ist.
...
Aber wie du siehst, hab ich mir da schon Gedanken gemacht. Falls du noch Angriffslücken siehst, sag bescheid.

---

Da sehe ich schon mehr als ein Problem.
Z.B. nur weil der V-Check bei einem User schlecht ist, muss er noch lange kein Faker sein.
Diesen V-Check Wert dann als Kriterium für eine automatische(!) Prangermeldung zu nutzen halte ich für mehr als bedenklich...

Alleine die Tatsache dass die User erstmal automatisch und "grossflächig" gesperrt werden und dann praktisch nach der Sperrung die Feststellung Ihrer Schuld oder Unschuld "beantragen" sollen finde ich nicht so gut.

Was passiert übrigens bis zur Feststellung der Schuld/Unschuld?
Bleiben die User gesperrt (obwohl sie ggf. gar nichts gemacht haben) oder wird jeder der Einsprüche hat, erstmal wieder "befreit"?

Wie verhinderst Du dass Admin X, welcher die Rally auf Seite Y gewinnen will, User Z, welcher in der Rally ein starker Konkurent ist, als Faker meldet um dann nach Ausschaltung der Konkurenz die Rally zu gewinnen?

Zu prüfen ob Admin X die Rally auf diese hinterhältige Art gewonnen hat, fällt auch schwer, wenn Admin X unter dem Namen A einen zweiten Account hat und diesen zur Fakermeldung verwendet.

Da könnten sich so einige Probleme ergeben.

- Wegen z. b. V-Check. Da greift das Punkte-System. Darüber hinaus: Wer dauerhaft trotz vielem Geklicke einen V-Check unter 10% hat, der sollte sich Gedanken machen.
- Sperrung erfolgt erstmal nur auf der entsprechenden Seite, wo der Pranger-eintrag herkam.
- Prüfung befreit auf der Seite NICHT vom Pranger. Erst, wenn die Unschuld erwiesen wurde.
- 2 Wochen zählt die Sperrung auf der Pranger-Auslösenden Seite. Erfolgt keine Prüfungsanfrage, weitet sich die Sperrung auf alle Seiten aus, welche den Pranger nutzen.
- Ist eine Prüfung eingeleitet worden, verfällt die Umstellung auf die globale Bannliste bis zur Fertigstellung der Prüfung. Somit ist man während der Prüfung zwar vor einem globalen Bann geschützt, weitere Pranger-Einträge von anderen Seiten unterliegen aber weiterhin der 2-Wochen-Regel.
- Sollten solche "Ralley-Konkurrenz"-Fälle auftreten, fliegt der Admin aus dem System. Fake-Meldungen werden schlichtweg hart verurteilt. Und ich denke mal, ein User, der in einer Ralley rausgeworfen wird, wird sich sehr wahrscheinlich auf der Seite als aktiver User nicht mehr blicken lassen.

Das Punkte-System wird auf mehrere Ebenen aufgeteilt. Kleine Delikte (V-Check-Wertung, Falsche IP (Kann ja auch nen UMTS-Stick sein), Doppelaccounts usw.) haben eine niedrige Punktewertung. Schwere Delikte (Botusing, Hacking, usw.) hingegen haben eine hohe Punktewetung.
Wird ein bestimmter Punktewert überschritten (sehr hohe Delikte-Punktewetungen werden häufig direkt diese Schwelle überschreiten, jedoch auch eindringlicher geprüft.), erfolgt der Bann.

Nutzt man das Pranger-System, ist zwangsläufig auch der globale Log aktiviert. Um Aktionen der User direkt nachvollziehen zu können. Der globale Log speichert jede Aktivität auf der Seite. Welcher User zu welcher Uhrzeit auf welcher unterseite der Seite mit welchen Session-, Post sowie Get-Daten unterwegs war. Somit kann man recht schnell fake-aktionen aufspüren.

Das frisst natürlich einiges an Speicher. Aber ich bin noch am überlegen, wie ich diese informationen komprimieren kann.

So.

Ich habe letztens ne kleinigkeit gebastelt.

http://zuckercraft.de/minislot/

Das ganze werde ich nur im VMS-R kostenlos einbauen. Werde aber lizenzrechtlich direkt darauf verweisen, dass es NUR für das VMS-R kostenlos ist. Für das VMS sowie das FWX wird es das auch geben, jedoch für 50.000.000 Lose.

Die Demo unter dem Link basiert noch auf Zufall und ist noch mit keiner Jquery-API verbunden. Also nicht wundern. Wie das Spielprinzip am ende aussehen wird, werd ich nicht verraten. Erst wenn es fertig ist.

Der gesamte Slot basiert auf CSS und Jquery und ist 100% W3C-Valide. Und das im XHTML-Strict-Mode.

Das Script darf ohne Genehmigung nicht verändert werden. Der CSS-Part ist davon ausgeschlossen. Die Anzahl der "Rollen" wird auf 6 reduziert. Kann aber leicht erweitert werden.

Zu sagen wäre noch: Der Slot wurde im aktuellen Google Chrome, aktuellen Firefox und IE 8+ getestet. Im IE gibt es minimale optische unterschiede. Funktionsweise ist jedoch davon unbeeinflusst.

Was haltet ihr davon?

Zeile 12 und Zeile 8 in index.php?content=/verdienen/betteln4

jeweils ein / zuviel nach <a href="<?php echo $domain;?>

ansonsten wartungsmodus hakt immer noch

denk das wars dann aber auch so langsam ^^

Zitat:

---

Zitat von NeoGriever

Das ganze werde ich nur im VMS-R kostenlos einbauen. Werde aber lizenzrechtlich direkt darauf verweisen, dass es NUR für das VMS-R kostenlos ist. Für das VMS sowie das FWX wird es das auch geben, jedoch für 50.000.000 Lose.

Das Script darf ohne Genehmigung nicht verändert werden. Der CSS-Part ist davon ausgeschlossen. Die Anzahl der "Rollen" wird auf 6 reduziert. Kann aber leicht erweitert werden.

---

Hey,
Du hast einen denkfehler, den schon viele hier gemacht haben. Wenn ich eine Lizenz erwerbe (z.b. fürs vms-r) darf ich diese für den eigengebrauch, den code meinen bedürfnissen anpassen und auch an das jeweilige script. nur mal so als anmerkung, gab schon mehrere streitigkeiten hier. Kannst die SuFu hier nutzen
KEINE RECHTSBERATUNG ODER ÄHNLICHES

Zitat:

---

Zitat von cece75

2. Wenn ich einen Lose Slot an ein anderes Script anpassen lassen möchte benötige ich eine Umbau Lizenz?

---

Zitat:

---

Zitat von Masterphil

Zu 2: Du kannst den Slot umbauen wenn du nur eine E-Lizenz hast... Aber nur zum Eigengebrauch, also ein Verkauf wäre dann nicht gestattet, dafür gibt es dann die Umbau Lizenzen.

MfG

---

Hab dir hier mal was aus der SuFu rausgesucht, dementsprechend, ich holle mir eine Lizenz vom vms-r (villeicht mit dem download dessen, erwerbe ich direkt eine lizenz) und darf sie wie gesagt umbauen auf meine eigne systeme


KEINE RECHTSBERATUNG ODER ÄHNLICHES

Dieser Slot darf kostenlos NUR für das VMS-R verwendet werden. 'Optische' Anpassungen sind erlaubt.

Dieser Slot kann für das VMS erworben werden. Optische sowie interne Anpassungen der VMS-Version des Slots sind erlaubt. Ein Erwerb des Slot's für das VMS oder FWX erlaubt keine Manipulation am VMS-R-Slot.

Meine Güte. Du Haarspalter.

Also nochmal ganz kurz und bündig: Es ist für's VMS-R kostenlos. Darfst aber damit nicht rumexperimentieren. Wenn du es fürs VMS oder FWX kaufst, kannst du mit den jeweiligen Versionen basteln, wie du willst. Aber nicht mit der VMS-R-Version. ;) Verstanden?

Zitat:

---

Zitat von NeoGriever

Dieser Slot darf kostenlos NUR für das VMS-R verwendet werden. 'Optische' Anpassungen sind erlaubt.

Dieser Slot kann für das VMS erworben werden. Optische sowie interne Anpassungen der VMS-Version des Slots sind erlaubt. Ein Erwerb des Slot's für das VMS oder FWX erlaubt keine Manipulation am VMS-R-Slot.

Meine Güte. Du Haarspalter.

Also nochmal ganz kurz und bündig: Es ist für's VMS-R kostenlos. Darfst aber damit nicht rumexperimentieren. Wenn du es fürs VMS oder FWX kaufst, kannst du mit den jeweiligen Versionen basteln, wie du willst. Aber nicht mit der VMS-R-Version. ;) Verstanden?

---

Da sehe ich aber einen Widerspruch in deiner Aussage, sind Anapssungen nun erlaubt odern nicht ?

Optische > ja
Technische (internes script) > nein

Zitat:

---

Zitat von NeoGriever

Technische (internes script) > nein

---

Für den eigengebrauch, kannst du es einem nicht verbieten

Solange es nicht öffentlich verbreitet wird, kannst du im eigengebrauch damit machen, was du willst.

Du kannst dir ja auch programme decompilieren und anschauen und daran herumwerkeln wie du lustig bist, solange du das ding danach nicht ohne genehmigung online stellst und somit anderen zur verfügung stellst. ;)

Gibt natürlich auch explizite Ausnahmen.

Und jetzt gut mit der Haarspalterei. Sonst muss ich für das Ding noch extra ne komplette AGB aufsetzen. Oo

Zitat:

---

Zitat von NeoGriever

- Wegen z. b. V-Check. Da greift das Punkte-System. Darüber hinaus: Wer dauerhaft trotz vielem Geklicke einen V-Check unter 10% hat, der sollte sich Gedanken machen.
- Sperrung erfolgt erstmal nur auf der entsprechenden Seite, wo der Pranger-eintrag herkam.

---

Dan sollte ich mir wirklich gedanken machen...

Ich habe eine Fixe Schweizer Ip in diversen listen wird diese IP aber Europa zugeordnet und nicht der Schweiz,
Da viele sponsoren nach dem freigabe prinzip und nicht nach dem ausschlusverfahren arbeiten... bin ich zum klicken ungeeignet...

Da EU nicht DE/AT/CH ist...
meinen vcheck liegt wenn ich auf meiner seite klicke bei so 5-20%
kommt natürlich auf den sponsor an... viele 0% manche 100%...

Daher moderative Überprüfung. So kann man solche Automatischen Erkennungen schon im Vorherein ausschließen. Die automatischen erkennungen würden an 2 Stellen aushebelbar sein. 1. vom Seitenbetreiber selbst, der pro User oder global diverse auto-detektoren abschalten kann und einmal von der Zentralseite, welche ebenfalls pro User für eine Seite, pro User für alle seiten oder eine seite allgemein eine oder mehrere Auto-Detektoren aushebeln kann.

;)

Wie willste das machen wenn ein Seitenbetreiber das VMSR für ne andere Währung nehmen will , betreff des global bans ?

Das VMS-R ist derzeit noch nicht ausgelegt für eine Alternativwährung. Wenn ich das später mal integriere, wirds dann auch für die Zentral-Seite eine Weiche geben, welche zwischen den einzelnen Währungen/Usern unterscheiden kann. Die User verschiedener Währungen werden sich also nicht vermischen.

Werd mich mal Überraschen lassen. Würde erstmal das VMSR ohne den Globalban machen :)

Was mir da fehlt ist ne verlinkung vom Userbereich --- > Adminbereich und umgekehrt , und vieleicht ne abfrage ob man nen VMSR mit oder ohne Klammanbindung Installieren möchte .

Ansonsten gefällt es mit recht gut , abgesehen von den kinderkrankheiten :)

- Das Global-Pranger-System steht noch in den Sternen. Ist alles im moment noch Theoretisch.
- Verlinkung ist mit Absicht nicht drin.
- Das VMS-R wird derzeit nur mit Klammanbindung angeboten. Bin mir auch nicht sicher, ob ich eine Version ohne Klammanbindung hinkrieg.

Zitat:

---

Zitat von NeoGriever

- Das VMS-R wird derzeit nur mit Klammanbindung angeboten. Bin mir auch nicht sicher, ob ich eine Version ohne Klammanbindung hinkrieg.

---

Ich hoffe du meinst das jetzt zeitmäßig und nicht programmiertechnisch.

Zeitmäßig.

Und darüber hinaus weiß ich schlichtweg nicht, welche Klammanbindungs-Punkte da beachtet werden müsten, damit dies entfernt/ausgeschaltet werden könnte.

Würde dafür nämlich keine separate Version rausbringen, sondern eine Option im Adminbereich zur Verfügung stellen.

Hi

ich hab mir eben mal das Teil runter geladen und in ner Testumgebung installiert.
Optisch sieht es aufgeräumt aus, allerdings bin ich nach der Installation über die Datei VMSR.EasySetup.v2.3.2.ftp.php nicht mehr ins Admin gekommen. Nach etwas Suche hab ich dann raus gefunden das es beim anlegen nur nicht verschlüsselt wird.

Nicht so prickelnd find ich das Admin Passwort dann noch als Klartext im Global Log gefunden habe. Das sollte bitte nachgebessert werden.

Oha. Sry. Wird alles direkt korrigiert. :/

Nobody is perfect. Danke für den Bugreport.

Zitat:

---

Zitat von NeoGriever

[...]
- Verlinkung ist mit Absicht nicht drin.
[...]

---

Echt, warum?

Hab grad das VMS-R nicht zur Hand, aber im VMS hatten wir

PHP-Code:

---

if (in_array($_SESSION[uid], $teamIDs)) {
//    Adminmenue
} 


---

oder so ähnlich...

Die Verlinkunt ist drin. Oben steht "Startseite" usw, welches nebeneinander steht. Diese führen zur Startseite.

Das mit den Admins wird eh noch auf die User-Datenbank übertragen. Genauso wie die User-Passwörter ohne SALT (weiterhin auf MD5), aber besser verschlüsselt werden. Man erreicht dies schon, indem man an das Passwort einfach ein weiteres Wort oder irgendwas dranhängt. Beispiel:

md5("12345") = 827ccb0eea8a706c4c34a16891f84e7b = http://www.md5-hash.com/md5-hashing-...34a16891f84e7b

Aber:

md5("12345" . "_g98w234b50db8b88") = aa93e00a0cdfcd3f5c72ec6f1dd1e2e1 = http://www.md5-hash.com/md5-hashing-...72ec6f1dd1e2e1

Ist einfach und sehr effektiv. Und wenn jeder ein anständiges Passwort hat, würde das ganze schon ziemlich sicherer gegenüber der normalen md5-verschlüsselung sein. Und das trotz ungenutztem SALT. :)

Zitat:

---

Zitat von NeoGriever

Aber:

md5("12345" . "_g98w234b50db8b88") = aa93e00a0cdfcd3f5c72ec6f1dd1e2e1 = http://www.md5-hash.com/md5-hashing-...72ec6f1dd1e2e1

Ist einfach und sehr effektiv. Und wenn jeder ein anständiges Passwort hat, würde das ganze schon ziemlich sicherer gegenüber der normalen md5-verschlüsselung sein. Und das trotz ungenutztem SALT. :)

---

Wie sagt man so schön? Sicherer Eindruck bei völliger Ahnungslosigkeit?
Kann das sein das du überhaupt nicht weißt was mit salt gemeint ist? Du scheinst "SALT" irgendwie für eine eigene Verschlüsselung zu halten oder so.

PHP-Code:

---

md5("12345" . "_g98w234b50db8b88") 


---

ist nichts anderes als

PHP-Code:

---

md5($passwort.$salt) 


---

Normalerweise sollt man das salt noch dynamisch gestalten, bringt aber nicht viel bei einem frei zugänglichen Script.

Was bringt dann ein Salt bei einem frei zugänglichem script?

Mal davon abgesehen. 12345 ist in vielen md5-hashtables vorhanden. wenn man aber was zufälliges hinten dranhängt, sieht die ganze sache schon wieder anders aus.

Zur not schriebe ich eine bitwise-operation-funktion dazu, welche das pw vor dem md5 mit diversen bitshiftings und umrechnungen in ein bytearray umwandelt.

Aber meine Variante ist hingegen schon einigermaßen sicher. Weil alle pw's, die es online in hashtables gibt, wird man so in den hashtables nicht mehr finden und man müsste von 0 beginnen als hacker. Das ist die Idee, die dahinter steckt.

Edit:
Mir wurde hier erklärt, dass md5 mit salt ne ziemliche umstellung der funktionen wäre.

Du verstehst nicht, was ich dir sagen will. "Deine Variante" IST Passwort mit Salt!
Und das bringt insofern schonmal etwas, das ein Hacker den Wert von Salt kennen müßte. Das erschwert es auf jeden Fall auch schonmal bei einem frei zugänglichen Script.

Wenn nun aber ein Hacker sein eigenes Passwort kennt und es schafft an den md5-hash aus der DB zu gelangen, könnte er theoretisch den Wert von salt ermitteln und wäre dadurch wieder ganz normal in der Lage Rainbow-Tables zu nutzen. Deswegen halt dynamisch. Mit dynamisch meine ich das jedes Konto einen eigenen Salt erhält, den man im Skript auch rekonstruieren kann. Z.B.:

PHP-Code:

---

md5($passwort.sha1(round(mysql_insert_id()+5555))) 


---

oder so ähnlich. Das Problem bei einem frei zugänglichen Script ist aber eben, das egal nach welcher Formel man salt nun konstruiert, man einfach nur in das Script schauen muß, um an diese zu gelangen. Es müßte also jeder Scriptnutzer seine eigene Formel entwickeln und einfügen.

Jetz verstehen?^^

PHP-Code:

---

<?php 
    $secret_salt = "topsecretsalt";  // Autogeneriert vom installer script 32Zeichen Random
    $password = "testpasswort";  //Passwort des Users
    $salted_password = md5(md5($secret_salt) . md5($password));   //MD5 vom salt + MD5 vom Passwort -> MD5
    $password_hash = hash('sha256', $salted_password); //und diesen string durch sha 256 
?>

---

Wenn wir nun davon ausgehen das ein hacker das passwort in der db nun kennt,
so muss er den sha256 knacken was nicht mal unsere amis mit 3 buchstaben schaffen...
gehn wir davon aus, so hat er 32 zeichen die er duch eine tabelle jagen darf um einen string zu bekommen den er nochmal durchjagen muss (ohne zu wissen das er stimmt)
und dan einen teil salt und einen teil pw zu haben...

Have fun...