Hej gutter og gutinder
ville lige dele det her login script med jer andre, skal lige siges at jeg ikke selv har skrevet det, men har rettet lidt i det, og pakket det i en fin RAR-fil til jer :)
DOWNLOAD SCRIPT FRA HOSTR.CO
Er et rigtig godt, og sikkert login system, som både køre med en unik SESSION hvergang, som er stortset umulig at forfalske, og når jeg siger stortset, så er det jo fordi, alt kan hackes :) desuden køre det med en SHA512 Hash, og med en autogeneret SALT
God påske drenge :)
SL - ZEKCODE
Har lige tjekket scriptet ud. Lækkert med salt-delen! Men hvorfor egentlig ikke bare bruge bcrypt som laravel bruger? :P
(30-03-2015, 10:15)DarkNigga Skrev: [ -> ]Har lige tjekket scriptet ud. Lækkert med salt-delen! Men hvorfor egentlig ikke bare bruge bcrypt som laravel bruger? :P
Tjo, eller bare de indbyggede password_* funktioner. De er faktisk meget lækre når man har PHP 5.5+.
(30-03-2015, 10:43)Doctor Blue Skrev: [ -> ]Tjo, eller bare de indbyggede password_* funktioner. De er faktisk meget lækre når man har PHP 5.5+.
Og selv med ældre versioner fra 5.3.7 og op, er der lavet et script der gør det samme.
(30-03-2015, 15:16)MalcolmXI Skrev: [ -> ]Og selv med ældre versioner fra 5.3.7 og op, er der lavet et script der gør det samme.
Ja, jeg har også et lille dropin script til de ældre versioner :)
(30-03-2015, 16:18)Doctor Blue Skrev: [ -> ]Ja, jeg har også et lille dropin script til de ældre versioner :)
Det er altid godt at have i baghånden, selvom man skal kontakte sin host, eller opdatere PHP selv, hvis man kører med en gammel version. Hvis man så har kompatibilitetsproblemer, så hellere porte sine scripts og libraries. Ellers bliver det hurtigt noget juks at holde styr på alle sikkerhedsopdateringer osv.
Hej,
Personligt fortrækker jeg SHA512, da det er utroligt sikkert, og næsten umulig at bryde. Det her script at en god måde at få "nybegynderene" til at gå væk fra md5(), og et normalt salt, det her forbedere sikkerheden betragteligt.
så tag nu godt i mod det, kan hjælpe rigtig mange
SL - Zekcode
(30-03-2015, 18:03)Zekcode Skrev: [ -> ]Hej,
Personligt fortrækker jeg SHA512, da det er utroligt sikkert, og næsten umulig at bryde. Det her script at en god måde at få "nybegynderene" til at gå væk fra md5(), og et normalt salt, det her forbedere sikkerheden betragteligt.
så tag nu godt i mod det, kan hjælpe rigtig mange
SL - Zekcode
Den fundamentale forskel på SHA og blowfish er, at SHA er beregnet på hashing af filer og skal gerne kunne behandle data så hurtigt som muligt. Blowfish, derimod, er lavet så hashing tager lang tid, hvilket gør det helt urealistisk at generere rainbow tables eller udføre brute-force angreb. Hvis du sætter styrken til 10 (Standard i PHP, hvis jeg husker rigtigt) tager det cirka 0.001 sekund per password på en relativt lille VPS. Typisk er det godt at sigte efter 0.05 sekunder, så du sætter den til 12-13 stykker og så har du noget der holder uden at belaste din server for meget. Som du kan se med bitcoin, så er SHA256 (og 512 for den sags skyld) enormt hurtige at løbe igennem, vi taler om millioner af forsøg per sekund på et high-end grafikkort. Blowfish, derimod, ville ligge på et par hundrede, måske tusinde.
Desuden producerer blowfish en lidt kortere hash, så du spare en lille bitte smule diskplads (32 bytes per bruger), men det er vist ligegyldigt for de fleste.
Hej,
Fair forklaring, og god pointe! :), men er blowfish standard i PHP? :O har jeg aldrig hørt om før.
32 bytes, kan faktisk betyde meget, hvis brugerantallet er højt nok :)
SL - Zekcode
Ja. Fra og med 5.3.7 er det en del af crypt(). Og password_* funktionerne er en wrapper af denne funktion. Her kan sha-512 altså også bruges, hvis det er at foretrække. Man kan selvfølgelig bruge hash() og openssl_digest, men det bedste skulle være at bruge password_hash. Ret mig gerne, hvis jeg skyder ved siden af.