Denne side bruger cookies
Dette forum bruger cookies. Hvis du er registreret, bruges de til at huske hvem du er logget ind som. Hvis ikke, gemmer vi dit sidste besøgstidspunkt. Besøgstidspunktet bruges bl.a. til at holde øje med, hvilke tråde du allerede har læst. Cookies er små tekstdokumenter, som bliver gemt i din browser og udgør ingen sikkerhedsrisiko. Tryk "Mere Information" nedenfor, for en liste over de cookies vi sætter. Du har mulighed for at fravælge cookies ved at klikke på knappen "Blokér Cookies" i bunden af denne boks.

En ikke-personhenførbar cookie vil blive gemt i din browser, uanset dit valg (Medmindre du ikke foretager et). Således undgår du at blive spurgt igen. Du kan til enhver tid ændre dit valg via linket i bunden af siden.

Tråd bedømmelse:
  • 1 Stemmer - 5 Gennemsnit
  • 1
  • 2
  • 3
  • 4
  • 5
Ny Hashingalgoritme
23-01-2019, 03:47 (Denne besked var sidst ændret: 15-12-2019, 23:58 af Doctor Blue.)
#1
Ny Hashingalgoritme
I stedet for at gå i seng på et fornuftigt tidspunkt, har jeg i stedet valgt at opgradere lidt på sikkerheden. Jeg kan ikke huske om det er MD5 eller SHA-1, som MyBB bruger, men nu har jeg byttet den ud med Argon2id (og i den forbindelse også opgraderet til PHP 7.3).
Dit password bliver lavet om næste gang du logger ind, så et relog kan anbefales.

Der er desuden tilføjet en cookie-advarsel. Den skulle meget gerne blive fanget af "I don't care about cookies" hvis man har det installeret, men nu lever vi da op til det krav :)

Husk, at der er mulighed for at aktivere 2FA med en TOTP app inde i brugerkontrolpanelet.
https://www.shellsec.pw/usercp.php?action=mybb2fa

Tråd til diskussion: https://www.shellsec.pw/traad-ny-hashingalgoritme

Skulle der opstå problemer med at logge ind, kan jeg kontaktes på doctorblue@shellsec.pw.
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
26-11-2019, 13:28
#2
RE: Ny Hashingalgoritme
Jeg kan se det er en lidt gammel tråd, men den ligger i toppen alligevel i toppen i den her sektion, så ingen unødvendige bumps.

Er lidt interesseret i hvordan du swapper hashing algoritme på allerede hashede passwords? Har du tilføjet et ekstra lag af hashing over de eksisterende SHA1/MD5 passwords, eller fanger du cleartext passwordet når en ny session startes og erstatter den gamle hash?
Find alle beskeder fra denne bruger
Citer denne besked i et svar
15-12-2019, 23:54 (Denne besked var sidst ændret: 16-12-2019, 00:11 af Doctor Blue.)
#3
RE: Ny Hashingalgoritme
(26-11-2019, 13:28)Social Claw Skrev: Jeg kan se det er en lidt gammel tråd, men den ligger i toppen alligevel i toppen i den her sektion, så ingen unødvendige bumps.

Er lidt interesseret i hvordan du swapper hashing algoritme på allerede hashede passwords? Har du tilføjet et ekstra lag af hashing over de eksisterende SHA1/MD5 passwords, eller fanger du cleartext passwordet når en ny session startes og erstatter den gamle hash?

Hov, jeg har da fuldstændig misset din besked her.
Nej, jeg laver en ny hash ud fra cleartext når man logger ind, hvis ens hash stadig er i det gamle format. Det er derfor jeg anbefaler, at man logger ud og ind igen.

Måske skal jeg ikke tage hele æren, det er bare et plugin, som hedder DVZ Hash. Men koden så fornuftig ud, og man kan selv vælge mellem at wrappe passwords eller rehashe. Jeg mener også, at ham bag pluginnet, har pushet meget af koden ind i MyBB 1.9, så det bliver formentlig native hvis den nogensinde bliver udgivet. (Jep: https://github.com/mybb/mybb/issues/3530, jeg er så lidt spændt på hvordan det kommer til at virke i forhold til at migrere fra 1.8)
Mangler du hjælp?
Regler |  E-mail (PGP)
Besøg denne brugers hjemmeside Find alle beskeder fra denne bruger
Citer denne besked i et svar
« Ældre | Nyere »




User(s) browsing this thread: 1 Gæst(er)