Moja otazka je viac teoreticka ako prakticka,
chcem si spravit klienta ktory mi prezrie vsetky meli, ci mi neprislo nieco nove.
Problem je v tom, ze nekde tie hesla musim zapisat (nechce sa mi rucne zadavat 7 hesiel ),
viem ze musia byt neajko sifrovane, ale potom nastane taky isty problem z ulozenim klucov.
Chcel by som vediet ako to riesi (aspon teoreticky ) v skutocnych a bezpecnych aplikaciach.

Nestaci tie hesla hashovat? Mna zas zaujima ako zabranim zmene ulozeneho hashu...

ja chcem tie hesla este pouzit ako login do webovych aplikacii

ja som to tak riesil ze som to zakryptoval pomocou kluca... a ten kluc bol na pevno definovany v zdrojovom kode cize nikto ho nemohol zistit...

refr0 napísal:ja som to tak riesil ze som to zakryptoval pomocou kluca... a ten kluc bol na pevno definovany v zdrojovom kode cize nikto ho nemohol zistit...

Uz si pocul o dekompilatoroch ?
A je to tim horsie ,ze pouzivam Javu,C# a PHP.

Ja som rozmyslal nad riesenim, kde by sa ako kluc na sifrovanie pouzil hars hesla ktory zada uzivatel pri spusteni programu,
ale toto riesenie ma neuspokojilo. Chcel by som aby moj program pracoval samostane.

Riesil som pred istym casom tiez taky problem ale moc sa mi v tom nechcelo vrtat, tak som vymyslel jednoduchsie riesenie (ale aj menej bezpecne)
1. base64_encode(heslo)
2. k (1) pridaj na zaciatok nejake pismeno z abecedy (hocijake) a na koniec pridaj rovnasa (=)
3. toto zase prezen base64_encode
4. zase urob nejake vratne zmeny k vyslednemu stringu
5. a takto to uloz.

postup "desifrovania" je opacny. Pri vratnych zmenach voci tomu zakodovanemu stringu sa fantazii medze nekladu (napr. mozes medzi druhy a treti znak hashu pridat random znak...).
Proti dekompilovaniu to sice nepomoze, ale ak sa niekto dostane k ulozenemu heslu, tak sa skor vzda, nez by prisiel na to, ako z neho dostat povodne heslo.

Problém takýchto postupov je ten, že používateľ si môže myslieť, že jeho heslá sú uložené bezpečne (aj keď získať ich je veľmi jednoduché).

To tu fakt nikto nepozna nieco naozaj bezpecne ?
Napriklad ako si ukalda hesla prehliadac alebo tak ?

Firefox to robí napr. tak (ale rovnako to robia aj iné programy), že súbor s heslami zakóduje. Ak vo Firefox nemáš nastavené hlavné heslo, tak sa nejaké vygeneruje, ale to sa dá zistiť a teda sa dajú získať aj tie uložené heslá.

Teda ak nechceš neustále zadávať to hlavné heslo, tak musíš použiť niečo iné napr. šifrovanie disku (ale v takom prípade sa nikto nemôže dostať k spustenému PC...).