« previous next »
Pages: [1]

Author Topic: Cookie security risk hash unsave attackable md5  (Read 12337 times)

0 Members and 1 Guest are viewing this topic.

Offline x23piracy

  • Sr. Member
  • ****
  • Posts: 420
    • View Profile
    • FHG
Cookie security risk hash unsave attackable md5
« on: December 18, 2010, 10:39:49 AM »
Hi,

you all can find the userpass hash in your cookie, copy it and paste it for example on:
http://md5cracker.org/ you will see if your pass is not to complex you will get your password quickly.

This is an security risk since md5 is attackable and should be changed quickly.


Greetz X23
« Last Edit: December 18, 2010, 02:06:40 PM by Nicky »
Logged

Don't trust in md5 it's unsafe change your 4i galerys password hash algorythm! second pw db field, create new hashes over some time, deny old hash. Help members that cry, send informationen mail to the rest. Camouflage new pw hash in cookie. Done!

--(◔̯◔)--

Offline Sunny C.

  • Addicted member
  • ******
  • Posts: 1.806
  • I ♥ 4I
    • View Profile
Re: Cookie security risk 4images_userpass hash unsave attackable md5
« Reply #1 on: December 18, 2010, 12:19:16 PM »
Meine Passwörter konnte das teil nicht cracken
Logged

Offline x23piracy

  • Sr. Member
  • ****
  • Posts: 420
    • View Profile
    • FHG
Re: Cookie security risk 4images_userpass hash unsave attackable md5
« Reply #2 on: December 18, 2010, 12:38:29 PM »
Quote from: Sumale.nin on December 18, 2010, 12:19:16 PM
Meine Passwörter konnte das teil nicht cracken

Hi,

dann hast du ein complexes was nicht bedeutet das es nicht ermittelbar ist.
Jedenfalls gilt md5 als geknackt und ist ich drück mich mal sauber aus...
"die falsche Wahl" das sollte geändert werden z.B. sh1


Gruß Jens
Logged

Don't trust in md5 it's unsafe change your 4i galerys password hash algorythm! second pw db field, create new hashes over some time, deny old hash. Help members that cry, send informationen mail to the rest. Camouflage new pw hash in cookie. Done!

--(◔̯◔)--

Offline Sunny C.

  • Addicted member
  • ******
  • Posts: 1.806
  • I ♥ 4I
    • View Profile
Re: Cookie security risk 4images_userpass hash unsave attackable md5
« Reply #3 on: December 18, 2010, 01:34:15 PM »
Am besten wäre wenn md5 2x hashed würde.
md5 salted sasgt man auch
wbb nutzt das ebenfalls
Logged

Offline Nicky

  • Administrator
  • 4images Guru
  • *****
  • Posts: 3.195
    • View Profile
Re: Cookie security hash unsave attackable md5
« Reply #4 on: December 18, 2010, 02:05:15 PM »
Quote from: x23piracy on December 18, 2010, 12:38:29 PM
Quote from: Sumale.nin on December 18, 2010, 12:19:16 PM
Meine Passwörter konnte das teil nicht cracken

Hi,

dann hast du ein complexes was nicht bedeutet das es nicht ermittelbar ist.
Jedenfalls gilt md5 als geknackt und ist ich drück mich mal sauber aus...
"die falsche Wahl" das sollte geändert werden z.B. sh1


Gruß Jens

Jens, solche generatoren gibt es schon ein paar jahre.
deswegen verstehe ich gerade deine panickmache nicht.
Logged
cheers
Nicky
Your first three "must do" before you ask a question ! (© by V@no)
- please read the Forum Rules ...
- please study the FAQ ...
- please try to Search for your answer ...
nicky.net 4 4images
Signature stolen from mawenzi

Rembrandt

  • Guest
Re: Cookie security risk hash unsave attackable md5
« Reply #5 on: December 18, 2010, 03:41:23 PM »
pseudocrack engine, sonst nichts.
der hat eine mords datenbank mit namen und begriffen und den hinterlegten md5.

gibts du ein md5 ein wird der in der DB gesucht und der hinterlegte name oder begriff ausgegeben.
von entschlüsseln keine spur.

eine diskussion in dieser richtung hatten wir schon mal:  http://www.4homepages.de/forum/index.php?topic=27004.0
Logged

Offline V@no

  • If you don't tell me what to do, I won't tell you where you should go :)
  • Global Moderator
  • 4images Guru
  • *****
  • Posts: 17.849
  • mmm PHP...
    • View Profile
    • 4images MODs Demo
Re: Cookie security risk hash unsave attackable md5
« Reply #6 on: December 18, 2010, 07:18:58 PM »
Just so you know, by submitting MD5s on that site, you help them to build database for hackers (whis)...
Logged
Your first three "must do" before you ask a question:
Please do not PM me asking for help unless you've been specifically asked to do so. Such PMs will be deleted without answer. (forum rule #6)
Extension for Firefox/Thunderbird: Master Password+    Back/Forward History Tweaks (restartless)    Cookies Manager+    Fit Images (restartless for Thunderbird)

Offline x23piracy

  • Sr. Member
  • ****
  • Posts: 420
    • View Profile
    • FHG
Re: Cookie security risk hash unsave attackable md5
« Reply #7 on: December 18, 2010, 07:34:14 PM »
Hi,

Ihr habt ja recht allerdings könnte das in Zukunft trotzdem mal ein anderer Hash algo werden.

Gruß Jens
Logged

Don't trust in md5 it's unsafe change your 4i galerys password hash algorythm! second pw db field, create new hashes over some time, deny old hash. Help members that cry, send informationen mail to the rest. Camouflage new pw hash in cookie. Done!

--(◔̯◔)--

Rembrandt

  • Guest
Re: Cookie security risk hash unsave attackable md5
« Reply #8 on: December 18, 2010, 07:35:22 PM »
yes @Va@no you are right, shall be collected individual passwords, for brute force attack.   :twisted:
Logged

Offline x23piracy

  • Sr. Member
  • ****
  • Posts: 420
    • View Profile
    • FHG
Re: Cookie security risk hash unsave attackable md5
« Reply #9 on: December 18, 2010, 08:59:39 PM »
Hi,

ich hab ganz außer acht gelassen das es zum einen bereits eine Diskussion gab... sorry.
Zum anderen das es trotzdem relativ sinnlos ist da der login ja nur durch den hash schon
gewährt wird.

Wie V@no schon angemerkt hat würde nur ein zweites Passwort helfen.

Für die normalen User Accounts ist das ja auch nicht weiter schlimm blöde wäre es nur
wenn jemand das cookie hat und sich mit einem Admin Account anmelden kann, es
wäre ja minimum möglich über die Templates irgendwelchen Schadcode einzubauen.

Das Thema ist für mich damit abgehakt.

Sorry für den unnötigen Thread.

EDIT:

Ich leg dann doch nochmal einen nach, wie Ihr wahrscheinlich alle wisst, sind Cookies
für jede Seite verfügbar, soll heißen jede Seite kann alle Cookies lesen.

Jetzt ist da unser super sicherer Passwort Hash in MD5 der sich auch noch als solches
outet da die hash länge exakt md5 entspricht sowas sollte man verstecken in dem man
ihn wie sumale.nin schon sagte doppelt hashed aber noch besser an unbekannten
Stellen den Hash verfremden das kann dynamisch erfolgen und bei jedem anders.

Ich änder das für meine Projekte entsprechend ab aber bleibt ihr ruhig bei diesem
grob Fahrlässigem MD5.


Gruß Jens
« Last Edit: December 20, 2010, 02:34:54 AM by x23piracy »
Logged

Don't trust in md5 it's unsafe change your 4i galerys password hash algorythm! second pw db field, create new hashes over some time, deny old hash. Help members that cry, send informationen mail to the rest. Camouflage new pw hash in cookie. Done!

--(◔̯◔)--
Pages: [1]
« previous next »