[webmaster]

Цитата:

Сообщение от vladendark

обалденный двиг. В плане юзабилити админки и простоты шаблонизатора. правда я не знаю что у него по-безопасности.
Вроде как защита админки средствами апача не есть комильфо

Наоборот, Апач пока никто не взламывал, в отличие от самодельной авторизации

[Niemans]

при желание взломают и поломают все что угодно.
для начала сделайте что то стоящее...

[webmaster]

Цитата:

Сообщение от Niemans

при желание взломают и поломают все что угодно.
для начала сделайте что то стоящее...

Серверную авторизацию не поломают

[vladendark]

да тут пароль хранится в md5 в открытом доступе. При наличии желания пароль вскрывается. а вот для того, что бы тот же хеш вытащить из мускуля нужно еще попотеть

[webmaster]

Цитата:

Сообщение от vladendark

да тут пароль хранится в md5 в открытом доступе. При наличии желания пароль вскрывается. а вот для того, что бы тот же хеш вытащить из мускуля нужно еще попотеть

Во-первых md5 не вскрывается, если добавить соль, а во-вторых файл с паролем находится в папке /admin/ которая этим же паролем и закрыта

[Листок]

А почему не глянете oscommerce Vam editition? Юзаю более 5 лет. И поддержка опять же...

[vladendark]

Цитата:

а во-вторых файл с паролем находится в папке /admin/ которая этим же паролем и закрыта

шутить изволите? читайте выше - в моем посте прямой линк на .passwd. и при наличии нормального железа, желания и тупого админа магазина (который не ставит пароли типа fhg56&$4hjfdyr7454 md5 вскрывается при помощи общих фильтров ) за неделю.

[webmaster]

Цитата:

Сообщение от vladendark

шутить изволите? читайте выше - в моем посте прямой линк на .passwd.

Если вы не заметили, в той демо-версии вообще ОТКЛЮЧЕНА проверка пароля, и, логично, что любой файл доступен для просмотра. А вы зашли в общедоступную папку и решили что хакер
Если включить проверку пароля, то этот файл вы никак не увидите.

А md5 вы и за год не подберете, хоть на 10 компьютерах. Потому что к паролю добавляется соль, он же в чистом виде хешируется.

hash = md5(пароль+n7y45t8b3485tdn3485t7gn34o8smfhg348957g t3489gfn9845goi4gu5);

В общем, учите матчасть.

Добавлено через 59 минут

Вот чисто для интереса посчитал:
Если парль состоит из 3 символов, а соль из 10, получается 36^10 вариантов. Если вы будете перебирать даже 1000000 (миллион) вариантов в секунду, полный перебор займет у вас более 5 миллионов лет.
И это при том, что я взял довольно короткие входные данные.

Ну и главное - md5 это ХЕШирование а не ШИФРоварие, так что "разшифровать" его в принципе невозможно, так как в нем не сохраняется информация о входных данных.

[vladendark]

Цитата:

Если вы не заметили, в той демо-версии вообще ОТКЛЮЧЕНА проверка пароля, и, логично, что любой файл доступен для просмотра. А вы зашли в общедоступную папку и решили что хакер

делал 2 магазина на этой cms. Пароль всегда хранится в таком виде.

Цитата:

Если парль состоит из 3 символов, а соль из 10, получается 36^10 вариантов.

качаем нуленые сорцы видим голый md5/
лезем на античат, злой, секьюлаб. находим линки на сайты rainbow таблиц, где люди годами составляют базы сопоставлений. В случае, если пароль не такой, как я указал выше доступ к админке получаем очень быстро

[webmaster]

Цитата:

Сообщение от vladendark

делал 2 магазина на этой cms. Пароль всегда хранится в таком виде.
качаем нуленые сорцы видим голый md5/
лезем на античат, злой, секьюлаб. находим линки на сайты rainbow таблиц, где люди годами составляют базы сопоставлений. В случае, если пароль не такой, как я указал выше доступ к админке получаем очень быстро

Пароль хранится в таком виде, и чем вам не нравится этот вид?

Радужные таблицы просчитаны только для самых простых паролей БЕЗ СОЛИ, так что они вам ничем не помогут.