Skocz do zawartości
www

phpBB3 vs. MyBB

Polecane posty

A ja się zastanawiam czy ty masz użytkowników tego forum za idiotów, czy sam chcesz za takiego uchodzić. Wpisz identycznego hasha dla obydwu mechanizmów i wtedy wpisz wyniki.

 

A poza tym nie wiem co ma ta dyskusja w ogóle wnieść do tematu.

 

phpBB3

Wordpress

 

Udowodniłem, że phpBB3 jest bezpieczniejsze ?

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kopaczka

A ja się zastanawiam czy ty masz użytkowników tego forum za idiotów, czy sam chcesz za takiego uchodzić. Wpisz identycznego hasha dla obydwu mechanizmów i wtedy wpisz wyniki.

 

A poza tym nie wiem co ma ta dyskusja w ogóle wnieść do tematu.

 

Ciebie mam w tej chwili za totalnego idiotę :)

 

Wypowiadasz się a nie masz zielonego pojęcia o tym co piszesz.

Mogę dać 100 hashów a prędkość będzie tylko o 100 mniejsza.

Czym algorytm bardziej złożony tym wolniejsza prędkość a program sprawdza i porównuje.

Bo to są algorytmy jednostronne i możliwe złamanie tylko przez porównanie.

Aż Ci zrymowałem, żeby do twojej pustej łepetynki to trafiło :)

 

Łatwiej sprawdzać md5 czyste dlatego idzie to bardzo szybko.

Hasło tu nie ma nic do znaczenia ale zakoduj dwoma algorytmami jedno hasło a ja Ci dam screena i będzie prędkość podobna.

 

Szkoda, że minusy nie działają bo bym Ci dał.

Tak przy okazji to nie wiem za co regdos dostał plusa w poście w którym wydawało mu się, że mnie pojechał.

Już drugi raz tak dostał od Wojtek123 który się nie wypowie i umie głupio dawać plusy każdemu kto mnie pociśnie :)

Nie wiem co mnie jeszcze zaskoczy dzisiaj.

 

Edit: zamieniłeś hasze :)

$H$ to phpbb3 a $P$ to wordpress

 

Udowodniłeś tylko moją racje.

Ale nikt mi jej nie przyzna bo chyba za przeproszeniem nikt tu jaj niema.

regdos podważał moje posty, udowodniłem mu.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Zauważyłeś - prawdziwy haxior z Ciebie.

 

Pojęcia nie mam o tym jak zauważyłeś żadnego, pokazałem Ci tylko, że przy odwrotnie zapisanych hashach wyniki są dokładnie odwrotne - ale pewnie zaraz napiszesz 15 postów na temat tego skąd akurat takie wartości w polu 'hash' wpisałeś.

Cieszę się, że pomogłem Ci podbudować swoją samoocenę moim postem.

 

PS. Proszę o wygenerowanie screenów na hasło h4xi0r (specjalnie dla Ciebie) i moderatora o usunięcie tego spamu :)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Komuś tu chyba trzeba skrócić smycz, bo kłapie ozorem i nie potrafi niczego po ludzku wytłumaczyć.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

I udowodnij mi, że wordpress ma słabsze hashe, ja udowodniłem, że ma silniejsze.

Wordpress i phpbb3 mają tak samo silne hashe bo są dokładnie takim samym algorytmem generowane.

Jeżeli tak nie uważasz to przeanalizuj kod w obu skryptach i pokaż mi różnicę w algorytmach i wtedy to będzie dowodem.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Do pana Kopaczka.

Będę dawał plusy komu mi się podoba, bo mnie się tak podoba, regdosowi też się to pewnie podoba.

A że pisze mądrze, i w tym temacie udowodnił każdemu że jesteś idiotą to tym bardziej jest to uzasadnione.

Dla własnego dobra nie wypowiadaj się, bo to już naprawdę przypomina tłumaczenie jak dziecku.

eot

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Proszę wszystkich o używanie regulaminego, netykietowego i nieobraźliwego słownictwa. Stosowny użytkownik który pierwszy obraził w sposób znaczący innego użytkownika został ostrzeżony, zablokowałem mu także pisanie postów na 3dni. Wybaczcie że ingerowałem w momentami z niektórych stron merytoryczną dyskusję, ale nie można dyskusji przerywać inwektywami.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Wordpress:

wp/includes/pluggable.php

linia
1400
	$wp_hasher = new PasswordHash(8, TRUE);

$iteration_count_log2 = 8;

 

PHPBB3

includes/functions.php
linia: 435

function _hash_gensalt_private($input, &$itoa64, $iteration_count_log2 = 6)

 

iteration_count_log2 odpowiada za czas generowania hashu / czwarty znak

 

	$output .= $itoa64[min($iteration_count_log2 + ((PHP_VERSION >= 5) ? 5 : 3), 30)];

 

zróbmy na przykładzie PHP_VERSION >= 5 ( końcowa wartość iteration_count_log2 to iteration_count_log2 + 5 )

 

iteration_count_log2   znak    wartość końcowa
      6                 9          11
      7                 A          12
      8                 B          13
..............................................
     12                 F          17

 

Średnia prędkość generowania 50 losowych hashy

Wszystkie hashe to test

iteration_count_log2 = 6

Hash: $P$9aenFLC8wykZ3LoFqwCmF2PsqRukkX/

Wygenerowano w: 0,003308601 sec

 

iteration_count_log2 = 7

Hash: $P$AReYP.AO0zy2D6J4m842UwC3GK4O/P.

Wygenerowano w: 0,006818519 sec

 

iteration_count_log2 = 8

Hash: $P$BLxxd5jy8TDE8KCc9vZ3zO4tP/JXhA/

Wygenerowano w: 0,013648462 sec

 

iteration_count_log2 = 9

Hash: $P$Ctto3mIJp7PeqMCUkpDeVt0cb1yZpw0

Wygenerowano w: 0,027078342 sec

 

iteration_count_log2 = 10

Hash: $P$DZHicv6PL6koOdq8DrvdYM5OFntRah.

Wygenerowano w: 0,054523678 sec

 

iteration_count_log2 = 11

Hash: $P$EQldE9K8TUe7KENHgjhGxhFEXVmjiv.

Wygenerowano w: 0,109327559 sec

 

iteration_count_log2 = 12

Hash: $P$FHkUHWsRIBxwm7daGctj5/iFBmsUxQ1

Wygenerowano w: 0,219290023 sec

 

Benchmark:

<?php
require_once 'PasswordHash.php';

for( $i = 6; $i < 13; $i++ )
{
$iteration_count_log2 = $i;

$t_hasher = new PasswordHash( $iteration_count_log2, true );

$start = microtime( 1 );
for( $x = 0; $x < 49; $x++ )
{
	$hash = $t_hasher->HashPassword( mt_rand(10000,99999 ) );
}
$hash = $t_hasher->HashPassword( 'test' );

printf( "iteration_count_log2 = $iteration_count_log2\nHash: $hash\nWygenerowano w: %.9f sec\n\n", ( microtime( 1 ) - $start ) / 50 );
}

?>

 

iteration_count_log2 = 6 // PHPBB3

Wygenerowano w: 0,003308601 sec

 

iteration_count_log2 = 8 // Wordpress

Wygenerowano w: 0,013648462 sec

 

0.013648462 / 0.003308601 ~ 4.13

 

Sayo: WP - 880, PHPBB3 - 3510, czyli ~ 3.99

Kopaczka: WP - 617, PHPBB3 - 2445, czyli ~ 3,96

 

Wordpress ma ~4x silniejsze hashowanie niż phpbb3 ( ze względu na większą wartość iteration_count_log2, dłuższy czas generowania / łamania hashu )

 

PasswordsPro traktuje tak samo hashe wordpress i phpbb3, nie ma różnicy czy to moduł md5(Wordpress), md5(phpBB3) czy prefix $P$, $H$

 

Na dzień dzisiejszy PasswordsPro nie złamie hashy które mają iteration_count_log2 =< 9 ( dla wersji php >= 5 lub od razu zmieniamy ((PHP_VERSION >= 5) ? 5 : 3) na 5 )

  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

No i to rozumiem - teraz faktycznie wiemy, że Wordpress ma lepsze zabezpieczenia :)

Z ciekawości spróbowałem na różnych hasłach w bazie i faktycznie - ilość haseł porównywanych w jednostce czasu jest identyczna.

 

Jak widać można rzeczowo przekonać do swoich racji bez wyzwisk i zbędnych komentarzy :)

 

Tak czy inaczej ta dyskusja na temat wyższości zabezpieczeń Wordpressa nad phpBB3 nijak ma się do tematu.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Łukasz Tkacz

Szczerze to cała ta dyskusja była bez sensu. Jeżeli jakaś nieupoważniona osoba miałaby dostęp do bazy czy też odpalania php to mamy dosłownie pozamiatane... Wiadomo, że zabezpieczyć to trzeba, ale IMO ważniejsza jest profilaktyka.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzięki GLOBUS, przegapiłem tę liczbę iteracji, która jest jako wartość domyślna w definicji funkcji w phpBB3.

 

Przyznaję rację Wordpress ma silniejsze hasła.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Bartosz Gadzimski

Oj, straszne zamieszanie.

 

Kopaczka - miał racje ale nie poparta żadnymi dowodami nie może być używana na forum jako argument. Straciłeś nerwy z braku argumentów, na przyszłość wiadomo jak postępować :)

 

regdos - miał rację na poziomie wiedzy jakim dysponował, sam starałem się znaleźć różnice i ich nie znalazłem. GLOBUS wszystko ładnie wyjaśnił (szacunek).

 

Jak powinna wyglądać wypowiedź Kopaczki:

 

"Wordpress ma mocniejsze hasła ze względu na inną wartość iteracji (zmienna iteration_count_log2)"

 

Decyzje moderatora crazyluki uważam za odpowiednią.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×