|
|
 | Kryptering af kodeord til htaccess-spærrin~
Fra : Bertel Lund Hansen |
Dato : 26-08-09 15:01 |
|
Hej alle
Er der nogen der ved hvordan man med PHP laver en kryptering der
kan bruges til htaccess-kodeord? Jeg blev af forskellige
hjemmesider bildt ind at jeg kunne bruge crypt(), men det virker
altså ikke. Jeg har fundet en supportside hos One.com hvor man
kan få krypteret, men jeg ville gerne kunne lave det selv.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
 Stig Johansen (26-08-2009)
| Kommentar
Fra : Stig Johansen |
Dato : 26-08-09 16:03 |
|
Bertel Lund Hansen wrote:
> Er der nogen der ved hvordan man med PHP laver en kryptering der
> kan bruges til htaccess-kodeord? Jeg blev af forskellige
> hjemmesider bildt ind at jeg kunne bruge crypt(), men det virker
> altså ikke. Jeg har fundet en supportside hos One.com hvor man
> kan få krypteret, men jeg ville gerne kunne lave det selv.
Hov, jeg har lige siddet og skrevet til dig i en anden gruppe.
Men hvis du har adgang til en shell, kan du udføre eksempelvis:
sj@lwork1  /webs> htpasswd -nb Bertel lundhans
Bertel:ib6Y.z4/a7pnQ
Nåh ja, ud over adgang til shell, skal htpasswd være installeret på din
server.
Mht crypt() burde det virke, da htpasswd jfr. dokumentationen også benytter
crypt.
Har du huske at angive 2 (ASCII) tegn til salt?
--
Med venlig hilsen
Stig Johansen
| |
Stig Johansen (26-08-2009)
| Kommentar
Fra : Stig Johansen |
Dato : 26-08-09 16:05 |
|
Stig Johansen wrote:
> Har du huske at angive 2 (ASCII) tegn til salt?
Just in case, fra man crypt:
SYNOPSIS
#define _XOPEN_SOURCE
#include <unistd.h>
char *crypt(const char *key, const char *salt);
DESCRIPTION
crypt is the password encryption function. It is based on
the Data Encryption Standard algorithm with variations
intended (among other things) to discourage use of hard
ware implementations of a key search.
key is a user's typed password.
salt is a two-character string chosen from the set
[a-zA-Z0-9./]. This string is used to perturb the algo
rithm in one of 4096 different ways.
--
Med venlig hilsen
Stig Johansen
| |
Dan Storm (26-08-2009)
| Kommentar
Fra : Dan Storm |
Dato : 26-08-09 16:26 |
|
Bertel Lund Hansen skrev:
> Hej alle
>
> Er der nogen der ved hvordan man med PHP laver en kryptering der
> kan bruges til htaccess-kodeord? Jeg blev af forskellige
> hjemmesider bildt ind at jeg kunne bruge crypt(), men det virker
> altså ikke. Jeg har fundet en supportside hos One.com hvor man
> kan få krypteret, men jeg ville gerne kunne lave det selv.
>
Det er faktisk rigtigt at du kan bruge crypt.
Du skal bare gøre således:
$pw = "kodeordet";
$password = crypt($pw, base64_encode($pw));
--
Dan Storm - storm at err0r dot dk / http://err0r.dk
People who claim they don't let little things bother
them have never slept in a room with a single mosquito.
| |
Bertel Lund Hansen (26-08-2009)
| Kommentar
Fra : Bertel Lund Hansen |
Dato : 26-08-09 17:12 |
|
Dan Storm skrev:
> Det er faktisk rigtigt at du kan bruge crypt.
> Du skal bare gøre således:
> $pw = "kodeordet";
> $password = crypt($pw, base64_encode($pw));
Åh ... jeg havde crypt($brugernavn, base64_encode($pw)).
Hele mysteriet er opklaret. Mange tak til dem der hjalp.
--
Bertel
http://bertel.lundhansen.dk/ FIDUSO: http://fiduso.dk/
| |
 Stig Johansen (26-08-2009)
| Kommentar
Fra : Stig Johansen |
Dato : 26-08-09 18:51 |
|
Bertel Lund Hansen wrote:
> Dan Storm skrev:
>
>> Det er faktisk rigtigt at du kan bruge crypt.
>> Du skal bare gøre således:
>
>> $pw = "kodeordet";
>> $password = crypt($pw, base64_encode($pw));
>
> Åh ... jeg havde crypt($brugernavn, base64_encode($pw)).
Men du burde måske bruge forskellige 'salt'.
Meningen er, at ved at variere 'salt', får samme password forskellige
krypterede værdier.
Med din (og Dan's) metode vil passwordet være det samme for Dan:lundhans og
Bertel:lundhans
Du kan evt. bruge brugernavnet som udgangspunkt for 'salt'
--
Med venlig hilsen
Stig Johansen
| |
Bertel Lund Hansen (26-08-2009)
| Kommentar
Fra : Bertel Lund Hansen |
Dato : 26-08-09 18:57 |
| | |
Stig Johansen (26-08-2009)
| Kommentar
Fra : Stig Johansen |
Dato : 26-08-09 21:37 |
|
Bertel Lund Hansen wrote:
> Stig Johansen skrev:
>
>> Meningen er, at ved at variere 'salt', får samme password forskellige
>> krypterede værdier.
>
> Hvad skulle fordelen være ved det?
Det er ikke sikkert der er nogen fordel i dit tilfælde.
Men da det er en hash, kan den ikke dekrypteres, så umiddelbart kan man ikke
udlede passwordet af hashen.
Har man en masse brugere, og får fat i data, og den samme hash optræder, ved
man, at det er samme password.
Varierer man 'salt', vil samme password med forskellig 'salt' have
forskellig hash, så selvom man finder det ene password, kan man ikke dermed
finde de(t) andet.
--
Med venlig hilsen
Stig Johansen
| |
Stig Johansen (26-08-2009)
| Kommentar
Fra : Stig Johansen |
Dato : 26-08-09 16:27 |
|
Havde egentlig stoppet med at kigge men:
Bertel Lund Hansen wrote:
> Jeg blev af forskellige
> hjemmesider bildt ind at jeg kunne bruge crypt(), men det virker
> altså ikke.
Faldt lige over denne her sentens:
.....
PHP now contains its own implementation for the MD5 crypt, Standard DES,
Extended DES and the Blowfish algorithms and will use that if the system
lacks of support for one or more of the algorithms.
.....
fra:
< http://us.php.net/manual/en/function.crypt.php>
Det kunne lyde som om der er en risiko for inkompatibilitet mellem PHP's
egen implementering og standard.
Just a(nother) guess.
--
Med venlig hilsen
Stig Johansen
| |
|
|