MD5-Passwörter mit PHP erzeugen

Noch immer findet man sehr einfache Schutzmechanismen, die mit Klartext-Passwörtern arbeiten, welche im Quellcode der entsprechenden Routinen abgespeichert sind. Jeder, der Zugriff auf diese Routinen hat, kann solche Passwörter problemlos auslesen und dann missbrauchen. Die Sicherheit bei der Speicherung solcher Passwörter lässt sich mit einem MD5-Hash zwar nicht perfektionieren, aber doch recht deutlich verbessern. Und das lässt sich auch schon recht einfach mit PHP-Bordmitteln realisieren: <?PHP //Eine Zufallszahl zwischen 1000 und 9999 erzeugen $zzahl = mt_rand(1000, 9999); // MD5-Hash aus Zufallszahl und aktueller Zeit bilden $zahlzeit = md5($zzahl.microtime()); $passwort = substr($zahlzeit, "0" ,"8");  //Die Zahl 8 definiert dabei die Länge des Passworts echo $passwort;?> Dieser Codeschnipsel erzeugt ein 8-stelliges (maximal 32-stelliges) Passwort aus Buchstaben und Zahlen. Man muss hier darauf hinweisen, dass sich nicht alle Anforderungen an ein sicheres Passwort mit MD5 erfüllen lassen. Es ist zum Beispiel lange bekannt, dass voneinander verschiedene Zeichenfolgen durchaus denselben Hashwert liefern könnten. Ein MD5-Hash ist aber schon deutlich sicherer als die Speicherung eines Passwortes innerhalb der Routine im Klartext!

2020-10-05T09:28:50+02:00Oktober 5th, 2020|Allgemein, PHP, Sicherheit|Kommentare deaktiviert für MD5-Passwörter mit PHP erzeugen

Browser Internet Explorer und Edge blocken SHA-1

Schon seit mehr als 10 Jahren gilt das SHA1-Hash-Verfahren zur Verschlüsselung von Internetseiten als geknackt. Im Februar dieses Jahres gab es dann auch den praktischen Nachweis, dass man Kollisionen, also zwei verschiedene Datensätze, die denselben Hash-Wert ergeben, berechnen kann. Hersteller Microsoft hat schon länger angekündigt, seine beiden Browser Internet Explorer und Edge so umzustellen, dass sie auf durch SHA-1-Signaturen erzeugte HTTPS-Seiten mit Fehlermeldungen reagieren, was Mozillas Firefox und Googles Chrome  schon seit längerem machen. Seit der letzten Woche liefert der Hersteller Updates für beide Browser aus, um das geknackte Hash-Verfahren SHA-1 jetzt zu blockieren. Genauere Details zu seiner SHA1-Blockade beschreibt Microsoft im Security Advisory 4010323, eine deutsche Übersetzung dazu finden Sie hier. Diese Updates können auch manuell downgeloadet werden, sie sind im Knowledge Base Artikel 4010323 zu finden. Als Nachfolgemethode für das Hash-Verfahren wird von Microsoft SHA-2 empfohlen. Dessen zwei Varianten SHA256 und SHA512 werden als genügend sicher angesehen, um auch langfristig die Unterscheidbarkeit unterschiedlicher Online-Dokumente sicherstellen zu können.

2017-05-14T21:16:39+02:00Mai 14th, 2017|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Browser Internet Explorer und Edge blocken SHA-1

Ruby 2.4 zu Weihnachten verfügbar

Wie immer in den letzten Jahren folgt das Ruby-Projekt auch 2016 seiner Tradition und bringt ein neues größeres Release der Skriptsprache Ruby heraus. Die zu Weihnachten veröffentlichte Version 2.4 bringt viele Neuerungen. Dazu gehören beispielsweise Verbesserungen bei Hash-Tabellen, die Zusammenführung der Integer-Klassen Fixnum und Bignum in Integer und auch die Groß- und Kleinschreibung mit Unicode in String-Methoden. Wie bei jedem neuen größeren Release haben die Entwickler auch weiter an der Performance der Skriptsprache geschraubt. Nähere Details zur Version Ruby 2.4 Die neue offene Adressierung (open addressing) macht zusammen mit einem Array, das die Einfügungsreihenfolge beibehält (inclusion order array), die interne Struktur von Hash-Tabellen (st_table) besser handhabbar. Das auch neu eingeführte binding.irb verhält sich recht ähnlich wie das beim Debugging wichtige binding.pry. Es startet aber dazu eine reguläre IRB (Interactive Ruby Shell). Ein anderes neues Feature betrifft ebenfalls den Bereich Debugging: Die Deadlock-Erkennung von Ruby 2.4 listet Threads jetzt mit ihrem Backtrace und den abhängigen Threads . Bisher enthielt Ruby mit Fixnum und Bignum zwei Integer-Subklassen. Für Ruby 2.4 wurden diese nun mit Integer zusammengeführt. Das führt dazu, dass alle C-Extensions, die Fixnum oder Bignum benutzen, für Ruby 2.4 überarbeitet werden müssen. Die Methoden String/Symbol#upcase/downcase/swapcase/capitalize(!) nutzen bei der Konvertierung in Groß- oder Kleinschreibung in der neuen 2.4er-Version die Unicode-Regeln; bisher verwendeten sie ASCII-Regeln. OpenSSL 1.1.0 wird jetzt ebenfalls von Ruby unterstützt; der Support für OpenSSL 0.9.7 und älter Verschlüsselungen wurde hingegen aus [...]

2016-12-26T19:34:26+02:00Dezember 26th, 2016|Allgemein|Kommentare deaktiviert für Ruby 2.4 zu Weihnachten verfügbar

Sicherheitslücken im PHP File Manager

Das Programm PHP File Manager kann man für nur 5 Dollar kaufen. Man installiert es dann auf seinem Internetserver und kann danach beliebige Dateien zwischen seinem PC und dem Server einfach mit dem Browser austauschen. Dummerweise können das alle anderen auch – vom Programmierer bis zum Hacker! Weil es so bequem ist, nutzen offensichtlich auch viele große Unternehmen das Tool zum Dateitransfer. Dazu gehören beispielsweise Eneco, Nintendo, Danone, Nestle, Loreal, EON, Siemens, Vattenfall, Oracle, Oxford, Hilton, T-Mobile, CBS, UPC und 3M (und vermutlich noch viele andere), von deren Internetservern seitdem jedermann vertrauliche Dateien ohne Probleme herunterladen kann. Denn in dem PHP-Skript PHP File Manager schlummern seit mindestens fünf Jahren mehrere kritische Sicherheitslücken, die der Hersteller kennt, aber einfach nicht schließt. Darauf macht Security-Berater Sijmen Ruwhof in seinem Blog jetzt aufmerksam. So soll es zum Beispiel durch zwei Lücken möglich sein, über das Skript ohne Authentifizierung Code auf den Server zu laden und auch auszuführen. Das Schärfste daran ist aber ein speziell versteckter Superuser mit dem Namen  ****__DO_NOT_REMOVE_THIS_ENTRY__****,  der in allen Installationen des File Managers dasselbe Passwort nutzt. Um es Hackern einfach zu machen, ist dies Passwort auch gleich als MD5-Hash im Script. Hersteller Revivedwire hat den PHP File Manager inzwischen auf verschämte Art und Weise auf seinem Vertriebsserver gesperrt. Man liest dort ein unverfängliches „Wir konnten die aufgerufene Seite leider [...]

2015-07-28T10:31:10+02:00Juli 28th, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Sicherheitslücken im PHP File Manager

PHP 5.6 steht zum Download bereit

Heute wurde PHP 5.6, das neueste Release der 5.xer Entwicklungsschiene, veröffentlicht. Das letzte Update vor gut einem Jahr hatte die Version PHP 5.5 installiert. PHP 5.6 bringt einen interaktiver Debugger, variadische Funktionen, einen rechtsassoziativer Operator, Importfeatures für Funktionen und Konstanten und auch die Möglichkeit, Dateien mit mehr als 2 GByte Größe hochzuladen, mit. Um die Sicherheit in den PHP-Anwendungen zu verbessern wurden die Funktion hash_equals() eingeführt, der Einsatz von sicheren Verbindungen mit SSL/TLS verbessert und auch der Hash-Algorithmusgost-crypto ergänzt. Weitere Informationen zu allen Änderungen und Verbesserungen finden sich in den Migrationshinweisen. Auch das Dokument über die mit PHP 5.6 entfernten Features kann für das Update älterer Lösungen wichtig werden.

2014-08-28T17:12:12+02:00August 28th, 2014|PHP|Kommentare deaktiviert für PHP 5.6 steht zum Download bereit
Nach oben