gnuroman
27.08.05, 02:11
Hi,
bei einem bb werden ja die Passwörter der User als MD5 Hash in einer mysql table gespeichert, d.h., derjenige, der Zugriff auf die tables hat, könnte die hashes höchstens mit rainbow tables cracken ...
Wie aber macht das board das? Es nimmt doch vom User das pw an, verschlüsselt es und vergleicht den hash mit dem abgespeicherten hash (ähnlich des pw-vergleiches auf unixoiden systemen). Könnte der Admin nicht einfach die login.php oder ähnliche Dateien dahingehend verändern, daß vor der Prüfung des hashes das pw im plaintext abgespeichert wird (z.B. indem es ineine Datei geschrieben wird)?
Weiß jemand dazu was genaueres, bzw. gibt es Beispielcode?
Danke
bei einem bb werden ja die Passwörter der User als MD5 Hash in einer mysql table gespeichert, d.h., derjenige, der Zugriff auf die tables hat, könnte die hashes höchstens mit rainbow tables cracken ...
Wie aber macht das board das? Es nimmt doch vom User das pw an, verschlüsselt es und vergleicht den hash mit dem abgespeicherten hash (ähnlich des pw-vergleiches auf unixoiden systemen). Könnte der Admin nicht einfach die login.php oder ähnliche Dateien dahingehend verändern, daß vor der Prüfung des hashes das pw im plaintext abgespeichert wird (z.B. indem es ineine Datei geschrieben wird)?
Weiß jemand dazu was genaueres, bzw. gibt es Beispielcode?
Danke