Loading...

加密的md5可以逆向解密么

Filed under: 互联网事 — 江东 @ 2011-12-26 12:51:56 才(8)条评论

最近csdn,天涯,1713密码泄漏传得沸沸扬扬。所以我也在这里写写自己的看法。

我认为,用户一旦注册了某个网站,则表示对某个网站的信任。密码是否加密保存则体现了一个网站对用户的负责态度。

当然,如果网站方能保证你的用户数据库不会被盗,那么就算你明文保存也是没有任何问题的,毕竟用户登陆的时候,输入的密码就是明文(这和传输过程加密否无关),网站方要获取用户的密码那是很容易的事情。而实际上,没有任何一家网站能保证自己的用户数据库不会被泄漏,谁都不能,包括google。因为泄漏的渠道实在太多,至少包括一下几种可能:

  1. 被黑泄漏,这是多数人所理解的泄漏;
  2. 被数据库管理员泄漏;
  3. 被内部员工泄漏;
  4. 被不可抗拒的政治因素泄漏;

在8年前,我还在上大学的时候,帮某人开发一个网站,雇主要求明文保存密码,原因是便于自己查看,我说这没有必要,你要查看,可以在用户登陆的时候获取,没有必要进入数据库查看,明文保存的用户信息,一旦被泄漏,用户就要找你兴师问罪了,最终,该雇主放弃了明文保存密码的要求。

那么常用的md5加密是否真的安全,不是传说有在线可破解md5加密的么?

理论上,md5加密的字符串是不可能反向解密的,而网上的破解md5只是利用有限的库来匹配而已。也就是说该破解系统中已经保存了常用的字符串md5的结果,当你提供的md5在该库中,则可以将原来的字符串给匹配出来。反之,如果原始密码并不常见,那么则是无法反向解密的。

举一个简单的例子,这里提供一个md5之后的字符串:e10adc3949ba59abbe56e057f20f883e,其实他是字符串 123456 md5之后的结果,我们用这个字符串去“http://md5crack.com/crackmd5.php”  点击 点 Crack that hash baby,一定能“破解”得出来原密码。

可能有人会问,如果我的密码比较简单,那用上面的方法就能破解罗?

回答是肯定的,确实如此,但是任何一个网站都不可能白痴到对用户的密码只做简单的md5加密。常规的做法是在加密之前对原始密码做“加盐”处理。打个比方,您的密码是123456,网站程序会预处理处理你的字符串,如添加上你的用户名,添加上一个固定或者随机的字符串,这样在加密之前,你的123456就可能变成了 homezz_123456_cosbeta_2011_12-01_uid=***然后再md5,这个时候md5的结果就是:b699a46b0e15fedb151293a35e002d73, 您再去“http://md5crack.com/crackmd5.php”搜索看看,一定没有。 当然http://md5crack.com/crackmd5.php这个网站可以自学习,只要你输入字符串,做一次md5处理,该网站就会记录下对应关系了。

所以,md5实际上依然是无法反向解密的,除非你遇到了很白痴的站点,直接对简单的密码不做任何处理然后md5加密保存。

最近很多网站用户密码被泄漏出来,天涯,csdn,他们肯定也知道密码要加密保存的道理,但是为啥会明文,我相信每个人的猜测都不一样。

 

 

 

Xmas 圣诞节VPS 8折优惠

Filed under: 互联网事 — 江东 @ 2011-12-24 12:49:01 只有1条评论

庆祝圣诞,Homezz VPS现在推出8折终生优惠。

使用优惠码 xmas (2012-01-05日过期),可在原价的基础上进行8折收费。只需要简单的理解,原来Homezz的价格是多少,加上优惠码之后,一律原来的基础上8折。

Homezz为一封闭主机供应商,vps也是如此,所以,一旦用户数量到达了成本,或者稍微有点盈利,我们将会停止新注册vps,让各位用户有一个小而稳定的环境

 

我升级做爸爸啦

Filed under: 互联网事 — 江东 @ 2011-12-12 15:25:15 才(64)条评论

2011.12.12日,老婆为俺喜送一千金,俺那个高兴啊。

2011.12.11日上午入院,下午16点开始阵痛,晚上22点入产房,凌晨出生,非常顺利。

有了千金,今后就不会有俩宅男呆在家里呆得发霉的可能性了,俺这个准宅男估计今后就不会有那么宅了。

其实想来也奇怪,我居然能在5月份无意中预料到她会在双12出生。

5月某日得知老婆怀孕之后,在小区散步,我给老婆讲了一个笑话“我说假设我家娃娃在12月12日出生,今后考试历史的时候,若有题目问12月12日中国有什么重大历史事件,娃娃会不会填写’我的生日’? ”

讲完之后我哈哈哈笑了半天,老婆这个历史白痴一脸茫然的问“12月12日是什么日子?”

好吧,现在老婆一定能记住,12月12日是她闺女的生日,什么西安事变的一边去。

从进入医院到出生,我一共收到了300多条twitter推友的祝福,这里一并感谢你们。因为有你们的推,我的等待才不那么漫长。

小娃娃的名字还没有定,下面是几个待定名字,正在琢磨选哪个比较好:

twitter的叶总帮忙取了一个:江雨萱

自己取了一个:江心月

推友桃乐丝妹子取了一个:江可儿 英文名为 Jiang Core,脦霸气,哈哈哈。

升级了,责任更大了,担子更重了,这下可是真正的上有老下有小了。

 

 

 

自行实现URL隐藏转发

Filed under: 互联网事 — 江东 @ 2011-11-30 16:07:25 才(7)条评论

由于某些原因,现在注册域名明智的选择都会美国域名提供商。

因此,域名的默认ns都是美国的ip地址。

所以有朋友会发现,做url转发或者隐藏转发往往都失败。

url转发的过程其实是,用户访问该域名,然后域名的所对应的服务器A自动跳转到新的地址B,如果A的ip在国内是被屏蔽的,那么转发也就自然而然的失败了。

所以这个时候我们需要自己做域名转发,方法如下:

  • 首先将你的域名绑定到你的虚拟主机账户下(所以你需要有一个虚拟主机用户);
  • 将对应转发的子域名的ip解析到你的主机上(homezz主机可以直接在网站后台看到需要解析的ip地址)
  • 然后在网站的根目录放一个index.php文件
如果是普通的转发,index.php文件的内容很简单<?php header(“location:http://homezz.com/vps.php?c=COSBETA”);?>  将例子中的网址修改成你要转发的网址即可.
如果是要隐藏转发,index.php其实就是一个框架了,代码如下:
效果请参考 http://host.storyday.com/index2.php
<html>
<head>
<title>homezz虚拟主机</title>
</head>
<frameset rows="100%" border="0" frameborder="0" framespacing="0" framecolor="#000000">
<frame src="http://www.homezz.com?c=COSBETA"  scrolling="auto"></frameset>
<noframes><body>您的浏览器不支持iframe,无法访问!</body></noframes>
</html>

效果请参考 http://host.storyday.com

ajax-comment-vote更新

Filed under: PHP,Wordpress,网站技术 — 江东 @ 2011-11-24 19:36:27 才(8)条评论

发现很多朋友最近留言,表示该评论投票插件有问题,具体问题就是未登录状态,评论投票卡死不成功,由于本人也多年不折腾wordpress了,所以一直就耽误在那里

今天还是干脆将这个评论投票的插件也给修正了吧

修正了未登录状态无法对评论进行投票的bug

下载地址:ajax-comment-vote

cos_slug_translator升级

Filed under: 互联网事 — 江东 @ 2011-11-24 14:56:13 才(7)条评论

由于google开始对翻译接口进行收费,所以这个插件也停止了工作。

多位blog读者前来留言,说希望通过有道的翻译接口来改写这个插件,于是今天就花点时间来做了一个改写。

初步测试是成功的。

安装这个插件之前,请先到有道去申请一个属于你自己的API,申请地址:http://fanyi.youdao.com/fanyiapi?path=data-mode

申请之后,请下载本插件,cos_slug_translator 用记事本打开,修改如下

1717758599修改成你自己的KEY,storyday也修改成你自己的网站名字。

然后激活插件就可以啦

一个简单自动监控nginx 504错误的php脚本

Filed under: PHP,网站技术 — 江东 @ 2011-11-22 11:39:59 才(12)条评论

因为php连接网络超时,很容易导致nginx 504错误,网络上有很多解决办法,但是不知道为啥在我这里都不奏效。

所以我只好写一个脚本,定期检测我的站点是否504了,若有504,只好出绝招“重启nginx和php-fpm”,

具体代码如下:
#!/usr/bin/php 是你的php路径 (read on …)

防止php fsocksopen函数发起DoS攻击的一个思路

Filed under: 互联网事 — 江东 @ 2011-11-18 11:49:57 才(5)条评论

前段时间,因为某些用户的dedecms程序被黑,被黑的脚本利用php的fsocksopen对外发起DoS攻击,所以我不得不禁止fsockopen函数,实际上,很多国内国外的主机商都是禁止这个函数的。

实际上,多数情况下fsocksopen可以用curl替代之,后者更加安全,然后依然有部分程序,如aksimet反垃圾插件,discuz论坛都需要fsocksopen来支持,所以如果可能,我觉得还是打开fsocksopen函数比较人道。

因此,我想到了一个方案,不知道是否可行:

  1. 写了一个脚本,定期扫描用户的文件,专门揪出那些有fsocksopen函数的文件,同时看看是否有被黑的标志,如果有,则标记为可疑文件;
  2. 用iptables监控流量,1分钟一次,如果发现outbound流量异常,则dump下当前的所有进程,以供后期人工排除查看;
  3. 将进程中的php文件 和可疑文件列表相对照,如果有吻合的文件,马上kill掉进程,同时将此文件属性标记为000,并且邮件通知;

当然,上面的1,2,3将会用脚本自动完成 。
这仅仅是一个想法,等到测试确实可能之后,homezz将会再次支持fsocksopen函数

发现一个问题:

  1. 若用户的php脚本进行了简单的base64加密,判断难度增加;
  2. 若php脚本进行了其他方式的加密,则无法扫描;

所以,目前还是有无法开启fsocksopen
此种方案不太完美