• User Attivo

    Non conosco Drupal nello specifico, ma essendo open source le "informazioni" le trovi dentro il codice... 😉


  • User

    Ciao, drupal di default usa un hash md5 semplice, senza nessun tipo di salt
    puoi controllare anche qui:
    api.drupal.org/api/drupal/modules--user--user.module/function/user_save/6
    attenzione che dalla versione 7 di drupal non sarà più così semplice 😉


  • User Attivo

    Grazie controllo e vi faccio sapere


  • User Attivo

    Mi sono letto un po' il documento pero' non e' che ci ho capito poi tanto lo script che il sito propone a cosa serve esattamente , da quel poco che ho capito e' come se in quello script vi fosse una conversione di dati di altri cms della tabella login che viene riconvertita con i dati per drupal ? se non sbaglio.

    Grazie per la vostra disponsibilità
    Cordiali saluti


  • User

    no, quella in particolare è la funzione interna di drupal che viene chiamata quando si vuole salvare un utente nel database, te l'ho riportata per farti vedere che fa una semplice checksum con md5 e salva quella nel database, quindi se il vecchio cms che usavi utilizza anch'esso un semplice checksum md5 per le password, basta che copi i campi password da un database all'altro così come sono senza dover recuperare/convertire nulla


  • User Attivo

    Ti dico subito il vecchio cms e' un phpfusio. e sinceramente non so che checksum md5 ora mi informo perche' se e' lo stesso quindi posso copiare tutti i campi password pero' soltanto che ne sono piu' di mille , mica c'e' un modo per copiare tutti quanti insieme ? Poi non e' che per caso tu conosci il php fusio. e sapresti se hanno lo stesso chesckum.

    Grazie


  • User

    php fusion usa un doppio hash md5, in pratica una funzione scritta in questo modo: md5(md5($password));, drupal invece un singolo md5: md5($password);
    dovresti cercare un modulo per drupal che ti aggiunga il secondo hash ad ogni password per i login e i nuovi utenti, in modo da rendere tutto compatibile


  • User Attivo

    Potresti aiutarmi tu a cercare tale modulo in quanto sono un po' spaesato

    Grazie e scusa il disturbo


  • User

    Dando un'occhiata rapida mi pare non ce ne siano, mi sa che ti tocca scrivertelo, o altrimenti modificare il codice facendo un replace a tutti gli md5(); con md5(md5());, però ti toccherebbe rifarlo ad ogni aggiornamento di drupal, vedi tu...


  • User Attivo

    Un po' difficilino la situazione , hai altre alternative ?

    Grazie


  • User

    Rimanere con php fusion?


  • User Attivo

    Ciao Il baboomba non e' possibie rimanere con quel programma in quanto preferisco drupal anche se l'idea che hai dato e' buona quella di modificare il file di drupal

    Cordiali saluti

    Tu usi cms ? Se Si quali ?


  • User

    no drupal ha smesso di piacermi in quanto i moduli che trovavo non rispecchiavano tutte le mie esigenze, avrei dovuto modificare ogni singolo modulo e richiedeva troppo tempo e manutenzione... mi sto scrivendo il sito da 0 con cakephp


  • User

    E' un lavoro estremamente noioso ( ho letto che hai scritto che ci sono 1000 password ) però forse puoi riuscire a decrittarle tramite alcuni siti.

    Di per se l'md5 è univoco, non permette il decrittaggio. Ma con tanto tempo e un bel po di raccolta dati o bruteforce puoi costruire dei database di decrittaggio, tramite i quali puoi risalire alla password originale ( non sempre, dipende molto dall'unicità della password! ).

    Puoi cercare "md5 decrypt" su google, e trovi un sacco di tool ( ne ho visto uno che fa anche la conversione in batch ) che ti permettono, tramite il metodo del reverse database lookup di decrittare un hash md5.
    Da li semplicemente puoi fare l'inserimento in drupal.

    Personalmente ti sconsiglierei di modificare il codice... è una cosa semplice da fare, che però molto probabilmente ti posticiperà solo il problema ( oltre ad obbligarti a rifare la procedura per ogni aggiornamento del core di drupal ).


  • User Attivo

    Grazie endorama per la tua risposta ma due sono i probemi :

    Il primo ma usando questi tools non credo che trovi la password esatta dell'utente e' molto improbabile non credi anche tu ?

    Poi se modifico il codice ( e vorrei capire quale file dovrei andare a modificare ) alla fine ogni volta che si presenta un nuovo aggiornamento di drupal l'unica cosa sarà quella di modificare quel file non credi ?

    Parliamone e' interessante sto fatto.

    Cordiali saluti


  • User

    @Endorama said:

    E' un lavoro estremamente noioso ( ho letto che hai scritto che ci sono 1000 password ) però forse puoi riuscire a decrittarle tramite alcuni siti.

    Di per se l'md5 è univoco, non permette il decrittaggio. Ma con tanto tempo e un bel po di raccolta dati o bruteforce puoi costruire dei database di decrittaggio, tramite i quali puoi risalire alla password originale ( non sempre, dipende molto dall'unicità della password! ).

    Puoi cercare "md5 decrypt" su google, e trovi un sacco di tool ( ne ho visto uno che fa anche la conversione in batch ) che ti permettono, tramite il metodo del reverse database lookup di decrittare un hash md5.
    Da li semplicemente puoi fare l'inserimento in drupal.

    Personalmente ti sconsiglierei di modificare il codice... è una cosa semplice da fare, che però molto probabilmente ti posticiperà solo il problema ( oltre ad obbligarti a rifare la procedura per ogni aggiornamento del core di drupal ).

    stai consigliando un lavoro di giorni se non settimane di computazione e molto pericoloso a livello legale e di invasione della privacy rispetto ad una modifica innocua ad un codice sorgente?
    per quanto riguarda drupal ci son tutte le api che si vogliono, è semplice anche scrivere un modulo se non si vuole toccare il sorgente... in questo caso basta agganciarsi con un hook al momento di autenticazione e salvataggio dei dati nel database e cambiare la routine, l'unica è rimboccarsi le maniche e imparare a farlo, ci son tonnellate di guide su internet...


  • User Attivo

    Grazie , per il tuo intervento , consigliami qualche guida a riguardo in modo che io possa farlo meglio possibile.

    Aspetto.

    Cordiali saluti


  • User

    api.drupal.org per quanto riguarda api e hook
    drupal.org/documentation tutti i link alla documentazione, c'è di tutto e di più per imparare drupal nei minimi dettagli.
    come già detto c'è da rimboccarsi le maniche e imparare a farlo, dato che non troverai la guida passo passo per cambiare gli hash da md5() a md5(md5()), altrimenti ci sarebbe anche già un modulo...


  • User

    stai consigliando un lavoro di giorni se non settimane di computazione e molto pericoloso a livello legale e di invasione della privacy rispetto ad una modifica innocua ad un codice sorgente?
    In verità non c'è computazione da fare. Ricerchi su un database le coppie hash - stringa. Di certo non ti metti a fare un bruteforce delle password ( li si che se ne vanno le settimane )...

    Sull'innocuo ho dei dubbi.. Perchè è innocuo fino a che funziona. Poi per gli sviluppatori potrebbe diventare ben peggio! Una modifica al codice sorgente di un programma può rivelarsi tutt'altro che una cosa innocua... inoltre parliamo di drupal, che non è propriamente un "programmino", ma è un bestione con un sacco di righe di codice... La soluzione migliore sarebbe sicuramente un modulo, anche se non ho idea da dove si possa cominciare...

    @jokerinos Postare su drupalitalia.org una richiesta di aiuto? Uso drupal da un paio di annetti, quindi non sono così esperto, ma di sicuro li ti possono dare una mano...

    Sulla provacy hai ragione, potenzialmente è molto pericoloso, però non so quali siano le condizioni a cui si debba lavorare. Personalmente per dei siti che ho fatto per amici ho già decrittato le password ( almeno quelle che sono riuscito a trovare ), ovviamente con il loro consenso.

    @jokerinos E' necessario mantenere le password?? Non si può avvisare gli utenti che quando cambia la piattaforma loro dovranno cambiare password??


  • User

    @Endorama said:

    In verità non c'è computazione da fare. Ricerchi su un database le coppie hash - stringa. Di certo non ti metti a fare un bruteforce delle password ( li si che se ne vanno le settimane )...

    come pensi che siano stati creati quei database 🙂 se ci son password non presenti in quei database le trovi solo con brute force... non son informato in questo campo, ma le password che deve trovare lui hanno hash composto md5(md5()), non so se esistono tabelle anche per questi

    @Endorama said:

    Sull'innocuo ho dei dubbi.. Perchè è innocuo fino a che funziona. Poi per gli sviluppatori potrebbe diventare ben peggio! Una modifica al codice sorgente di un programma può rivelarsi tutt'altro che una cosa innocua... inoltre parliamo di drupal, che non è propriamente un "programmino", ma è un bestione con un sacco di righe di codice... La soluzione migliore sarebbe sicuramente un modulo, anche se non ho idea da dove si possa cominciare...

    è innocuo perché modifichi una tua copia, non le copie sui server... questo è il bello dell'open source, apri e smanetti su ciò che ti serve 😄
    inoltre drupal è ben strutturato, non è un ammasso di decine di migliaia di righe senza senso, se cerchi qualcosa la trovi facilmente 🙂
    comunque son anch'io dell'idea che la soluzione migliore sia un modulo, è anche molto più facile da portare per future versioni, in vista anche di drupal 7 che cambierà le modalità di crittazione delle password abbandonando md5

    @Endorama said:

    Sulla provacy hai ragione, potenzialmente è molto pericoloso, però non so quali siano le condizioni a cui si debba lavorare. Personalmente per dei siti che ho fatto per amici ho già decrittato le password ( almeno quelle che sono riuscito a trovare ), ovviamente con il loro consenso.

    non son sicuro di aver capito bene, ma il consenso che devi ricevere è quello dei proprietari delle password, non dei proprietari del sito 😉


    un'altra soluzione che mi è venuta in mente ora potrebbe essere quella di crittare (con un paio di stringhe in javascript) con md5 le password all'atto dell'invio dei moduli, in modo che poi drupal ci faccia un'ulteriore crittazione in md5, però non sarà poi compatibile con drupal 7 quando abbandoneranno md5


    ultimo edit: @jokerinos: guarda hook_db_rewrite_sql, dovrebbe fare al caso tuo, gli imposti una condizione che ogni volta che va a cercare nel database degli utenti deve fare un ulteriore md5 alle password e sei a posto