- Home
- Categorie
- Coding e Sistemistica
- PHP
- Password Md5 Decriptazione
-
Ti dico subito il vecchio cms e' un phpfusio. e sinceramente non so che checksum md5 ora mi informo perche' se e' lo stesso quindi posso copiare tutti i campi password pero' soltanto che ne sono piu' di mille , mica c'e' un modo per copiare tutti quanti insieme ? Poi non e' che per caso tu conosci il php fusio. e sapresti se hanno lo stesso chesckum.
Grazie
-
php fusion usa un doppio hash md5, in pratica una funzione scritta in questo modo: md5(md5($password));, drupal invece un singolo md5: md5($password);
dovresti cercare un modulo per drupal che ti aggiunga il secondo hash ad ogni password per i login e i nuovi utenti, in modo da rendere tutto compatibile
-
Potresti aiutarmi tu a cercare tale modulo in quanto sono un po' spaesato
Grazie e scusa il disturbo
-
Dando un'occhiata rapida mi pare non ce ne siano, mi sa che ti tocca scrivertelo, o altrimenti modificare il codice facendo un replace a tutti gli md5(); con md5(md5());, però ti toccherebbe rifarlo ad ogni aggiornamento di drupal, vedi tu...
-
Un po' difficilino la situazione , hai altre alternative ?
Grazie
-
Rimanere con php fusion?
-
Ciao Il baboomba non e' possibie rimanere con quel programma in quanto preferisco drupal anche se l'idea che hai dato e' buona quella di modificare il file di drupal
Cordiali saluti
Tu usi cms ? Se Si quali ?
-
no drupal ha smesso di piacermi in quanto i moduli che trovavo non rispecchiavano tutte le mie esigenze, avrei dovuto modificare ogni singolo modulo e richiedeva troppo tempo e manutenzione... mi sto scrivendo il sito da 0 con cakephp
-
E' un lavoro estremamente noioso ( ho letto che hai scritto che ci sono 1000 password ) però forse puoi riuscire a decrittarle tramite alcuni siti.
Di per se l'md5 è univoco, non permette il decrittaggio. Ma con tanto tempo e un bel po di raccolta dati o bruteforce puoi costruire dei database di decrittaggio, tramite i quali puoi risalire alla password originale ( non sempre, dipende molto dall'unicità della password! ).
Puoi cercare "md5 decrypt" su google, e trovi un sacco di tool ( ne ho visto uno che fa anche la conversione in batch ) che ti permettono, tramite il metodo del reverse database lookup di decrittare un hash md5.
Da li semplicemente puoi fare l'inserimento in drupal.Personalmente ti sconsiglierei di modificare il codice... è una cosa semplice da fare, che però molto probabilmente ti posticiperà solo il problema ( oltre ad obbligarti a rifare la procedura per ogni aggiornamento del core di drupal ).
-
Grazie endorama per la tua risposta ma due sono i probemi :
Il primo ma usando questi tools non credo che trovi la password esatta dell'utente e' molto improbabile non credi anche tu ?
Poi se modifico il codice ( e vorrei capire quale file dovrei andare a modificare ) alla fine ogni volta che si presenta un nuovo aggiornamento di drupal l'unica cosa sarà quella di modificare quel file non credi ?
Parliamone e' interessante sto fatto.
Cordiali saluti
-
@Endorama said:
E' un lavoro estremamente noioso ( ho letto che hai scritto che ci sono 1000 password ) però forse puoi riuscire a decrittarle tramite alcuni siti.
Di per se l'md5 è univoco, non permette il decrittaggio. Ma con tanto tempo e un bel po di raccolta dati o bruteforce puoi costruire dei database di decrittaggio, tramite i quali puoi risalire alla password originale ( non sempre, dipende molto dall'unicità della password! ).
Puoi cercare "md5 decrypt" su google, e trovi un sacco di tool ( ne ho visto uno che fa anche la conversione in batch ) che ti permettono, tramite il metodo del reverse database lookup di decrittare un hash md5.
Da li semplicemente puoi fare l'inserimento in drupal.Personalmente ti sconsiglierei di modificare il codice... è una cosa semplice da fare, che però molto probabilmente ti posticiperà solo il problema ( oltre ad obbligarti a rifare la procedura per ogni aggiornamento del core di drupal ).
stai consigliando un lavoro di giorni se non settimane di computazione e molto pericoloso a livello legale e di invasione della privacy rispetto ad una modifica innocua ad un codice sorgente?
per quanto riguarda drupal ci son tutte le api che si vogliono, è semplice anche scrivere un modulo se non si vuole toccare il sorgente... in questo caso basta agganciarsi con un hook al momento di autenticazione e salvataggio dei dati nel database e cambiare la routine, l'unica è rimboccarsi le maniche e imparare a farlo, ci son tonnellate di guide su internet...
-
Grazie , per il tuo intervento , consigliami qualche guida a riguardo in modo che io possa farlo meglio possibile.
Aspetto.
Cordiali saluti
-
api.drupal.org per quanto riguarda api e hook
drupal.org/documentation tutti i link alla documentazione, c'è di tutto e di più per imparare drupal nei minimi dettagli.
come già detto c'è da rimboccarsi le maniche e imparare a farlo, dato che non troverai la guida passo passo per cambiare gli hash da md5() a md5(md5()), altrimenti ci sarebbe anche già un modulo...
-
stai consigliando un lavoro di giorni se non settimane di computazione e molto pericoloso a livello legale e di invasione della privacy rispetto ad una modifica innocua ad un codice sorgente?
In verità non c'è computazione da fare. Ricerchi su un database le coppie hash - stringa. Di certo non ti metti a fare un bruteforce delle password ( li si che se ne vanno le settimane )...Sull'innocuo ho dei dubbi.. Perchè è innocuo fino a che funziona. Poi per gli sviluppatori potrebbe diventare ben peggio! Una modifica al codice sorgente di un programma può rivelarsi tutt'altro che una cosa innocua... inoltre parliamo di drupal, che non è propriamente un "programmino", ma è un bestione con un sacco di righe di codice... La soluzione migliore sarebbe sicuramente un modulo, anche se non ho idea da dove si possa cominciare...
@jokerinos Postare su drupalitalia.org una richiesta di aiuto? Uso drupal da un paio di annetti, quindi non sono così esperto, ma di sicuro li ti possono dare una mano...
Sulla provacy hai ragione, potenzialmente è molto pericoloso, però non so quali siano le condizioni a cui si debba lavorare. Personalmente per dei siti che ho fatto per amici ho già decrittato le password ( almeno quelle che sono riuscito a trovare ), ovviamente con il loro consenso.
@jokerinos E' necessario mantenere le password?? Non si può avvisare gli utenti che quando cambia la piattaforma loro dovranno cambiare password??
-
@Endorama said:
In verità non c'è computazione da fare. Ricerchi su un database le coppie hash - stringa. Di certo non ti metti a fare un bruteforce delle password ( li si che se ne vanno le settimane )...
come pensi che siano stati creati quei database
se ci son password non presenti in quei database le trovi solo con brute force... non son informato in questo campo, ma le password che deve trovare lui hanno hash composto md5(md5()), non so se esistono tabelle anche per questi@Endorama said:
Sull'innocuo ho dei dubbi.. Perchè è innocuo fino a che funziona. Poi per gli sviluppatori potrebbe diventare ben peggio! Una modifica al codice sorgente di un programma può rivelarsi tutt'altro che una cosa innocua... inoltre parliamo di drupal, che non è propriamente un "programmino", ma è un bestione con un sacco di righe di codice... La soluzione migliore sarebbe sicuramente un modulo, anche se non ho idea da dove si possa cominciare...
è innocuo perché modifichi una tua copia, non le copie sui server... questo è il bello dell'open source, apri e smanetti su ciò che ti serve
inoltre drupal è ben strutturato, non è un ammasso di decine di migliaia di righe senza senso, se cerchi qualcosa la trovi facilmente
comunque son anch'io dell'idea che la soluzione migliore sia un modulo, è anche molto più facile da portare per future versioni, in vista anche di drupal 7 che cambierà le modalità di crittazione delle password abbandonando md5@Endorama said:
Sulla provacy hai ragione, potenzialmente è molto pericoloso, però non so quali siano le condizioni a cui si debba lavorare. Personalmente per dei siti che ho fatto per amici ho già decrittato le password ( almeno quelle che sono riuscito a trovare ), ovviamente con il loro consenso.
non son sicuro di aver capito bene, ma il consenso che devi ricevere è quello dei proprietari delle password, non dei proprietari del sito
un'altra soluzione che mi è venuta in mente ora potrebbe essere quella di crittare (con un paio di stringhe in javascript) con md5 le password all'atto dell'invio dei moduli, in modo che poi drupal ci faccia un'ulteriore crittazione in md5, però non sarà poi compatibile con drupal 7 quando abbandoneranno md5
ultimo edit: @jokerinos: guarda hook_db_rewrite_sql, dovrebbe fare al caso tuo, gli imposti una condizione che ogni volta che va a cercare nel database degli utenti deve fare un ulteriore md5 alle password e sei a posto
-
infatti... Intendevo i proprietari delle password.. ero in una situazione in cui nonostante un certo numero di utenti mi è stato possibile farlo...Ma non discutiamone oltre che stiamo finendo OT!
Rinnovo la mia domanda: chiedere su un forum di drupal ( italiano o sul forum ufficiale )? Probabilmente si riesce a capirci di più...
-
Questo pure e' vero , infatti ho utilizzato un modulo chiamato user_import , che importavo dalla tabella degli utenti del vecchio cms e creavo un file cvs e dopo di che facevo l'importazione ma le password non concidevano , secondo me per lo stesso discorso fatto da il baboomba
Chiedero su drupal.it e vi faccio sapere in modo da condividere la notizia.
Cordiali saluti