Hi Leute,

Ich war lange nicht mehr aktiv hier im Forum, da ich leider viel zu tun hatte

Ich hab mal eine kleine Modifikation geschrieben, die alle Webspell Hashes mit einem Salt versieht.
Im Grunde nichts großartiges aber ich denke doch recht brauchbares. Alle Passwörter werden md5-gehashed in der Datenbank gespeichert. Kommt jmd. an diese Hashes ran, können Passwörter (außer sehr lange) mittels Rainbow-Tabellen geknackt werden (Das sind einfach riesige Tabellen in denen sehr viele Passwörter bereits vorberechnet sind). Der Salt wird einfach an das gehashte Passwort angehangen und nochmals gehashed, womit die in der Datenbank gespeicherten Hashes zu längeren Klartexten gehören (Je nach länge des Salts) und somit sehr wahrscheinlich noch nicht in diesen Rainbowtables stehen.

Für jeden der diese Modifikation haben möchte, hier der Downloadlink: https://rapidshare.com...1507652/Salted_Hash_W.rar

Bitte macht vorher ein Backup. Fehler und Fragen könnt ihr gerne an mich stellen. Ich habe bisher leider nur selbst diesen Mod getestet und fänd es schön wenn auch ein paar andere Coder mal drüber schauen könnten

Habs mir kurz angesehn und sollte auch soweit funktionieren.
Falls jemand es in die Datenbank schaffen sollte, dann sollte man sich aber auch andere Gedanken machen
Afaik hat die aktuellste Version von Webspell keine SQL Injection Lücke.

jo da haste recht, aber es kommt doch immer wieder vor, manchmal auch nur weil man bspw. dem falschen Adminrechte gibt... Und dann sollte man seine User schützen, denn viele nutzen nicht für jede Seite eine neues Passwort.

Ich pushe nochmal, und möchte dabei gleichzeitg nachfragen, ob es noch jmd. getestet hat. Würde mich über ein paar reports freuen

webspell hat sicher irgendwo eine lücke. kein system ist fehlerfrei, die lücken findet man jetzt nur nicht mehr so leicht^^.

sagen wir es mal so. es gibt derzeit keine public exploits

das ist richtig, aber es kann immer mal sein, dass jmd an ein backup kommt, oder eben ein alter Admin noch backups hat und ich denke dann sollte man vor allem auch seine user schützen.