Stimmt. Aber beim heartbleed-"bug" ist ja noch das Problem, dass die Zertifikate Müll sind, WENN ich das richtig verstanden hab (da u.U. glaub ich die Schlüssel ausgelesen werden konnten).
Dewegen müssen ja alle Serverbetreiber erstmal die Lücke schließen, dann neue Zertifikate ran(?dunno),
und dann erst müssen wohl die Benutzer neue PWs einrichten.
Ganz schöne Dampfe da am Kacken
Loginpasswort richtig hashen - password_hash() & password_verify()
-
-
Jiop, da der Heartbleed alles ausgibt, was zum Zeitpunkt der Abfrage entschlüsselt wurde, können das sowohl Nutzerdaten, als auch Public UND Private Keys der Zertifikate sein, wodurch die Angreifer dieses Zertifikiat simulieren und sämtlichen weiteren traffic entschlüsseln können.
Besonders perfide ist ja, dass keiner eine Ahnung hat, ob und in welchem Umfang man betroffen ist, da es nur eine simple, "normale" Abfrage ist.
-
Wenn ich meinen Cost auf 20 setze, klappt das ganze nichtmehr...
Nach 30s is Schluss -
Man kann auch übertreiben
Bedenke, dass Du evtl doppelte Ausführung bei password_needs_rehash() hast (falls es beim Login gecheckt wird).
Also sollte immer "Platz" für 2x hashen sein -
Joa ich weiß das man das kann xD
In dem Fall nicht, allg. ja. -
Ersten Post bearbeitet: siehe "EDIT: 05.06.2016"
-
Kommentar zur Benutzung von password_verrify() .. man muss sogar pass_verf nutzen, da der hash nicht immer der geiche ist..
-
Stimmt. Ganz vergessen - der Salt ist ja immer neu
-
Jetzt mitmachen!
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!