Hashing - Softwareontwikkeling

vrijdag 21 februari 2014 10:51

Acties:

Verwijderd

Topicstarter

Even een basic question

Een loginscherm (webserver) waar ik het volgende invul:
Username: bob
Password bob123

Vervolgens ga ik dit authenticatie-verzoek sniffen (wireshark oid) en zie ik bv de volgende password-hash richting de webserver gaan: 2acba7f51acfd4fd5102ad090fc612ee. Keurig, prima.
Maar mijn vraag is, wie/wat genereert die hash die ik zie bij het sniffen? Is dat mijn browser? Zo ja: hoe bepaald mijn browser welk hashing-algorithm hij gebruikt? Hoe zit dat?

vrijdag 21 februari 2014 10:53

Acties:

Xudonax

Dat zit waarschijnlijk in de JavaScript code die op de pagina word uitgevoerd

En op dat moment kan de ontwikkelaar zelf bepalen wat hij/zij precies wilt doen.

vrijdag 21 februari 2014 10:53

Acties:

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Dat zal doorgaans geïmplementeerd zijn in de javascript code die onderdeel uitmaakt van die webpagina en in jouw browser wordt uitgevoerd.

/gmta

[ Voor 4% gewijzigd door Orion84 op 21-02-2014 10:54 ]

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

vrijdag 21 februari 2014 10:55

Acties:

Miyamoto

Verwijderd schreef op vrijdag 21 februari 2014 @ 10:51:
Vervolgens ga ik dit authenticatie-verzoek sniffen (wireshark oid) en zie ik bv de volgende password-hash richting de webserver gaan: 2acba7f51acfd4fd5102ad090fc612ee. Keurig, prima.

code:

1	md5('bob123') = 2acba7f51acfd4fd5102ad090fc612ee

niet keurig, niet prima.

Verder denkt je browser niet zelf...

vrijdag 21 februari 2014 10:58

Acties:

Verwijderd

Topicstarter

Oke, dus ergens staat dan in die code dat ze bijvoorbeeld SHA-256 gebruiken, mijn browser interpreteert dat vervolgens.

@rooot, wat bedoel jij precies?

vrijdag 21 februari 2014 10:59

Acties:

The Lord

Vul die hash hier maar in en je snapt dat MD5 niet keurig en netjes is.
http://md5.gromweb.com/

⛔geeft geen inhoudelijke reacties meer⛔

vrijdag 21 februari 2014 11:01

Acties:

Verwijderd

Topicstarter

i know, maar ik heb gewoon even handmatig een md5 hash generator (http://www.miraclesalad.com/webtools/md5.php) gedaan voor dit voorbeeld.

Maar ik wil het proces in geval van een webpage-login snappen

[ Voor 9% gewijzigd door Verwijderd op 21-02-2014 11:02 ]

vrijdag 21 februari 2014 11:13

Acties:

Miyamoto

Verwijderd schreef op vrijdag 21 februari 2014 @ 11:01:
Maar ik wil het proces in geval van een webpage-login snappen

Doe zelf eens een opzet? Je vragen worden er overigens niet duidelijker op.

Een basic question is niet erg, maar geef dan zelf wat je wel weet. We kunnen in-depth ingaan op beveiliging, maar als je niet doorhebt dat een server gewoon de gegevens van de client controleert, heeft dat vrij weinig zin. Als je twijfelt of je router, je browser of je buurman een hash maakt van je wachtwoord, dan mis je nog een hele hoop.

https://www.google.nl/search?q=Authentication
https://www.google.nl/search?q=Authorization

vrijdag 21 februari 2014 11:25

Acties:

Verwijderd

Topicstarter

Beste rooot, andermaal weer bedankt voor je deels niet-relevante informatie, a lá oude koeien uit de sloot halen, de grootmeester uithangen met dergelijke opmerkingen.
Om te voorkomen dat jij me blijft achtervolgen met dit gedrag zal ik een nieuw tweakers-account aanmaken.

@de rest: bedankt voor jullie reactie.

vrijdag 21 februari 2014 11:29

Acties:

Orion84

Admin General Chat / Wonen & Mobiliteit

Fotogenie(k)?

Verwijderd schreef op vrijdag 21 februari 2014 @ 11:25:
Om te voorkomen dat jij me blijft achtervolgen met dit gedrag zal ik een nieuw tweakers-account aanmaken.

Doe maar niet, dat is namelijk niet toegestaan.

Als je van mening bent dat een andere tweaker je lastigvalt of op een of andere manier de regels overtreedt dan kan je dat melden door een topic report

aan te maken.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

vrijdag 21 februari 2014 11:38

Acties:

NMe

Quia Ego Sic Dico.

Verwijderd schreef op vrijdag 21 februari 2014 @ 11:25:
Beste rooot, andermaal weer bedankt voor je deels niet-relevante informatie, a lá oude koeien uit de sloot halen, de grootmeester uithangen met dergelijke opmerkingen.

Je geeft dan ook te weinig informatie. Noem het ouwe koeien als je wil maar je geeft halve informatie. Toen en nu. Je zegt hier nergens of het over een browser-inlog gaat, of over een inlog via de site zelf. Je zegt nergens of er SSL gebruikt wordt. Je zegt nergens wat het precieze formaat is, je neemt alleen voor het gemak maar een MD5-hash van een generator. En dan moeten wij roepen wat wij denken dat jou specifieke voorbeeld doet? Nee dus.

Geef meer informatie, dan kunnen we je misschien helpen. Op deze manier betekent geen van onze antwoorden meer dan die belachelijk vage vraag van jou.

Om te voorkomen dat jij me blijft achtervolgen met dit gedrag zal ik een nieuw tweakers-account aanmaken.

Dan doe ik nog een schepje bovenop mijn collega hierboven: als je dat doet breek je zoals gezegd onze voorwaarden en als je daarvoor kiest en wij komen erachter dan bannen we beide accounts.

'E's fighting in there!' he stuttered, grabbing the captain's arm.
'All by himself?' said the captain.
'No, with everyone!' shouted Nobby, hopping from one foot to the other.

vrijdag 21 februari 2014 23:43

Acties:

ZeroXT

Doe dat dan even in Feedback op moderatie binnen de Devschuur

[ Voor 80% gewijzigd door RobIII op 21-02-2014 23:49 ]