abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
Přihlášení | Registrace
×
napište » Zprávičky
inzerujte » Pracovní nabídky
    Kritická zranitelnost CVE-2025-49844 v Redisu
    dnes 15:11 | Bezpečnostní upozornění

    V Redisu byla nalezena a v upstreamu již opravena kritická zranitelnost CVE-2025-49844 s CVSS 10.0 (RCE, vzdálené spouštění kódu).

    Ladislav Hagara | Komentářů: 1
    Ministr Jurečka přijal rezignaci ředitele DIA Martina Mesršmída
    dnes 14:00 | IT novinky

    Ministr a vicepremiér pro digitalizaci Marian Jurečka dnes oznámil, že přijme rezignaci ředitele Digitální a informační agentury Martina Mesršmída, a to k 23. říjnu 2025. Mesršmíd nabídl svou funkci během minulého víkendu, kdy se DIA potýkala s problémy eDokladů, které některým občanům znepříjemnily využití možnosti prokázat se digitální občankou u volebních komisí při volbách do Poslanecké sněmovny.

    Ladislav Hagara | Komentářů: 7
    OpenZL, open source framework pro kompresi dat s ohledem na jejich formát
    dnes 12:33 | Zajímavý software

    Společnost Meta představila OpenZL. Jedná se o open source framework pro kompresi dat s ohledem na jejich formát. Zdrojové kódy jsou k dispozici na GitHubu.

    Ladislav Hagara | Komentářů: 0
    Google zpřístupňuje českým uživatelům Režim AI (AI Mode)
    dnes 03:33 | IT novinky

    Google postupně zpřístupňuje českým uživatelům Režim AI (AI Mode), tj. nový režim vyhledávání založený na umělé inteligenci. Režim AI nabízí pokročilé uvažování, multimodalitu a možnost prozkoumat jakékoliv téma do hloubky pomocí dodatečných dotazů a užitečných odkazů na weby.

    Ladislav Hagara | Komentářů: 0
    Python 3.14.0
    včera 18:11 | Nová verze

    Programovací jazyk Python byl vydán v nové major verzi 3.14.0. Podrobný přehled novinek v aktualizované dokumentaci.

    Ladislav Hagara | Komentářů: 2
    Qualcomm kupuje Arduino. Nová deska Arduino UNO Q
    včera 16:33 | IT novinky

    Bylo oznámeno, že Qualcomm kupuje Arduino. Současně byla představena nová deska Arduino UNO Q se dvěma čipy: MPU Qualcomm Dragonwing QRB2210, na kterém může běžet Linux, a MCU STM32U585 a vývojové prostředí Arduino App Lab.

    Ladislav Hagara | Komentářů: 2
    Luanti 5.14.0
    včera 15:55 | Nová verze

    Multiplatformní open source voxelový herní engine Luanti byl vydán ve verzi 5.14.0. Podrobný přehled novinek v changelogu. Původně se jedná o Minecraftem inspirovaný Minetest v říjnu loňského roku přejmenovaný na Luanti.

    Ladislav Hagara | Komentářů: 0
    Qt 6.10
    včera 13:22 | Nová verze

    Byla vydána nová stabilní verze 6.10 (YouTube) multiplatformního frameworku a GUI toolkitu Qt. Podrobný přehled novinek v poznámkách k vydání.

    Ladislav Hagara | Komentářů: 0
    Ubuntu 26.04 LTS bude Resolute Raccoon
    6.10. 23:55 | Komunita

    Ubuntu 26.04 LTS bude (𝕏) Resolute Raccoon (rezolutní mýval).

    Ladislav Hagara | Komentářů: 5
    Netwide Assembler (NASM) 3.00
    6.10. 21:00 | Nová verze

    Netwide Assembler (NASM) byl vydán v nové major verzi 3.00. Přehled novinek v poznámkách k vydání v aktualizované dokumentaci.

    Ladislav Hagara | Komentářů: 0
    Centrum | Napsat | Starší
    navrhněte » Anketa
    Jaké řešení používáte k vývoji / práci?
     (39%)
     (46%)
     (15%)
     (17%)
     (21%)
     (15%)
     (17%)
     (15%)
     (15%)
    Celkem 197 hlasů
     Komentářů: 13, poslední dnes 07:41
    Rozcestník
    AbcLinuxu
    HDmag.cz
    AbcLinuxu:/ Poradna / Programovací poradna / Nefunguje ověřování hesel pomocí fce crypt pro ext_des v php
    Štítky: algoritmy, PHP, programování, řetězec

    Dotaz: Nefunguje ověřování hesel pomocí fce crypt pro ext_des v php

    25.8.2010 14:03 ssorrenn
    Nefunguje ověřování hesel pomocí fce crypt pro ext_des v php
    Přečteno: 420×
    Pomocí příkladu ze stránek php ověřuji řetězce generované fcí crypt tak, že takto generovaný řetězec přidám jako salt fci crypt. Funguje to pro všechny algoritmy kromě EXT_DES. Při použití tohoto algoritmu jsou potom řetězce různé např.: 
    vstupní: _U9..vnIfeJymPPkVwPU
výstupní: _UbD.ypiMD0vw
    V čem je problém?

    Řešení dotazu:

    Nástroje: Začni sledovat (1) ?Zašle upozornění na váš email při vložení nového komentáře.

    Odpovědi

    25.8.2010 17:05 Messa | skóre: 39 | blog: Messa
    Rozbalit Rozbalit vše Re: Nefunguje ověřování hesel pomocí fce crypt pro ext_des v php
    Co znamená "že takto generovaný řetězec přidám jako salt fci crypt"? Pokud je pokaždé jiný salt, pak není až tak divné, že je pokaždé jiný výstup...
    25.8.2010 17:14 ssorrenn
    Rozbalit Rozbalit vše Re: Nefunguje ověřování hesel pomocí fce crypt pro ext_des v php
    Viz. php.net example: 
    <?php
$password = crypt('mypassword'); // let the salt be automatically generated

/* You should pass the entire results of crypt() as the salt for comparing a
   password, to avoid problems when different hashing algorithms are used. (As
   it says above, standard DES-based password hashing uses a 2-character salt,
   but MD5-based hashing uses 12.) */
if (crypt($user_input, $password) == $password) {
   echo "Password verified!";
}
?>
    Pokud funkcí crypt vygeneruju jakýkoliv hash kromě extended-des tak se to dá takto ověřit. Pro extended-des to nefunguje: 
    
$password = crypt('retezec', '_U9..dCaX');
(crypt('retezec', $password) == $password) : toto je vždy FALSE
    25.8.2010 18:02 Messa | skóre: 39 | blog: Messa
    Rozbalit Rozbalit vše Re: Nefunguje ověřování hesel pomocí fce crypt pro ext_des v php
    Jo tak, ono se to takto opravdu má používat :) Vlastně bych to měl i znát, je to jen obal nad standardním systémovým voláním crypt, kterým se kryptují i uživatelská hesla.

    Jakou máš verzi glibc? Na mém systému (Debian testing) je ve skutečnosti eglibc, který vypadá, že ext DES neumí, ale tváří se, nebo si PHP myslí, že umí. V Debianu stable mi PHP samo dává vědět, že ext DES k dispozici není (CRYPT_EXT_DES je 0).
    25.8.2010 19:14 ssorrenn
    Rozbalit Rozbalit vše Re: Nefunguje ověřování hesel pomocí fce crypt pro ext_des v php
    eglibc 2.11 v ubuntu 10.04. Detekcí toho, zda daný algoritmus php zvládá jsem se ani netrápil, protože od php 5.3.0 má zvládat všechny i ty které přímo nepodporuje systém. Nicméně extended-des to asi umí, protože podle php.net je daný řetězec podobný tomu co tam mají jako příklad.
    25.8.2010 20:56 ssorrenn
    Rozbalit Rozbalit vše Re: Nefunguje ověřování hesel pomocí fce crypt pro ext_des v php
    No pokud provedu ověření s hashem tak, že pomocí substr($hash,0,9) vyseparuji salt tak to funguje. Jenže proč u ostatních algoritmů mohu předhodit celý hash a u tohoto algoritmu jen salt?
    26.8.2010 01:10 Messa | skóre: 39 | blog: Messa
    Rozbalit Rozbalit vše Re: Nefunguje ověřování hesel pomocí fce crypt pro ext_des v php
    Tak, vyhrabal jsem obraz Ubuntu, patchnul zdrojáky PHP debian/patches/php_crypt_revamped.patch a copak nevidím v ext/standard/crypt.c: 
    		if (salt[0]=='$' && salt[1]=='1' && salt[2]=='$') {
			/* CRYPT_MD5 */
#if PHP_MD5_CRYPT
# warning Using system MD5 crypt function, which is OK on Debian system
# if PHP_USE_SYSTEM_CRYPT_R
			crypt_res = crypt_r(str, salt, &buffer);
# else
			crypt_res = crypt(str, salt);
# endif
#elif PHP_USE_PHP_CRYPT_R
# error Using PHP MD5 crypt function, should not happen on Debian system
			crypt_res = php_md5_crypt_r(str, salt, output);
#endif
		} else if (salt[0]=='$' && salt[1]=='6' && salt[2]=='$') {
			/* CRYPT_SHA512 */
#if PHP_SHA512_CRYPT
# warning Using system SHA512 crypt function, which is OK on Debian system
# if PHP_USE_SYSTEM_CRYPT_R
			crypt_res = crypt_r(str, salt, &buffer);
# else
			crypt_res = crypt(str, salt);
# endif
#elif PHP_USE_PHP_CRYPT_R
# error Using PHP SHA512 crypt function, should not happen on Debian system
			crypt_res = php_sha512_crypt_r(str, salt, output, sizeof(output));
#endif
		} else if (salt[0]=='$' && salt[1]=='5' && salt[2]=='$') {
			/* CRYPT_SHA256 */
#if PHP_SHA256_CRYPT
# warning Using system SHA256 crypt function, which is OK on Debian system
# if PHP_USE_SYSTEM_CRYPT_R
			crypt_res = crypt_r(str, salt, &buffer);
# else
			crypt_res = crypt(str, salt);
# endif
#elif PHP_USE_PHP_CRYPT_R
# error Using PHP SHA256 crypt function, should not happen on Debian system
			crypt_res = php_sha256_crypt_r(str, salt, output, sizeof(output));
#endif
		} else if (
				salt[0] == '$' &&
				salt[1] == '2' &&
				salt[2] == 'a' &&
				salt[3] == '$' &&
				salt[6] == '$' &&
				((salt[4] == '0' &&
				  salt[5] >= '4' && salt[5] <= '9') ||
				 (salt[4] >= '1' && salt[4] <= '2' &&
				  salt[5] >= '0' && salt[5] <= '9') ||
				 (salt[4] == '3' &&
				  salt[5] >= '0' && salt[5] <= '1'))) {
			/* CRYPT_BLOWFISH */
#if PHP_BLOWFISH_CRYPT
# error Using system BlowFish crypt function, should not happen on Debian system
# if PHP_USE_SYSTEM_CRYPT_R
			crypt_res = crypt_r(str, salt, &buffer);
# else
			crypt_res = crypt(str, salt);
# endif
#elif PHP_USE_PHP_CRYPT_R
# warning Using PHP BlowFish crypt function, which is OK on Debian system
			crypt_res = php_crypt_blowfish_rn(str, salt, output, sizeof(output));
#endif
		} else if (salt[0]=='_' && 
				   salt_len == 9) {
			/* CRYPT_EXT_DES */
#if PHP_EXT_DES_CRYPT
# error Using system extended DES crypt function, should not happen on Debian system
# if PHP_USE_SYSTEM_CRYPT_R
			crypt_res = crypt_r(str, salt, &buffer);
# else
			crypt_res = crypt(str, salt);
# endif
#elif PHP_USE_PHP_CRYPT_R
# warning Using PHP extended DES crypt function, which is OK on Debian system
			_crypt_extended_init_r();
			crypt_res = _crypt_extended_r(str, salt, &extended_buffer);
#endif
		} else {
			/* CRYPT_STD_DES */
#if PHP_STD_DES_CRYPT
# warning Using system standard DES crypt function, which is OK on Debian system
# if PHP_USE_SYSTEM_CRYPT_R
			crypt_res = crypt_r(str, salt, &buffer);
# else
			crypt_res = crypt(str, salt);
# endif
#elif PHP_USE_PHP_CRYPT_R
# error Using PHP standard DES crypt function, should not happen on Debian system
			_crypt_extended_init_r();
			crypt_res = _crypt_extended_r(str, salt, &extended_buffer);
#endif
		}
    Jak je na první pohled jasné, zatímco u standardního DES a u saltů s dolary to funguje, i když je samotný hash součástí saltu, tak zrovna u extended DES se testuje, zda je délka hashe přesně 9. Pokud je 9, zavolá se funkce _crypt_extended_r, která extended DES umí. No a pokud není délka 9, použije se postup pro standardní DES - což je právě volání systémového crypt, který extended DES neumí. (To, že se to volá přesně takto, jsem si ověřil debuggerem.)

    V upstream zdrojovych kodech PHP je tato část jinak - tam by ext des nejspíš buď fungovalo, nebo nefungovalo vůbec :).

    Jako oprava by stačilo odstranění salt_len == 9 - v saltu standardního DESu by podtržítko být nemělo, takže standardní DES se od extended pozná i tak.

    Není mi moc jasné, kde přesně se ty patche berou, tak nevím, komu můžeš poděkovat - zda maintainerům Debianu, nebo PHP.
    26.8.2010 02:31 ssorrenn
    Rozbalit Rozbalit vše Re: Nefunguje ověřování hesel pomocí fce crypt pro ext_des v php
    Děkuju moc. Z toho plyne zásadní věc: při každém provádění php skriptů na začátku kontrolovat funkčnost jednotlivých algoritmů. Těch 0.1 sekundy navíc už přežiju.

    Založit nové vláknoNahoru

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Píšeme jinde
    ISSN 1214-1267   www.czech-server.cz
    Redakce | Inzerce | Podmínky použití | Osobní údaje
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.