Polskie forum wsparcia dla phpBB

Witam. Mam do Was pytanie i prośbę o wyrozumiałość. Rzecz dotyczy pewnej prawidłowości dotyczącej funkcjonowania większości for, portali, etc. które wymagają lub po prostu umożliwiają rejestrację, a następnie zalogowanie się użytkownikom i posiadają funkcję tzw. przypomnienia hasła. Przypomnienie takie polega z grubsza na wysłaniu specjalnego linku na skrzynkę mailową odpowiadającą przeważnie loginowi który "poprosił" o przypomnienie. Link taki miewa zróżnicowaną strukturę, jednak z grubsza można go przedstawić tak:
http://www.forumxyz.pl/przypomnienie/nr ... litericyfr
http://www.forumxyz.pl/przypomnienie/15 ... ca6a4851ba
Różnych kombinacji takiego linku może być nawet 20^20. Moje pytanie brzmi czy istnieje jakaś logika nadawania takich kodów do linków, czy może są one nadawane zupełnie losowo? Czy taki ciąg literowo cyfrowy widnieje gdzieś zakodowany na otwartej stronie z przypomnieniem, czy jest on kodowany przez jakiś powtarzalny algorytm, zależny od godziny, ip, etc.? Czy istnieje możliwość złamania takiego kodu, czy może jest to wykluczone, a kod jest w pełni losowy?

Mam nadzieję że to zagadnienie w wystarczającym stopniu dotyczy phpBB i, że nie piszę off-topica. Chciałbym poszerzyć swój zakres wiedzy w tej dziedzinie. Czy ktoś z Was potrafi mi odpowiedzieć?

To kod, który jest generowany losowo przy każdym użyciu funkcji przypominania hasła. Tak więc, jeżeli użyjesz funkcji przypomnienia dwa razy pod rząd, to tylko poprzez link w tym drugim mailu (z przypomnieniem) będzie mógł aktywować swoje konto.

To kod, który jest generowany losowo przy każdym użyciu funkcji przypominania hasła. Tak więc, jeżeli użyjesz funkcji przypomnienia dwa razy pod rząd, to tylko poprzez link w tym drugim mailu (z przypomnieniem) będzie mógł aktywować swoje konto.

Dzięki. Zatem już prawie wszystko wiem. Ale czy nie widnieje on gdzieś zakodowany na otwartej stronie np. z przypomnieniem? A jeśli nie to dla kogo może on być widoczny oprócz odbiorcy maila, czy dla administratora forum lub właściciela serwera z którego wysyłana jest wiadomosć?

Ten kod jest widoczny tylko w bazie danych. Pobierany jest z niej podczas przypominania hasła i następnie wstawiany do linku.

No dobra, a czy możliwe jest odtworzenie takiej bazy danych? Czy jest jakaś specjalna funckja przeznaczona do tworzenia takich zbiorów kodów? Czy znając formułę tej funkcji i posiadając pewną ilość kodów wygenerowanych pod rząd (np. 50) nie dałoby się odgadnąć dalszego porządku w strukturze takich kodów.
Nie wiem nawet jak dokładnie działa funkcja LOS w exelu, ale pewne jest, że wartość w komórce następnej zależy od wartości w komórce ją poprzedzającej. Jeśli tu jest taka sama zależność, to mając trochę wyższe kwalifikacje można ją zapewne w łatwy sposób wykorzystać.

Ten kod to jest zapewne "coś" (możliwe, że uniksowy czas) zakodowane w MD5, więc teoretycznie nie ma możliwości odkodowania.

Faktycznie to zapewne MD5. Możliwe, że uniksowy czas.

A gdyby spróbować np. w tym urządzeniu http://www.md5crack.com/, albo temu podobnych?

Praktycznie nie ma żadnych czas na złamanie takiego hashu, jeśli został on stworzony na podstawie czasu uniksowego.

Nie rozumiem. A nie wystarczy podjąć kilku prób wpisania tam czasu uniksowego powiedzmy z przedziału 20 sekund. A następnie, po uwcześniejszym wywołaniu przypomnienia skompilować linki (przetestować) i gotowe?
A co jeśli kod wygląda jak MD5, ale ma 25 znaków? Czy to również MD5, tylko, że jeszcze jakoś zakodowany, ucięty?

Nie rozumiem. A nie wystarczy podjąć kilku prób wpisania tam czasu uniksowego powiedzmy z przedziału 20 sekund. A następnie, po uwcześniejszym wywołaniu przypomnienia skompilować linki (przetestować) i gotowe?

Ja nie rozumiem po co Ci coś takiego .

A co jeśli kod wygląda jak MD5, ale ma 25 znaków? Czy to również MD5, tylko, że jeszcze jakoś zakodowany, ucięty?

Przypomniałem sobie, że phpBB3 ma chyba swoją funkcję tworzenia hashy.

Ja nie rozumiem po co Ci coś takiego .

Po prostu lubię dużo wiedzieć, poza tym mało kto to wie, a właściwie nie ma chyba innego forum gdzie mógłbym się tego dowiedzieć. Zresztą właśnie ta wiedza jest dosyć cenna.

Przypomniałem sobie, że phpBB3 ma chyba swoją funkcję tworzenia hashy.

A co to za funkcja?