100 trylionów wariacji

[Bruce]

Witam. Mam do Was pytanie i prośbę o wyrozumiałość. Rzecz dotyczy pewnej prawidłowości dotyczącej funkcjonowania większości for, portali, etc. które wymagają lub po prostu umożliwiają rejestrację, a następnie zalogowanie się użytkownikom i posiadają funkcję tzw. przypomnienia hasła. Przypomnienie takie polega z grubsza na wysłaniu specjalnego linku na skrzynkę mailową odpowiadającą przeważnie loginowi który "poprosił" o przypomnienie. Link taki miewa zróżnicowaną strukturę, jednak z grubsza można go przedstawić tak:
http://www.forumxyz.pl/przypomnienie/nr ... litericyfr
http://www.forumxyz.pl/przypomnienie/15 ... ca6a4851ba
Różnych kombinacji takiego linku może być nawet 20^20. Moje pytanie brzmi czy istnieje jakaś logika nadawania takich kodów do linków, czy może są one nadawane zupełnie losowo? Czy taki ciąg literowo cyfrowy widnieje gdzieś zakodowany na otwartej stronie z przypomnieniem, czy jest on kodowany przez jakiś powtarzalny algorytm, zależny od godziny, ip, etc.? Czy istnieje możliwość złamania takiego kodu, czy może jest to wykluczone, a kod jest w pełni losowy?

Mam nadzieję że to zagadnienie w wystarczającym stopniu dotyczy phpBB i, że nie piszę off-topica. Chciałbym poszerzyć swój zakres wiedzy w tej dziedzinie. Czy ktoś z Was potrafi mi odpowiedzieć?

[daroPL]

To kod, który jest generowany losowo przy każdym użyciu funkcji przypominania hasła. Tak więc, jeżeli użyjesz funkcji przypomnienia dwa razy pod rząd, to tylko poprzez link w tym drugim mailu (z przypomnieniem) będzie mógł aktywować swoje konto.

[Bruce]

To kod, który jest generowany losowo przy każdym użyciu funkcji przypominania hasła. Tak więc, jeżeli użyjesz funkcji przypomnienia dwa razy pod rząd, to tylko poprzez link w tym drugim mailu (z przypomnieniem) będzie mógł aktywować swoje konto.

Dzięki. Zatem już prawie wszystko wiem. Ale czy nie widnieje on gdzieś zakodowany na otwartej stronie np. z przypomnieniem? A jeśli nie to dla kogo może on być widoczny oprócz odbiorcy maila, czy dla administratora forum lub właściciela serwera z którego wysyłana jest wiadomosć?

[daroPL]

Ten kod jest widoczny tylko w bazie danych. Pobierany jest z niej podczas przypominania hasła i następnie wstawiany do linku.

[Bruce]

No dobra, a czy możliwe jest odtworzenie takiej bazy danych? Czy jest jakaś specjalna funckja przeznaczona do tworzenia takich zbiorów kodów? Czy znając formułę tej funkcji i posiadając pewną ilość kodów wygenerowanych pod rząd (np. 50) nie dałoby się odgadnąć dalszego porządku w strukturze takich kodów.
Nie wiem nawet jak dokładnie działa funkcja LOS w exelu, ale pewne jest, że wartość w komórce następnej zależy od wartości w komórce ją poprzedzającej. Jeśli tu jest taka sama zależność, to mając trochę wyższe kwalifikacje można ją zapewne w łatwy sposób wykorzystać.

[daroPL]

Ten kod to jest zapewne "coś" (możliwe, że uniksowy czas) zakodowane w MD5, więc teoretycznie nie ma możliwości odkodowania.

[Bruce]

Faktycznie to zapewne MD5. Możliwe, że uniksowy czas.

[Bruce]

A gdyby spróbować np. w tym urządzeniu http://www.md5crack.com/, albo temu podobnych?

[daroPL]

Praktycznie nie ma żadnych czas na złamanie takiego hashu, jeśli został on stworzony na podstawie czasu uniksowego.

[Bruce]

Nie rozumiem. A nie wystarczy podjąć kilku prób wpisania tam czasu uniksowego powiedzmy z przedziału 20 sekund. A następnie, po uwcześniejszym wywołaniu przypomnienia skompilować linki (przetestować) i gotowe?
A co jeśli kod wygląda jak MD5, ale ma 25 znaków? Czy to również MD5, tylko, że jeszcze jakoś zakodowany, ucięty?

[daroPL]

Nie rozumiem. A nie wystarczy podjąć kilku prób wpisania tam czasu uniksowego powiedzmy z przedziału 20 sekund. A następnie, po uwcześniejszym wywołaniu przypomnienia skompilować linki (przetestować) i gotowe?

Ja nie rozumiem po co Ci coś takiego .

A co jeśli kod wygląda jak MD5, ale ma 25 znaków? Czy to również MD5, tylko, że jeszcze jakoś zakodowany, ucięty?

Przypomniałem sobie, że phpBB3 ma chyba swoją funkcję tworzenia hashy.

[Bruce]

Ja nie rozumiem po co Ci coś takiego .

Po prostu lubię dużo wiedzieć, poza tym mało kto to wie, a właściwie nie ma chyba innego forum gdzie mógłbym się tego dowiedzieć. Zresztą właśnie ta wiedza jest dosyć cenna.

Przypomniałem sobie, że phpBB3 ma chyba swoją funkcję tworzenia hashy.

A co to za funkcja?