問題タブ [crypt]

私は解決策なしでこれを研究するために一晩中過ごしました。

ドライブフォルダ（C：\ Windows \ System32 \ drivers * .sys）内のファイルのデジタル署名を確認しようとしています。必要なものを選択してください。ファイルをそのフォルダーからC：\に移動するとテストが機能するため、コードが正しいことはわかっています。

WinVerifyTrustエラー80092003を与える http://pastebin.com/nLR7rvZe

CryptQueryObjectエラー80092009を与える http://pastebin.com/45Ra6eL4

どうしたんだ？

javascriptでのcrypt（3）の実装を探しています。（一般的な「crypt」アルゴリズムではありませんが、/etc/shadowたとえばLinuxシステムで使用されるcrypt（3）アルゴリズム）。誰か見た？オープンライセンスで？

私もパフォーマンスについて少し心配しています：javascriptで書くことさえ可能でしょうか？たとえば、sha512-cryptソースには次のものがあります。

したがって、アルゴリズムがCで「CPUサイクルを消費する」場合、JavaScriptでは何をしますか？稚魚？（たとえば、IE6の場合は？

/etc/password背景：ウェブアプリのユーザー提供//etc/shadowファイルからユーザーをインポートしようとしています。ユーザーのパスワードに関する情報はcrypt（3）出力形式のみであるため、ユーザーのパスワードがクリアテキストで返送されないようにするには、私が見る限り、クライアント側（javascript）が必要になります。 ）crypt（3）の実装。これにより、Webサーバーがソルトを提供すると、クライアントはcrypt（3）出力を送り返します（セキュリティのために適切にハッシュ化されます）。

/etc/password/に対してサーバー側を安全に認証でき/etc/shadow、https：//を必要としないcrypt（3）クライアント側を使用する代わりの方法も、有効な回答と見なされます。

私はウェブサイトを開発しており、優れたセキュリティシステムを確保するために最善を尽くしています. 私が行ったことをお話ししますが、このシステムについてもう 1 つ質問があります。

1）sha512メソッドを使用してpassword.saltをハッシュし、データベースに保存しています

2) 私のソルトはランダムに生成され、すべてのソルトは一意です。このメソッドを使用しています (Yii フレームワークで開発)

3) ユーザーがログインした後、私は新しいソルトを生成し、password.new_salt をハッシュしています (もちろん、すべてのソルトは一意でなければなりません)

4) データベースにソルトを保存する時が来ました。私はこれに Rijndael 双方向暗号化方式を使用しています。mc_key は php ファイルにあり、毎月置き換えています。

それで、あなたはどう思いますか？十分ですか、それとももっと何かを使用する必要がありますか?

私は、ハッカーにとって悪夢を作ったのだと思います。あるいは、別の自転車を作ろうとしているただの愚かなプログラマーだと思います。

私は簡単なサインアップフォームを持っています:

これは、UsersController の create メソッドにリダイレクトされます。

しかし、これはエラーをスローしますundefined method crypt' for nil:NilClass。パスワードが Nil になるのはなぜですか? HTMLパラメーターを確認したところ、次のようになりました。

Parameters: {"utf8"=>"✓", "authenticity_token"=>"aAcaURTLKfwmXULEUzLX36tZAKER/kMxKKOROOXgoU8=", "user"=>{"username"=>"Chris", "password"=>"[FILTERED]"}, "commit"=>"Save"}

"[FILTERED}"文字列ではないということですか？からどのようにアクセスできますparamsか?

クリプトの使用に問題があります。クライアントのサイトを再構築しています。そのため、以前のバージョンから継承されたコードがたくさんあります。サイトの元のデータベースをそのままにしておく必要があるため、コードの変更に注意する必要があります。以前の開発者は、crypt() 関数を使用して、ストレージ用のユーザー パスワードのハッシュを作成していました。私が見ている奇妙な効果は、同じパスワードのわずかな違いがまったく同じハッシュを作成することがあることです。クリプトがどのように機能するかについてはよくわかりませんが、これは起こるべきではないように思えます。例としていくつかのコードを示します。

これは、サーバー上で同じハッシュ文字列を返します。以前の開発者が使用したものであり、現在のすべてのパスワードはそのソルト文字列を使用して作成されているため、私はそのソルト文字列を使用しています。すべてのユーザーにパスワードのリセットを強制したい場合を除いて、私は本当にそれを使用する必要があります. これは必ずしも問題外ではありませんが、回避したいと考えています。crypt が上記のようなわずかに異なる 2 つの文字列を取り、同じハッシュを作成するのはなぜですか?

このハッシュは、php: の crypt 関数で生成されています $1$jV3.NS/.$JLVMBWe0N/W0Rbft4NgPV。

$1$MD5 のハッシュ、jV3.NS/.ソルト、その他のテキストが暗号化された文字列であることはわかっています。ソルトがわかっている場合、このハッシュを復号化できますか?

私はこれについて話している：

PHP では、次のようになります。

Ruby 1.9で同じフォーマットを実現しようとしています。Ruby の String#crypt がこれを行うと言われましたが、そうではありません。私はどこでも答えを探しましたが、何も見つかりませんでした。

何か役立つ場合は、Windows XP でこれを実行しようとしています。Ruby バージョン: ruby​​ 1.9.3p0 (2011-10-30) [i386-mingw32]

MD5 以外のものを使用するようにというコメントを避けるためだけに、できればそうします。この選択は私次第ではありません。

ありがとう。

編集：opensslにシェルアウトせずにこれを行いたいのは、必要なものに対して遅すぎるためです。

暗号化された文字列（md5と同様）を、再度デコードする機能を失うことなく変換することは可能ですか？

暗号化/復号化のためにlibtomcryptツールキットを使用したいと考えています。C#に慣れていないCので、助けてください。ツールキットのリンク: http://www.libtom.org/?page=features&newsitems=5&whatfile=crypt

パスワードを変更できるページが欲しいのですが。私だけがそれにアクセスできるはずです。だから私の考えは、私のIPアドレスを保存し、それをデータベースに保存する前に暗号化することでした。私が最初に試したのは、IPを手動で入力することでした。次に、ip.phpという2番目のファイルで取得したIPアドレスを次のように取得する方がはるかに簡単で安全だと思いました。

これが私のスクリプトに追加したもので、次のようになります。

今私の問題は、elseステートメントが機能しないことです。理由で、これが機能しない理由がわかりません。私もエラーレポートを使用していて、メッセージを受け取りました：

var_dumpも試しましたが、エラーは表示されませんでした。しかし、私がエコーするとき

IPが正しい方法で表示されます。だから私はこれがうまくいかない理由を理解していません。ありがとう。

アップデート

エラーレポートがe_allに設定されている場合は、次のように表示されます。

これに関連する

変数は次のように定義されます

と

と

ip.phpから来ています

UPDATE2

さて、私は問題を解決しました。失敗は、if-else条件があることでした。私はelseステートメントを監視していて、最初にelseステートメントに到達するためのifステートメントの条件を忘れていました。ifステートメントの条件なしで出力を取得しようとしました。したがって、確かに、最初のフレーズが実行されなかった場合、出力は生成されなかった可能性があります。そのため、var_dumpは空で、エラーがなかったためエラーは表示されませんでした:)助けてくれてありがとう。本当に感謝しています。