phpBB3 vs. MyBB

[Gość Kopaczka]

Uroczo to ty musisz wyglądać jak się denerwujesz

 

http://files.kopaczk...hash_phpbb3.png

http://files.kopaczk...h_wordpress.png

 

Zobacz sobie w praktyce jak to działa

I udowodnij mi, że wordpress ma słabsze hashe, ja udowodniłem, że ma silniejsze.

 

 

Pozdrawiam

[Sayo 0]

A ja się zastanawiam czy ty masz użytkowników tego forum za idiotów, czy sam chcesz za takiego uchodzić. Wpisz identycznego hasha dla obydwu mechanizmów i wtedy wpisz wyniki.

 

A poza tym nie wiem co ma ta dyskusja w ogóle wnieść do tematu.

 

phpBB3

Wordpress

 

Udowodniłem, że phpBB3 jest bezpieczniejsze ?

[Jarosław Szmańda 42]

http://jarekmk.tk/mybb16/

To tak kwestią tematu - gdyby ktoś chciał zobaczyć jak wygląda MyBB 1.6

 

admin / admin

[Gość Kopaczka]

A ja się zastanawiam czy ty masz użytkowników tego forum za idiotów, czy sam chcesz za takiego uchodzić. Wpisz identycznego hasha dla obydwu mechanizmów i wtedy wpisz wyniki.

 

A poza tym nie wiem co ma ta dyskusja w ogóle wnieść do tematu.

 

Ciebie mam w tej chwili za totalnego idiotę

 

Wypowiadasz się a nie masz zielonego pojęcia o tym co piszesz.

Mogę dać 100 hashów a prędkość będzie tylko o 100 mniejsza.

Czym algorytm bardziej złożony tym wolniejsza prędkość a program sprawdza i porównuje.

Bo to są algorytmy jednostronne i możliwe złamanie tylko przez porównanie.

Aż Ci zrymowałem, żeby do twojej pustej łepetynki to trafiło

 

Łatwiej sprawdzać md5 czyste dlatego idzie to bardzo szybko.

Hasło tu nie ma nic do znaczenia ale zakoduj dwoma algorytmami jedno hasło a ja Ci dam screena i będzie prędkość podobna.

 

Szkoda, że minusy nie działają bo bym Ci dał.

Tak przy okazji to nie wiem za co regdos dostał plusa w poście w którym wydawało mu się, że mnie pojechał.

Już drugi raz tak dostał od Wojtek123 który się nie wypowie i umie głupio dawać plusy każdemu kto mnie pociśnie

Nie wiem co mnie jeszcze zaskoczy dzisiaj.

 

Edit: zamieniłeś hasze

$H$ to phpbb3 a $P$ to wordpress

 

Udowodniłeś tylko moją racje.

Ale nikt mi jej nie przyzna bo chyba za przeproszeniem nikt tu jaj niema.

regdos podważał moje posty, udowodniłem mu.

[Sayo 0]

Zauważyłeś - prawdziwy haxior z Ciebie.

 

Pojęcia nie mam o tym jak zauważyłeś żadnego, pokazałem Ci tylko, że przy odwrotnie zapisanych hashach wyniki są dokładnie odwrotne - ale pewnie zaraz napiszesz 15 postów na temat tego skąd akurat takie wartości w polu 'hash' wpisałeś.

Cieszę się, że pomogłem Ci podbudować swoją samoocenę moim postem.

 

PS. Proszę o wygenerowanie screenów na hasło h4xi0r (specjalnie dla Ciebie) i moderatora o usunięcie tego spamu

[^^KaMaZZ~.^ 154]

Komuś tu chyba trzeba skrócić smycz, bo kłapie ozorem i nie potrafi niczego po ludzku wytłumaczyć.

[regdos 1848]

I udowodnij mi, że wordpress ma słabsze hashe, ja udowodniłem, że ma silniejsze.

Wordpress i phpbb3 mają tak samo silne hashe bo są dokładnie takim samym algorytmem generowane.

Jeżeli tak nie uważasz to przeanalizuj kod w obu skryptach i pokaż mi różnicę w algorytmach i wtedy to będzie dowodem.

[Wojtek123 2]

Do pana Kopaczka.

Będę dawał plusy komu mi się podoba, bo mnie się tak podoba, regdosowi też się to pewnie podoba.

A że pisze mądrze, i w tym temacie udowodnił każdemu że jesteś idiotą to tym bardziej jest to uzasadnione.

Dla własnego dobra nie wypowiadaj się, bo to już naprawdę przypomina tłumaczenie jak dziecku.

eot

[crazyluki 114]

Proszę wszystkich o używanie regulaminego, netykietowego i nieobraźliwego słownictwa. Stosowny użytkownik który pierwszy obraził w sposób znaczący innego użytkownika został ostrzeżony, zablokowałem mu także pisanie postów na 3dni. Wybaczcie że ingerowałem w momentami z niektórych stron merytoryczną dyskusję, ale nie można dyskusji przerywać inwektywami.

[GLOBUS 1]

Wordpress:

wp/includes/pluggable.php

linia
1400
	$wp_hasher = new PasswordHash(8, TRUE);

$iteration_count_log2 = 8;

 

PHPBB3

includes/functions.php
linia: 435

function _hash_gensalt_private($input, &$itoa64, $iteration_count_log2 = 6)

 

iteration_count_log2 odpowiada za czas generowania hashu / czwarty znak

 

	$output .= $itoa64[min($iteration_count_log2 + ((PHP_VERSION >= 5) ? 5 : 3), 30)];

 

zróbmy na przykładzie PHP_VERSION >= 5 ( końcowa wartość iteration_count_log2 to iteration_count_log2 + 5 )

 

iteration_count_log2   znak    wartość końcowa
      6                 9          11
      7                 A          12
      8                 B          13
..............................................
     12                 F          17

 

Średnia prędkość generowania 50 losowych hashy

Wszystkie hashe to test

iteration_count_log2 = 6

Hash: $P$9aenFLC8wykZ3LoFqwCmF2PsqRukkX/

Wygenerowano w: 0,003308601 sec

 

iteration_count_log2 = 7

Hash: $P$AReYP.AO0zy2D6J4m842UwC3GK4O/P.

Wygenerowano w: 0,006818519 sec

 

iteration_count_log2 = 8

Hash: $P$BLxxd5jy8TDE8KCc9vZ3zO4tP/JXhA/

Wygenerowano w: 0,013648462 sec

 

iteration_count_log2 = 9

Hash: $P$Ctto3mIJp7PeqMCUkpDeVt0cb1yZpw0

Wygenerowano w: 0,027078342 sec

 

iteration_count_log2 = 10

Hash: $P$DZHicv6PL6koOdq8DrvdYM5OFntRah.

Wygenerowano w: 0,054523678 sec

 

iteration_count_log2 = 11

Hash: $P$EQldE9K8TUe7KENHgjhGxhFEXVmjiv.

Wygenerowano w: 0,109327559 sec

 

iteration_count_log2 = 12

Hash: $P$FHkUHWsRIBxwm7daGctj5/iFBmsUxQ1

Wygenerowano w: 0,219290023 sec

 

Benchmark:

<?php
require_once 'PasswordHash.php';

for( $i = 6; $i < 13; $i++ )
{
$iteration_count_log2 = $i;

$t_hasher = new PasswordHash( $iteration_count_log2, true );

$start = microtime( 1 );
for( $x = 0; $x < 49; $x++ )
{
	$hash = $t_hasher->HashPassword( mt_rand(10000,99999 ) );
}
$hash = $t_hasher->HashPassword( 'test' );

printf( "iteration_count_log2 = $iteration_count_log2\nHash: $hash\nWygenerowano w: %.9f sec\n\n", ( microtime( 1 ) - $start ) / 50 );
}

?>

 

iteration_count_log2 = 6 // PHPBB3

Wygenerowano w: 0,003308601 sec

 

iteration_count_log2 = 8 // Wordpress

Wygenerowano w: 0,013648462 sec

 

0.013648462 / 0.003308601 ~ 4.13

 

Sayo: WP - 880, PHPBB3 - 3510, czyli ~ 3.99

Kopaczka: WP - 617, PHPBB3 - 2445, czyli ~ 3,96

 

Wordpress ma ~4x silniejsze hashowanie niż phpbb3 ( ze względu na większą wartość iteration_count_log2, dłuższy czas generowania / łamania hashu )

 

PasswordsPro traktuje tak samo hashe wordpress i phpbb3, nie ma różnicy czy to moduł md5(Wordpress), md5(phpBB3) czy prefix $P$, $H$

 

Na dzień dzisiejszy PasswordsPro nie złamie hashy które mają iteration_count_log2 =< 9 ( dla wersji php >= 5 lub od razu zmieniamy ((PHP_VERSION >= 5) ? 5 : 3) na 5 )

[Sayo 0]

No i to rozumiem - teraz faktycznie wiemy, że Wordpress ma lepsze zabezpieczenia

Z ciekawości spróbowałem na różnych hasłach w bazie i faktycznie - ilość haseł porównywanych w jednostce czasu jest identyczna.

 

Jak widać można rzeczowo przekonać do swoich racji bez wyzwisk i zbędnych komentarzy

 

Tak czy inaczej ta dyskusja na temat wyższości zabezpieczeń Wordpressa nad phpBB3 nijak ma się do tematu.

[Gość Łukasz Tkacz]

Szczerze to cała ta dyskusja była bez sensu. Jeżeli jakaś nieupoważniona osoba miałaby dostęp do bazy czy też odpalania php to mamy dosłownie pozamiatane... Wiadomo, że zabezpieczyć to trzeba, ale IMO ważniejsza jest profilaktyka.

[regdos 1848]

Dzięki GLOBUS, przegapiłem tę liczbę iteracji, która jest jako wartość domyślna w definicji funkcji w phpBB3.

 

Przyznaję rację Wordpress ma silniejsze hasła.

[Gość Bartosz Gadzimski]

Oj, straszne zamieszanie.

 

Kopaczka - miał racje ale nie poparta żadnymi dowodami nie może być używana na forum jako argument. Straciłeś nerwy z braku argumentów, na przyszłość wiadomo jak postępować

 

regdos - miał rację na poziomie wiedzy jakim dysponował, sam starałem się znaleźć różnice i ich nie znalazłem. GLOBUS wszystko ładnie wyjaśnił (szacunek).

 

Jak powinna wyglądać wypowiedź Kopaczki:

 

"Wordpress ma mocniejsze hasła ze względu na inną wartość iteracji (zmienna iteration_count_log2)"

 

Decyzje moderatora crazyluki uważam za odpowiednią.