Что использовать - хеш?

Clarion, Clarion 7

Модератор: Дед Пахом

Правила форума
При написании вопроса или обсуждении проблемы, не забывайте указывать версию Clarion который Вы используете.
А так же пользуйтесь спец. тегами при вставке исходников!!!
Аватара пользователя
ingasoftplus
Ветеран
Сообщения: 434
Зарегистрирован: 26 Декабрь 2006, 17:07
Откуда: Оттуда :)
Благодарил (а): 94 раза
Поблагодарили: 5 раз

Что использовать - хеш?

Сообщение ingasoftplus »

Нужно что-то типа хеша, не понятно, что использовать.

Идея такая, есть текстовые строки - и для них нужно создать что-то типа уникального "хеша", чтобы потом можно было однозначно найти соответствие оригинальной строки и созданного "хеша"

ну и длина этого "хеша" должна быть значительно меньше оригинальной строки (потом оно будет сохраняться в очередь, чтобы занимало меньше памяти)

Какие есть решения? в какую сторону копать/смотреть??
Аватара пользователя
Дед Пахом
Старичок
Сообщения: 3155
Зарегистрирован: 07 Июль 2005, 16:51
Откуда: Москва, Россия
Благодарил (а): 11 раз
Поблагодарили: 32 раза
Контактная информация:

Что использовать - хеш?

Сообщение Дед Пахом »

ingasoftplus писал(а): 26 Сентябрь 2023, 10:51 в какую сторону копать/смотреть??
Я в google посмотрел, полно вариантов.
С уважением, ДП
Аватара пользователя
Игорь Столяров
Ветеран движения
Сообщения: 7515
Зарегистрирован: 07 Июль 2005, 10:19
Откуда: г. Ростов-на-ДоМу
Благодарил (а): 18 раз
Поблагодарили: 53 раза

Что использовать - хеш?

Сообщение Игорь Столяров »

ingasoftplus писал(а): 26 Сентябрь 2023, 10:51 Какие есть решения? в какую сторону копать/смотреть??
А чем традиционные библиотеки хеша SHA1 или MD5 не устраивают ?
Недавно прикручивали: viewtopic.php?p=50395&hilit=sha1#p50395

Если хочется порукодельничать - то есть вот такой вариант:
https://pisoft.ru/verstak/kripto.htm
За теми кто отстал - не возвращаться. (С) Кодекс
Аватара пользователя
ingasoftplus
Ветеран
Сообщения: 434
Зарегистрирован: 26 Декабрь 2006, 17:07
Откуда: Оттуда :)
Благодарил (а): 94 раза
Поблагодарили: 5 раз

Что использовать - хеш?

Сообщение ingasoftplus »

Игорь Столяров писал(а): 26 Сентябрь 2023, 13:04 А чем традиционные библиотеки хеша SHA1 или MD5 не устраивают
наверное - устраивают!! никогда не имел с этим дело, вот и спрашиваю - как!

будем смотреть!!! :ty:
Аватара пользователя
Игорь Столяров
Ветеран движения
Сообщения: 7515
Зарегистрирован: 07 Июль 2005, 10:19
Откуда: г. Ростов-на-ДоМу
Благодарил (а): 18 раз
Поблагодарили: 53 раза

Что использовать - хеш?

Сообщение Игорь Столяров »

Сложно представить работу без хеша , как средства защиты и обеспечения целостности данных.
Например, сейчас уже никто не хранит пароли доступа, которые мона украсть взломав БД или программу.
Вместо этого в открытом виде хранится хеш, который сравнивается с хешем рассчитанным по вводимому пользователем паролю и т.д.
За теми кто отстал - не возвращаться. (С) Кодекс
Аватара пользователя
finsoftrz
✯ Ветеран ✯
Сообщения: 4753
Зарегистрирован: 06 Ноябрь 2014, 12:48
Благодарил (а): 10 раз
Поблагодарили: 38 раз

Что использовать - хеш?

Сообщение finsoftrz »

А как же зашифрованный tps? Если взломать программу, то ничто не спасёт. У меня шифры от базы данных хранятся в других зашифрованых файлах, которые могут быть далеко от самой базы данных. :-)
C6/C11, ШВС, tps/btrieve.
Аватара пользователя
Игорь Столяров
Ветеран движения
Сообщения: 7515
Зарегистрирован: 07 Июль 2005, 10:19
Откуда: г. Ростов-на-ДоМу
Благодарил (а): 18 раз
Поблагодарили: 53 раза

Что использовать - хеш?

Сообщение Игорь Столяров »

В зашифрованном TPS хранятся секретные данные и есть вопрос верификации доступа.
Т.е. так или иначе Вы в какой-то момент в программе (которая может работать под отладчиком)
засветите этот самый хранимый в надёжном месте пароль для открытия зашифрованного TPS списка.

А я говорил о хранении хеша вместо пароля доступа вводимого пользователем (в т.ч. и для расшифрования БД).
В этом случае ничего прятать и оберегать не надо, алгоритм расчёта хеша известен. И ничего низя украсть. :)
За теми кто отстал - не возвращаться. (С) Кодекс
Аватара пользователя
finsoftrz
✯ Ветеран ✯
Сообщения: 4753
Зарегистрирован: 06 Ноябрь 2014, 12:48
Благодарил (а): 10 раз
Поблагодарили: 38 раз

Что использовать - хеш?

Сообщение finsoftrz »

Программа не может работать под отладчиком. Защита это всегда комплекс мер.
Если мы знаем значения хэша и алгоритм его формирования, то не можем узнать исходное значение пароля? Не задавался этим вопросом. Если так, что мешает подобрать пароль перебором, если все под рукой и некуда спешить? У Вас пароли тоже в виде хэша хранятся?
C6/C11, ШВС, tps/btrieve.
Аватара пользователя
Игорь Столяров
Ветеран движения
Сообщения: 7515
Зарегистрирован: 07 Июль 2005, 10:19
Откуда: г. Ростов-на-ДоМу
Благодарил (а): 18 раз
Поблагодарили: 53 раза

Что использовать - хеш?

Сообщение Игорь Столяров »

finsoftrz писал(а): 26 Сентябрь 2023, 14:10 сли мы знаем значения хэша и алгоритм его формирования, то не можем узнать исходное значение пароля?
В обозримом временном интервале или без квантового компьютера - нет, не можем.
finsoftrz писал(а): 26 Сентябрь 2023, 14:10 если все под рукой и некуда спешить?
Гипотетически можно, но не спешить придётся миллионы лет ...
Принцип тот же самый, что и в случае ЭЦП подтверждающей валидность исходного текста.
Любой может рассчитать ЭЦП и удостоверится в подлинности текста.
Только в случае с паролем у нас нет самого текста - пароль пользователь вводит в сессии.
finsoftrz писал(а): 26 Сентябрь 2023, 14:10 У Вас пароли тоже в виде хэша хранятся?
В новых проектах конечно. И не нужны никакие шифрования и пряталки паролей. :)
За теми кто отстал - не возвращаться. (С) Кодекс
Аватара пользователя
ingasoftplus
Ветеран
Сообщения: 434
Зарегистрирован: 26 Декабрь 2006, 17:07
Откуда: Оттуда :)
Благодарил (а): 94 раза
Поблагодарили: 5 раз

Что использовать - хеш?

Сообщение ingasoftplus »

finsoftrz писал(а): 26 Сентябрь 2023, 14:10 пароли тоже в виде хэша хранятся
ну вообще-то пароли надо хранить в виде хеш(соль+пароль)
Аватара пользователя
finsoftrz
✯ Ветеран ✯
Сообщения: 4753
Зарегистрирован: 06 Ноябрь 2014, 12:48
Благодарил (а): 10 раз
Поблагодарили: 38 раз

Что использовать - хеш?

Сообщение finsoftrz »

Игорь Столяров писал(а): 26 Сентябрь 2023, 14:18
finsoftrz писал(а): 26 Сентябрь 2023, 14:10 если все под рукой и некуда спешить?
Гипотетически можно, но не спешить придётся миллионы лет ...
Что-то меня гложат смутные сомнения насчет этой теории. Чтобы увеличить время, необходимое для подбора пароля, надо создавать очень сложный пароль, который пользователь опухнет вводить. В вебе пароли обычно сохраняет веб броуз, пользователи их не вводят. А это означает, что либо пароли хранятся не в виде хэша, либо есть алгоритмы обратного получения. Или у меня что-то с логикой не так?
C6/C11, ШВС, tps/btrieve.
Аватара пользователя
finsoftrz
✯ Ветеран ✯
Сообщения: 4753
Зарегистрирован: 06 Ноябрь 2014, 12:48
Благодарил (а): 10 раз
Поблагодарили: 38 раз

Что использовать - хеш?

Сообщение finsoftrz »

Сейчас специально посмотрел вход в кабинет spweb и робокассы. Выбираю сохраненные броузом значения, показывает исходное значение пароля.
C6/C11, ШВС, tps/btrieve.
Аватара пользователя
Игорь Столяров
Ветеран движения
Сообщения: 7515
Зарегистрирован: 07 Июль 2005, 10:19
Откуда: г. Ростов-на-ДоМу
Благодарил (а): 18 раз
Поблагодарили: 53 раза

Что использовать - хеш?

Сообщение Игорь Столяров »

finsoftrz писал(а): 26 Сентябрь 2023, 14:46 Что-то меня гложат смутные сомнения насчет этой теории
Здесь иное ... если у Вас есть хеш пароля - то подобрать некую строку (и это не обязательно оригинальный пароль),
которая на входе в систему выдаст такой же хеш - очень ресурсоёмко. Это азы криптографии, есть много книжек.
finsoftrz писал(а): 26 Сентябрь 2023, 14:49 Выбираю сохраненные броузом значения
Это просто броузер хранит (в защищённом хранилище) текстовые строки пар логин/пароль.
Но в БД указанных Вами систем наверняка хранятся не пароли, а их хеш.
Кстати, именно поэтому нельзя пароли посмотреть и изменить, а можно только заменить. :)
За теми кто отстал - не возвращаться. (С) Кодекс
Аватара пользователя
finsoftrz
✯ Ветеран ✯
Сообщения: 4753
Зарегистрирован: 06 Ноябрь 2014, 12:48
Благодарил (а): 10 раз
Поблагодарили: 38 раз

Что использовать - хеш?

Сообщение finsoftrz »

"Защищенное хранилище" это шифрованная база данных броуза? :-) Я понял, хэш нужен для того, чтобы усложнить слив базы данных сотрудниками хостера. Хотя опять таки, не поверю, что сотрудники хостера не могут получить доступ к данным пользователя в обход пароля.
Мне кажется, все это из серии бесконечной гонки по безопасности в вебе. Решения нет по определению, зато можно зарабатывать на взломах и защитах.
C6/C11, ШВС, tps/btrieve.
Аватара пользователя
Игорь Столяров
Ветеран движения
Сообщения: 7515
Зарегистрирован: 07 Июль 2005, 10:19
Откуда: г. Ростов-на-ДоМу
Благодарил (а): 18 раз
Поблагодарили: 53 раза

Что использовать - хеш?

Сообщение Игорь Столяров »

Могу привести ещё пример использования хеша (как бюджетного варианта ЭЦП).
После перевода обмена пакетами в торговой системе на открытый формат JSON,
появились хитропопные юзеры которые стали вносить изменения в текстовый пакет.
Пришлось добавить в пакет его хеш и отказывать в загрузке модифицированных пакетов. 8)
За теми кто отстал - не возвращаться. (С) Кодекс
Ответить