Citat:
Originally posted by Mani@Feb 25 2008, 15:57
Har suttit och läst igenom denna trevliga tråd nu och tänkte bidra med något som jag har funderat på att testa.
Problemet är som tidigare nämnt att saltet som man använder sparas någonstans, så kommer någon åt det så är det kört i vilket fall som helst, trots tex SHA1.
Jag vill lägga saltet i minnet på webbbservern och enbart läsa det därifrån.
Vid en omstart eller liknande måste alltså saltet anges av en person, vilket kan göras via tex lämpligt gränssnitt (mobil, webbsida etc... och då med SSL företrädesvis). Saltet skrives i en fil varpå servern/applikationen startas om. Vid start av applikation läses saltet in i minnet och filen raderas.
Någon som testat detta innan jag testar...?
/Mani
|
Salt är i första hand till för att motverka rainbow-table attacker och för att motverka att två användare med samma lösenord får samma hash. även om hackaren vet saltet så skyddar det mkt bra ändå, sedan bör varje användare ha sin egen salt.
Det man kan göra är att lägga till en statiskt salt utanpå användarens salt, denna statiska salt lagras enbart i RAM (som du syftar på), jag kollade lite detta förut (i Apache) men jag hittade inget bra sätt att läsa in det statiska saltet till RAM så att alla sessioner kommer åt det på ett enkelt sätt. Jag kom på nu att det kanske funkar att sätta det som en ENV variabel, rapportera om du hittar något bra sätt.