Comments | coolwolf0: Упражнение в криптографии

coolwolf0

Упражнение в криптографии

Feb 12, 2022 23:57

Я тут потихоньку ваяю код для полноценного аггрегатора RSS, чтоб базировался на вебе, с мордой от Bootstrap. Мой древний самопал бежит строго на локальной машине, а это бардак и каменный век с точки зрения доступа. Про внешнее оформление в стиле Веб-1.0 вообще молчу ( Read more... )

хакинг, интернет, опрос, программирование

Leave a comment

Back to all threads

the_drmad February 13 2022, 07:58:37 UTC

Только это у тебя не salt, а nonce.
Если я правильно тебя понял, сначала ты (клиент) шлешь на сервер challenge, он тебе в ответ шлет nonce, а ты ему (checksum xor nonce)? Если хацкер сидит как mitm, то он перехватывает и то и другое, значит просто checksum = (checksum xor nonce) xor nonce, и чексумма у него в кармане. Дальше он может воспроизвести в следующий раз твой протокол, а если ему скучно и делать нефига, то может и при помощи радужных таблиц восстановить по чексумме твой пароль. Если я правильно тебя понял, ты пытался упростить CHAP, избавившись от промежуточного шифрования и заменив его на xor? Не, лучше уж оставить идею алгоритма в полном объеме.

coolwolf0 February 13 2022, 08:51:55 UTC

Вах, какой-такой XOR?
1. Получаю юзернейм и пароль на стороне браузера
2. Посылаю юзернейм на сервер и в ответ получаю одноразовый ключик
3. Браузер считает MD5 пароля, конкатенирует к нему ключик и строит из этого новый MD5
4. Браузер послылает полученный MD5 на сервер
5. Сервер конкатенирует тот же ключик к своему сохранённому MD5 от оригинального пароля, строит из этой комбинации MD5 и сравнивает с полученным из браузера

Хакер не может ничего восстановить - чексум невозможно реверсить напрямую

the_drmad February 13 2022, 10:40:04 UTC

Про "строит из этого новый MD5" я сперва не вкурил. Оказывается, у тебя получилось что-то вроде имитовставки с хешированием вместо шифрования. Тогда вроде ниче, покатит.

coolwolf0 February 13 2022, 11:29:17 UTC

Я-я, натюрлих

( ... )

the_drmad February 13 2022, 15:14:54 UTC

А это дуже интересная тема. Если что интересного нароешь, поделись сцылочками? Не только через gmail и не только php.

coolwolf0 February 13 2022, 16:06:15 UTC

Вот тут пишут, что забесплатно можно организовать доступ к ограниченной рассылке, в том числе и через API

https://mailchimp.com/developer/transactional/docs/fundamentals

Даже описание сервиса совпадает с моими целями. Вечерком попробую пройти этот квест. Судя по тексту, надо зарегиться, получить API key, и с ним отправлять мейлы через их сайт обычными HTTP запросами. Единственное, что меня смущает, так это необходимость регить домейн для почты.

coolwolf0 February 24 2022, 18:38:30 UTC

Покрутил этот бесплатный сервис - таки я правильно прочитал: без регистрации ключа у провайдера домена эти %$@* никаких мейлов отправлять не соглашаются.
А провайдер у меня - не о чем говорить, сплошь виртуальный.
Буду смотреть в другую сторону.

coolwolf0 February 24 2022, 19:56:53 UTC

Нашёл реально бесплатный API - даже гарантий не требуют, только лимиты не превышай!
Послал сам себе из PHP мейл - дошло!!!
Всё, буду прикручивать к своему сервису.

https://rapidapi.com/sendgrid/api/sendgrid/

Back to all threads