Мега-функция unique_id

[135]

Вроде мелочь…

В /include/functions.php есть такая мега-функция. Казалось бы, что может быть интересного в генерации случайного числа для хеширования данных?! Ан нет, хороший, творческий художник даже такую скучную вещь может превратить в произведение искусства.

function unique_id($extra = 'c')

{
static $dss_seeded = false;
global $config;

$val = $config['rand_seed'] . microtime();
$val = md5($val);
$config['rand_seed'] = md5($config['rand_seed'] . $val . $extra);

if ($dss_seeded !== true && ($config['rand_seed_last_update'] < time() - rand(1,10)))
{
set_config('rand_seed_last_update', time(), true);
set_config('rand_seed', $config['rand_seed'], true);
$dss_seeded = true;
}

return substr($val, 4, 16);
}

[Sumanai]

А что не так?

[135]

С точки зрения Лукоморьевской статьи о рнр - в принципе ничего, всё в канве.

Просто мне непривычно когда во время задачи получить случайную соль, бегают читать/писать в БД, проводят абсолютно лишние сравнения...

[Sumanai]

Вообще- то всё правильно делают, для безопасности, чтобы из- за легко угадываемой соли ничего не взломали. Читают из БД? Тут ничего не читают, массив конфига в любом случаи будет прочтён.

[factotum]

легко угадываемой соли

Не совсем понятно, как угадываемость соли зависит от БД. БД явно не генератор случайных чисел.

ничего не взломали

звучит громко.
Не смотрел phpbbex: как то экспериментировал с phpbb - с уведенными кукизами получал все права и привилегии владельца. даже просто копирование из оперы в хром давало тот же эффект. этакая небольшая дырочка в ад)

[VEG]

factotum, а вы сперва уведите cookies прежде, чем говорить «дырочка».

[factotum]

а вы сперва уведите cookies прежде, чем говорить «дырочка».

администратор ресурса, где была найдена уязвимость, ответил в том же духе - "это противозаконно")
Это гораздо проще, чем привязать кукизы)

[VEG]

factotum, к чему их привязать? К User Agent? Чтобы при обновлении версии браузера слетала авторизация? К IP? Чтобы при переподключении модема мы также теряли авторизацию и не имели возможности пользоваться сайтом через какой-нибудь Tor?

[135]

Вообще- то всё правильно делают, для безопасности

Делают они это не для безопасности а шутки ради. 100%.

чтобы из- за легко угадываемой соли ничего не взломали.

Зачем угадывать соль?

Читают из БД? Тут ничего не читают

Да хрен бы с ним, пусть и читали бы, писать то нахрена причём два раза. Для безопасности или для скорости работы? Или и для того и для того?

Напомню, функция генерит уникальный ID, часть которого будет использоваться при последующем хешировании нормальных данных. Как в анекдоте "за день можете? а за два? а за неделю?"...

Я думаю вся функция есть просто троллинг, собственно как и схема БД и собственно сам рнр. -(.

[Sumanai]

Не совсем понятно, как угадываемость соли зависит от БД. БД явно не генератор случайных чисел.

Ага, не генератор. Но как вы можете увидеть, туда записывается цепочка хешей.
Если просто хешировать например время, то это можно угадать, диапазон ограничен.
В phpBB для этого нужно угадать всю цепочку хешей, что не реально.

factotum, к чему их привязать? К User Agent? Чтобы при обновлении версии браузера слетала авторизация? К IP? Чтобы при переподключении модема мы также теряли авторизацию и не имели возможности пользоваться сайтом через какой-нибудь Tor?

Собственно такие настройки в админке есть. Можно и привязать.

Зачем угадывать соль?

Для подбора паролей или ещё чего- то там.

Я думаю вся функция есть просто троллинг, собственно как и схема БД и собственно сам рнр. -(.

Перепишите весь движок на perl, можете даже на c++, и пользуйтесь, разрешаю.

[135]

Для подбора паролей или ещё чего- то там.

-) давайте я вам дам соль а вы угадаете пароль?))

Перепишите весь движок на perl, можете даже на c++, и пользуйтесь, разрешаю.

спасибо за разрешение), мне хватит по возможности не писать на рнр, если и писать, то не такие вот конструкции и уж точно не оправдывать их фанатично даже не разобравшись что же там происходит.

[VEG]

Спор ни о чём. Ребята из phpBB перестраховались лишний раз и сделали свою реализацию генератора уникальных строк. Возможно, они не доверяют стандартному uniqid, считают, что его строки недостаточно уникальны, поэтому написали такой генератор. Очевидно, что они руководствовались поговоркой «лучше перебдеть, чем недобдеть». С учётом того, в phpBB 3 не было найдено серьёзных уязвимостей с первого релиза, может быть, они не зря включали параноиков по каждому поводу. А как используется этот генератор и может ли злоумышленник повредить сайту, если будет знать, какие числа генерирует эта функция — дело десятое. В каких-то случаях использования такой функции — да, сможет. В тех случаях, где эта функция используется в phpBB 3 — возможно и нет (смысла ради этого пустого спора изучать, где же она используется, не вижу).

[Sumanai]

смысла ради этого пустого спора изучать, где же она используется, не вижу

Код: Выделить всё

$browser_id = md5(unique_id('bid', true));

По моему, это писали вы
Но спор действительно пустой.

[135]

и сделали свою реализацию генератора уникальных строк.

Ага, с блэкджеком и шлюхами -).

С учётом того, в phpBB 3 не было найдено серьёзных уязвимостей с первого релиза

Дело не в уязвимостях, дело в том, что это либо быдлокод, либо попытка юмора.

Но спор действительно пустой.

-) лично я отметил интересный код. Я ж не думал что о такой прекрасной функции начнут спорить а потом назовут спор пустым. По моему мнению тут вообще не о чем спорить..
Но, видимо, я не туда запостил эту тему… Опять, так сказать, ошибся аудиторией -).

[Sumanai]

По моему мнению тут вообще не о чем спорить..

И по моему тоже! Нормальная функция.

Но, видимо, я не туда запостил эту тему… Опять, так сказать, ошибся аудиторией -).

Запостите на говнокод, не забыв сказать, откуда функция.

[135]

Запостите на говнокод

Я там не зарегистрирован.

[Sumanai]

Боязнь регистрироваться?

[135]

Ну да. Боюсь что узнают соль в том хеше и через неё ломанут мои аккаунты повсеместно.

[Sumanai]

Скорее боитесь быть осмеянными.

[135]

=)