phoenitydawn

January 6th, 2008

Hashing in MySQL zu schwach?!

Posted by Dunedan in Computer, Debian, Linux

Entweder ich übersehe grade einen wichtigen Punkt oder pam-mysql und MySQL selbst bieten keinen sinnvollen Hashing-Algorithmus für Passwörter. Aber zum eigentlichen Thema:

Die Informationen zu den E-Mail-Adressen und FTP-Accounts auf diesem Server befinden sich in einer MySQL-Datenbank. Unter anderem auch die gehashten Passwörter. Auf diese Informationen wird beispielsweise via pam-mysql zugegriffen. pam-mysql in Debian bietet zum Hashing der Passwörter drei Möglichkeiten. crypt(), md5 und die MySQl password()-Funktion.
Doch alle drei haben schwerwiegende Nachteile: crypt() weil es nur die ersten acht Zeichen der zu hashenden Zeichenkette beachtet, md5 weil der Algorithmus inzwischen gebrochen wurde und zu password() steht im MySQL-Manual ausdrücklich: “The PASSWORD() function is used by the authentication system in MySQL Server; you should not use it in your own applications.“.

Also alles irgendwie keine sinnvollen Möglichkeiten. Die neuste Upstreamversion von libpam-mysql unterstützt auch sha1, wobei dieses ja auch mehr oder weniger gebrochen ist.
Ich persönlich würde mir eher sowas wie sha512 + salt wünschen. Aber das unterstützt MySQL nicht und somit auch nicht pam-mysql.

Kennt da jemand irgendeine tolle Möglichkeit dieses Problem zu umgehen oder muss man zwangsläufig damit leben?

Update: Ich sehe grade, dass MySQL6 das Erzeugen von Hashs der SHA2-Famile ermöglichen wird. Das ist ja immerhin schon mal etwas. Fehlt nur noch das Salt.

January 5th, 2008

Ein Loblied auf Drupal

Posted by Dunedan in Computer, Musik, PHP

Vor über einem Jahr war ich auf der Suche nach einem netten Content Management System zur Realisierung einer Homepage. Dabei stieß ich auf Drupal, dessen Konzept mir auf Anhieb recht gut zusagte. Als ich mich damit beschäftigte merkte ich allerdings schnell, dass Drupal zwar toll ist, aber einen in meinen Augen immens hohen Einarbeitungsaufwand erfordert. Ich beschäftigte mich dann eine Weile damit, aber irgendwie blieb es mit der Zeit liegen, bis ich vor circa zwei Monaten anfing eine Bandhomepage für einen Kumpel mit Drupal zu entwickeln. Ich konnte auf ein paar Vorarbeiten von vor einem Jahr zurückgreifen, musste aber noch etliches selbst machen. Seit Weihnachten ist die Homepage nun online und ich bin recht zufrieden. Natürlich ist sie nicht perfekt und es fehlen auch noch ein paar Sachen, aber ich finde sie ist recht gut geworden.
Zu Drupal kann ich noch sagen, dass ich es toll fände Konzepte wie CCK und Views noch tiefer im Kern verankert zu sehen. Denn das sind echt coole Techniken.
Mal schauen, vielleicht werde ich in Zukunft auch noch die ein oder andere Seite mit Drupal realisieren, denn das ist eine echt gute Grundlage.

Natürlich will ich euch auch nicht den Link oben erwähnter Seite vorenthalten. Er lautet: http://www.beats-of-loner.de/.