Уведомления

Группа в Telegram: @pythonsu

#1 Окт. 11, 2018 12:53:25

py.user.next
От:
Зарегистрирован: 2010-04-29
Сообщения: 9903
Репутация: +  855  -
Профиль   Отправить e-mail  

Шифрование пароля в файле конфигурации ini

Rodegast
Ну это уже от системы зависит.
Любой доступ к системе на уровне админа даёт возможность поставить туда любой софт, прошить любую библиотеку. То есть ты будешь думать, что ты с кошельком работаешь, а на самом деле будешь работать с обёрткой, которая передаёт кошельку твои действия и обратно - от кошелька к тебе. И вот эта обёртка будет на сторону пароли уводить и ты даже знать об этом не будешь. Эти кошельки укреплены до той поры, пока ты доступ не получишь к их внутренностям и не залезешь к ним под капот. А дальше всё. То же самое касается антивирусов. Они защищают систему до тех пор, пока к их бинарникам не получат доступ. А дальше его можно прошить и антивирус не будет знать, что он прошит, и будет пропускать нужные программки.

Вот эту программу он может поставить на сервер и пользователь не будет иметь доступа к её коду. Он будет её только запускать и всё. Поэтому пароль в программе можно хранить. Но так как пароли нужно менять, то ты же не будешь менять код программы каждый раз, поэтому пароль выносится в конфиг-файл и программа берёт этот пароль каждый раз из этого конфиг-файла. А конфиг-файл уже может редактировать администратор программы, который может войти на сервер в специальном режиме и получить права на чтение пароля, изменение его и так далее.

Ты просто посмотри, как работает ftp-сервер (сейчас их не используют, так как их выместили облачные хранилища, а раньше на месте облачных хранилищ были именно многочисленные ftp-серверы), там не было никаких памов, кошельков и прочего, там всё хранилось в файле паролей в открытом виде. Потом допёрли, что можно хранить не пароли, а хеши паролей, но это было потом, поначалу было всё просто и работало долго.

Rodegast
Если злоумышленник получил доступ к конфигу с шифрованными паролями, то скорее всего он получит доступ и к самой программе.
Он так же и к кошельку доступ получит. Конфиг с паролями защищается и к нему делается тонкий доступ. Допустим, ты ввёл какой-то мастер-пароль и получил доступ к конфигу с паролями. Можно по принципу кошелька сделать доступ, только упрощённый и про который никто не знает. Потому что про кошелёк знают все и уже сделали все средства, которые пролазят в кошелёк автоматом. А когда ты своё делаешь, для него нужно заново всё анализировать и писать средства для проникновения. А вот чтобы писать средства, нужны навыки программиста (ну такие, полный комплект навыков разработки), которых зачастую у взломщиков нет, так как они пользуются уже готовыми чужими программами. Ломать - не строить. Проще научиться ломать, чем научиться что-то строить. А когда не учишься чему-то, то и навыки этого сами ниоткуда не появятся.

VIRTOK
Прошу комментировать строчки , принцип ясен , но есть пробелы
Напиши, что именно там непонятно? Потому что там написано чуть ли не для школьника.



Отредактировано py.user.next (Окт. 11, 2018 13:06:47)

Офлайн

#2 Окт. 14, 2018 13:50:04

VIRTOK
Зарегистрирован: 2017-10-23
Сообщения: 77
Репутация: +  0  -
Профиль   Отправить e-mail  

Шифрование пароля в файле конфигурации ini

Хотелось бы что-то попроще типа

 import hashlib
import base64
def Crypto_encode_md5(password):
    h = hashlib.sha512(password.encode('utf-8'))
    p = h.hexdigest()
    b = base64.b64encode(p.encode('utf-8'))
    s = str(b)
    b = hashlib.md5(s.encode('utf-8'))
    f = b.hexdigest()
    return print(f)
Crypto_encode_md5("password")

Я не хочу подключать дополнительные библиотеки которых нет в коробке
Как возможно совершить обратную операцию дешифровке ?
Хотелось бы еще добавить ключ (слово которое поможет расшифровать для верности)

Офлайн

#3 Окт. 14, 2018 16:04:13

py.user.next
От:
Зарегистрирован: 2010-04-29
Сообщения: 9903
Репутация: +  855  -
Профиль   Отправить e-mail  

Шифрование пароля в файле конфигурации ini

VIRTOK
Как возможно совершить обратную операцию дешифровке ?
Никак. Хэш-функции - это не функции шифрования. Если ты возьмёшь большой файл и вычислишь для него md5, то результат получится такой же короткий, как и для любого текста.



Офлайн

#4 Окт. 14, 2018 22:22:50

VIRTOK
Зарегистрирован: 2017-10-23
Сообщения: 77
Репутация: +  0  -
Профиль   Отправить e-mail  

Шифрование пароля в файле конфигурации ini

У меня установкой pycrypto проблемы

  pip install pycrypto

ошибка
    C:\Program Files (x86)\Microsoft Visual Studio\2017\BuildTools\VC\Tools\MSVC\14.15.26726\bin\HostX86\x64\cl.exe /c /nologo /Ox /W3 /GL /DNDEBUG /MD -Isrc/ -Isrc/inc-msvc/ -Ic:\users\master\appdata\local\programs\python\python37\include -Ic:\users\master\appdata\local\programs\python\python37\include "-IC:\Program Files (x86)\Microsoft Visual Studio\2017\BuildTools\VC\Tools\MSVC\14.15.26726\include" "-IC:\Program Files (x86)\Windows Kits\NETFXSDK\4.6.1\include\um" "-IC:\Program Files (x86)\Windows Kits\10\include\10.0.17134.0\ucrt" "-IC:\Program Files (x86)\Windows Kits\10\include\10.0.17134.0\shared" "-IC:\Program Files (x86)\Windows Kits\10\include\10.0.17134.0\um" "-IC:\Program Files (x86)\Windows Kits\10\include\10.0.17134.0\winrt" "-IC:\Program Files (x86)\Windows Kits\10\include\10.0.17134.0\cppwinrt" /Tcsrc/winrand.c /Fobuild\temp.win-amd64-3.7\Release\src/winrand.obj
    winrand.c
    src/winrand.c: fatal error C1083: ЌҐ г¤ Ґвбп ®вЄалвм д ©« ўЄ«о祭ЁҐ: %VCINSTALLDIR%\INCLUDE\stdint.h: No such file or directory,
    error: command 'C:\\Program Files (x86)\\Microsoft Visual Studio\\2017\\BuildTools\\VC\\Tools\\MSVC\\14.15.26726\\bin\\HostX86\\x64\\cl.exe' failed with exit status 2
    ----------------------------------------
Command "c:\users\master\appdata\local\programs\python\python37\python.exe -u -c "import setuptools, tokenize;__file__='C:\\Users\\Master\\AppData\\Local\\Temp\\pip-install-ko66ht9y\\pycrypto\\setup.py';f=getattr(tokenize, 'open', open)(__file__);code=f.read().replace('\r\n', '\n');f.close();exec(compile(code, __file__, 'exec'))" install --record C:\Users\Master\AppData\Local\Temp\pip-record-1wsmu98m\install-record.txt --single-version-externally-managed --compile" failed with error code 1 in C:\Users\Master\AppData\Local\Temp\pip-install-ko66ht9y\pycrypto\
You are using pip version 18.0, however version 18.1 is available.
You should consider upgrading via the 'python -m pip install --upgrade pip' command.

Отредактировано VIRTOK (Окт. 14, 2018 22:23:58)

Офлайн

#5 Окт. 14, 2018 23:55:30

py.user.next
От:
Зарегистрирован: 2010-04-29
Сообщения: 9903
Репутация: +  855  -
Профиль   Отправить e-mail  

Шифрование пароля в файле конфигурации ini

VIRTOK
У меня установкой pycrypto проблемы
В Linux никаких проблем нет. Всё ставится везде и всё по-русски пишется. А вот в винде - да, мало того что ничего не ставится само, так ещё и не разберёшься в чём проблема.

https://stackoverflow.com/questions/11405549/how-do-i-install-pycrypto-on-windows
Там скачаешь бинарник и поставишь

Так что хочешь программировать - ставь себе линукс.



Отредактировано py.user.next (Окт. 15, 2018 00:32:43)

Офлайн

Board footer

Модераторировать

Powered by DjangoBB

Lo-Fi Version