Il giorno mar, 24/01/2006 alle 01.23 +0100, faboski ha scritto: > Davide Prina ha detto: > > Probabilmente nessuno aveva tentato > > di far vedere la stessa cosa solo perché è in realtà inutile. > > veramente molti cms usano l'md5 per "criptare" la password nel database..
Si`, ma per sfruttare la falla si presuppone che tu (cracker) abbia accesso in lettura al db della vittima, ne estragga l'md5 e poi con calma te lo "decritti" trovando una collisione. Se i db sono progettati bene, tu cracker non avrai mai accesso alla tabella utenti di un altro cms. Se sono progettati male e` inutile parlarne, e` come disattivare le shadow password... E` piu` facile avere accesso ai sorgenti dei siti degli altri, per dire. Bye. -- Alessandro Pellizzari -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
