1.0.4 Как XenForo шифрует пароли?

собственно вопрос, на md5 не похоже

 

library/XenForo/Authentication/Core.php

 

Можно поподробнее? Там написано в коде "SHA1" и "SHA256", но ни один из этих методов не работает

 

Что не работает? Вы внимательно код смотрели? Ксен формирует хэш по схеме:

1. Формируется хэш пароля
2. К полученному результату добавляется соль
3. Полученная строка снова хешируется

 

А метод шифровки какой? Я просто пишу скрипт для авторизации через XenForo:

PHP:

    mysql_connect("localhost", "root", "****") or die($error);
    mysql_select_db("site") or die($error);
 
    $loadid = mysql_query("SELECT * FROM xf_user WHERE username='$user'") or die ($error);
    $sort = mysql_fetch_array($loadid);
    $id = $sort['user_id'];
 
    $loadpass = mysql_query("SELECT * FROM xf_user_authenticate WHERE user_id='$id'") or die ($error);
    $sort = mysql_fetch_array($loadpass);
    $pass = $sort['remember_key'];

Вот на этом запутался. И еще вопрос - соль = serialize ? если да, то что именно он сеарилизует?

 

Соль.

Метод — зависит от того, подключено ли расширение hash. Если подключено, то используется sha256. Если нет — sha1. Все это видно в файле library/XenForo/Authentication/Core.php.

 

спасибо, но при проверке с помощью

PHP:

        $password = 'PSP1004';        //Сам пароль
        $hash1 = sha1($password);      //Хешируем первоначальный пароль
        $salt = 'sflprt49fhi2';        //Генерируем случайный набор символов (соль)
        $hash2 = sha1($hash1 . $salt);  //Складываем старый хеш с солью и пропускаем через функцию md5()
        echo($hash2);

он выдает 6ca6fc0576de72eea74026d7fda0a17caebc384d, а в бд в колонке remember_key записано f04237c1212986410f7b619d0687beaf5897eb2d (Пароли используются одинаковые)
--- добавлено : 23 ноя 2011 в 13:37 ---
Содержимое колонки data:

 

Посмотрите внимательно, как генерируется соль. Она берется не просто так. Т.е., если соль разная, то и хеши, естественно, будут разные.
Обратите внимание на всю процедуру генерирования, ибо описание процедуры формирования соли описана в другом файле, а псевдослучайное число - в третьем. В общем там нет ничего сверхестественного, но код нужно читать внимательней. К слову, количество символов для соли по умолчанию не 12, как у Вас.

 

И судя по содержимому колонки data, в данном случае использовался метод sha256

 

можно пример преобразования пароля в "формат" XenForo, а то уже запутался. sha256 пробовал. всеравно не совпадают

 

Пример — он есть в самом ксене. Вы можете отследить все взаимосвязи в файле library/XenForo/Authentication/Core.php.

Теория.

Вся информация о пароле пользователя хранится в таблице xf_user_authenticate.
В столбце data хранится захэшированный пароль, соль и имя метода хеширования.

Соль создается опять же путем хеширования псевдослучайной строки длиной 10 символов.
Потом работает схема, которую я описал выше.

И с чего это вы полученную строку сравниваете с полем remember_key? Данные из этого поля используются для сохранения в cookie.

Если вы хотите сравнить вводимый пароль с сохраненным паролем пользователя, то надо делать так.

1. Получить необходимую запись из таблицы xf_user_authenticate.
2. Из записи вытащить (десериализировать) данные поля data.
3. Полученные данные - hash - строка, которая содержит в себе закодированный пароль, salt - нужная вам соль, hashFunc - метод хеширования
4. Теперь по схеме - хэшируем введенный пароль методом, указанным в hashFunc, к этому приклеиваем salt и снова хешируем указанным методом.
5. Сравниваем полученную строку с существуещим hash.

 

Готовый пример не буду выкладывать, а вот куски кода пожалуйста:

library/XenForo/Application.php

PHP:

        const DEFAULT_SALT_LENGTH = 10;


PHP:

        public static function generateRandomString($length)
        {
                while (strlen(self::$_randomData) < $length)
                {
                        // openssl_random_pseudo_bytes is *ridiculously* slow on windows
                        if (function_exists('openssl_random_pseudo_bytes') && substr(PHP_OS, 0, 3) != 'WIN')
                        {
                                self::$_randomData .= bin2hex(openssl_random_pseudo_bytes(max($length, 1024) / 2));
                        }
                        else
                        {
                                self::$_randomData .= md5(uniqid(mt_rand(), true));
                        }
                }

                $return = substr(self::$_randomData, 0, $length);
                self::$_randomData = substr(self::$_randomData, $length);

                return $return;
        }


library/XenForo/Authentication/Default.php

PHP:

        public static function generateSalt($length = null)
        {
                if (!$length)
                {
                        $length = self::DEFAULT_SALT_LENGTH;
                }

                return XenForo_Application::generateRandomString($length);
        }


library/XenForo/Authentication/Core.php

PHP:

        protected function _newPassword($password, $salt)
        {
                $hash = $this->_createHash($this->_createHash($password) . $salt);
                return array('hash' => $hash, 'salt' => $salt, 'hashFunc' => $this->_hashFunc);
        }


PHP:

        protected function _createHash($data)
        {
                $this->_setupHash();
                switch ($this->_hashFunc)
                {
                        case 'sha256':
                                return hash('sha256', $data);
                        case 'sha1':
                                return sha1($data);
                        default:
                                throw new XenForo_Exception("Unknown hash type");
                }
        }


PHP:

        protected function _setupHash()
        {
                if ($this->_hashFunc)
                {
                        return;
                }

                if (extension_loaded('hash'))
                {
                        $this->_hashFunc = 'sha256';
                }
                else
                {
                        $this->_hashFunc = 'sha1';
                }
        }


PHP:

        public function generate($password)
        {
                if (!is_string($password) || $password === '')
                {
                        return false;
                }

                $salt = $this->_createHash(self::generateSalt());
                $data = $this->_newPassword($password, $salt);
                return serialize($data);
        }


Думаю, из этого составить процедуру генерации и валидации хеша не представится сложным. Если каких-то функций не хватает, то найти, наверное, будет не сложным.
--- добавлено : 23 ноя 2011 в 14:48 ---
P.S. 2модераторы: Блин, вот даже не знаю, а можно ли выкладывать сюда какую-либо часть исходников? Ведь по идее этого делать нельзя? Если это так, то уберите лишний код, а оставьте только название функций, пожалуйста.

 

я не смог

 

Что именно вы не смогли?

 

У меня всеравно разные хеши получаются.

 

А в стандартном "Core.php" какая "соль", чет не могу найти.?

 

Сама соль хранится в library/XenForo/Application.php. Смотрите функцию loadDefaultConfig.

 

Рандомная

PHP:

        public static function generateSalt($length = null)
        {
                if (!$length)
                {
                        $length = self::DEFAULT_SALT_LENGTH;
                }
 
                return XenForo_Application::generateRandomString($length);
        }

 

Стоп. Если я не ошибаюсь, то это не то, что Вам нужно.

Да-да. Соль уникальна и рэндомна. А та, о которой я говорил, используется для капчи и для кук пользователя.

 

А как ее узнать?