1.2.x Как XenForo шифрует пароли?

Мне необходимо узнать метод шифрования паролей на версиях XenForo 1.2.x+ (где используется "XenForo_Authentication_Core12", вместо "XenForo_Authentication_Core").
Ранее было так: (sha256, (sha256, пароль) . соль); Как теперь, мне неизвестно. Прошу помочь. Спасибо.

 

Да вроде не поменялся.

 

Там используется фреймворк PHPass для этого.
В двух словах не рассказать, могу дать файлики, в коде смотрите сами.

 

Буду благодарен.

 

Я же еще в первом сообщении делал вложении. Но его нет. Странно, попробую еще раз.

 

Публикация достаточно большого кода из движка вообще-то может являться варезом. Поэтому его и удалили. Вы уж не стесняйтесь - выкладывайте сразу весь оригинал - людям будет проще разобраться, как он работает.

 

@akinak Извиняюсь, что не оповестил об удалении Вашего вложения. Внутри архива на самом деле находились файлы относящиеся к лицензионному форуму XenForo. В связи с этим я был вынужден удалить вложение.

 

А, понял, извиняюсь. Не подумал, что 2 файла из 1000 будут считаться варезом. Больше не буду

 

Не совсем верно. Т.к. на сайте XenForo можно получить демо версию (по крайней мере раньше всегда можно было), в которой тоже есть эти файлы... Поддержка лицензии - это хорошо, но такие крайности это перебор.

P.S. Тогда кучу хаков из ресурсов тоже надо удалить ибо они тоже нарушают лицензионные соглашения.

 

Они зациклены на авторстве. Если даже бесплатные плагины не дают распространять вне офа. Поэтому лучше не давать лишних поводов. Если относительно плагинов еще можно съехать, то публикация даже части кода движка уже явно является нарушением.

Теперь по существу. Если человек пытается разобраться с тем, как шифруются пароли ксена, то предполагается, что делается что-то типа моста или интеграции. А это подразумевает наличие и движка. Так зачем выкладывать часть движка, отвечающую за хеши паролей? Ведь достаточно указать, где это лежит.
--- добавлено : 3 апр 2014 в 13:54 ---
Кстати, по поводу распространения плагинов вне офа. Т.е., например, взять плагин оттуда и выложить его тут. В подавляющем большинстве случаев нигде в плагинах не указаны требования распространения вне офа. Ну и в крайнем случае большинство плагинов легко берется с других ресурсов и затем выкладывается здесь. В этом случае вообще не может идти речь о неправомерном распространении, ведь выкладывающий совсем может даже и не знать о запрете распространения. Ну и т.д. В любом случае запрет распространения бесплатных и открытых плагинов без их модификации или перепаковки (редистрибьюции) в общем не является юридически значимым, так как является в общем неконтролируемым и т.д.

 

Сейчас это так происходит:

• Если в системе, в которой установлен PHP, системным вызовом crypt(3) поддерживается алгоритм BLOWFISH, для хеширования выбирается он. Если нет, проверяется поддержка EXT_DES, если поддерживается, используется он. Если и он не поддерживается, используется внутренняя функция crypt() со своим вариантом реализации, основанная на md5()
• Потом делается попытка получить случайный набор байт из нескольких источников. И этот набор байт используется в качестве аргумента для вызова crypt() с паролем. Он хранится с хешем пароля как соль (незашифрованный).

В сгенерированном хеше лежит тип вызова crypt(), который для него использовался, незашифрованная соль и сам хеш.

Фактически, на нормальной системе для хеширования паролей используется CRYPT по варианту Шнайера (Blowfish). Посмотреть это внутри XenForo можно открыв файл library/XenForo_PasswordHash.php