Можно ли сделать общедоступным хеш-файл md5 другого пользователя SESSID?

Question

У меня есть приложение чата, работающее на сервере php WebSocket.

Когда клиент подключается, я отправляю ему объект с идентификатором и псевдонимом других пользователей. Мне нужно отправить эти идентификаторы, чтобы, когда пользователь что-то говорит или отключает и т. Д., Другие пользователи могут узнать, кто сказал это или отключился, и т. Д.

Серверная сторона Я работаю с SESSID, потому что использую $_SESSION данные, но, конечно, я не могу опубликовать список SESSID.

Тогда можно использовать md5($userId) (где $userId SESSID), или можно захватить сеанс из его хэш-памяти md5?

Answer 1

Хеши не лучшие вещи для обеспечения безопасности, и я бы не рекомендовал его в большинстве случаев.

Но в этом случае есть разница:

Все SSID являются нонсенсом (я имею в виду, они являются случайными), так что если вы добавляете необходимы соль, чтобы сделать ваш

salt.length + $userId.length 

более чем 32 символа (чтобы быть на стороне безопасности, сделать его более 128 символов), это логически невозможно, чтобы расшифровать хэш. дешифрование было бы похоже на переделку файла из его хэша! _{что невозможно}

Чтобы сделать вещи проще, вот код, который нужно:

function YourNewHashMaker($str) 
{ 
return sha1(md5("Some Random Salt".$str).$str."Another Random Salt!".sha1("This one is too much".$str)); 
} 

Используйте это так:

YourNewHashMaker($userId); 

только безопасность дыра здесь, вероятность того, что кто-то крадет ваш код и начинает делать радужный стол, который является ДЕЙСТВИТЕЛЬНО трудно сделать. а также одно и то же отверстие безопасности всех других хешей.

Edit: Помните, что все, что идея, которую вы имеете, чтобы сделать свои собственные hashmakers, помните, что выходная строка должна быть сгенерирована с помощью утвержденного алгоритма. Другими словами, Не добавляйте ничего до или после 'sha1 (....)', только внутри функции.

Надеюсь, что это поможет.

Answer 2

Любая хеш-функция, используемая в этом контексте, была бы небезопасной, и выбор MD5 в качестве хеш-функции означает, что вы не знаете о передовых методах, связанных с криптографическими функциями. MD5 был сломан в течение многих лет и никогда не должен использоваться ни для чего, никогда. (Даже sha1 более безопасен и быстрее, но вы, вероятно, тоже не должны использовать SHA1).

С этим связано множество проблем. Прежде всего, это должно быть trivial to crack, так как любое небольшое число должно быть в радужном столе. Злоумышленник должен знать каждое значение SESSID. В качестве идентификатора сеанса используйте PHP session_start(). Если вам нужен токен, используйте криптографический nonce. Если вы не понимаете саму основы хэш-функций, то не используют хеш-функцию.