Текущий архив: 2011.01.30;
Скачать: CL | DM;
Вниз
храним пароль Найти похожие ветки
← →
Dennis I. Komarov © (2010-11-10 12:36) [0]В проге нужно хранить пассворд. Не хеш, а оригинал, так как нам придется его передавать для авторизации. Его надо гдем-то хранить. Хранить в открытом виде не айс, т.е. надо его чем-то зашифровать. Не особо мудрствуя будем его xor-ить. Так вот, все выше описанное, дабы исключить "подозрительные вопросы".
Теперь вопрос: как нам получить некий системный хеш пароля текущего юзверя? (для чего думаю догадались)
← →
бумбум (2010-11-10 12:45) [1]
> В проге нужно хранить пассворд. Не хеш, а оригинал,
Ну если его в проге нужно хранитьpas: String;// глобвльная
..
begin
pas:= "parol";
end;
А дальше нихрена не понял.
← →
бумбум (2010-11-10 12:48) [2]
> pas: String;// глобвльная
Хотя лучше константа
const
s: String ="parol";
← →
Anatoly Podgoretsky © (2010-11-10 12:50) [3]> Dennis I. Komarov (10.11.2010 12:36:00) [0]
Protected Storage часть криптоапи.
← →
Dennis I. Komarov © (2010-11-10 12:53) [4]
> Ну если его в проге нужно хранить
Читай как "Для проги" или "Нужно хранить..." т.п.
не суть...
← →
Медвежонок Пятачок © (2010-11-10 12:54) [5]а зачем нам какой-то хеш какого-то системного пароля?
у нас всегда есть контекст приватного контейнера текущего юзера
CryptAcquireContext c параметрами nil (имя контейнера) и провайдером prov_rsa_full
вот на нем и шифруй.
зашифрованное на нем значение еще и непереносимым между компами будет.
то есть украсть его будет без пользы
← →
Dennis I. Komarov © (2010-11-10 13:10) [6]
> Медвежонок Пятачок © (10.11.10 12:54) [5]
Можно конечно и так, но что-то увесисто мне кажется это будет в итоге, т.е. из пушки по даже не по воробьям :) Хотя мыслю понял, дельная. Спасиб!
> Anatoly Podgoretsky © (10.11.10 12:50) [3]
Линк есть, а то кругом только все ломают?
← →
Dennis I. Komarov © (2010-11-10 13:35) [7]
> Медвежонок Пятачок © (10.11.10 12:54) [5]
Я правильно понял твою мысль:
pass xor {privatersakey} ?
← →
Anatoly Podgoretsky © (2010-11-10 13:51) [8]> Dennis I. Komarov (10.11.2010 13:10:06) [6]
http://msdn.microsoft.com правда там стало трудно искать, да и тема не
простая.
← →
Медвежонок Пятачок © (2010-11-10 14:34) [9]Я правильно понял твою мысль:
pass xor {privatersakey} ?
нет.
у юзера винды есть приватный кей и личный сертификат.
и он может зашифровать пароль используя свой собственный пабик кей в качестве получателя сообщения.
и расшифровать обратно его сможет, так как получатель он сам и приватный ключ, которому соответствует использованный паблик кей - у него в наличии.
через например CryptEncryptMessage (если использовать простые высокоуровневые функции криптоапи)
← →
Dennis I. Komarov © (2010-11-10 14:49) [10]Да вот в CryptoAPI я и не хотел лезть, отсюда и XOR выскочил. Ну монстр получиться, хоть и правильный :)
← →
Медвежонок Пятачок © (2010-11-10 14:51) [11]ну если один десяток строк на криптоапи - это монстр, то пиши свои три - четыре десятка строк ксора.
← →
Dennis I. Komarov © (2010-11-10 15:08) [12]
> Медвежонок Пятачок © (10.11.10 14:51) [11]
> три - четыре десятка
Откуда у тебя такой ксор? :)
Вообще согласен... Скомуниздят пороли, а потом крайний,
... хотя кому надо чего-то ломать, если любой сниф их в открытом виде увидит...
← →
Anatoly Podgoretsky © (2010-11-10 15:43) [13]> Dennis I. Komarov (10.11.2010 14:49:10) [10]
А без крипто АПИ вероятнее это ничего не будет стоить.
← →
Медвежонок Пятачок © (2010-11-10 15:45) [14]Откуда у тебя такой ксор? :)
ну я же не спрашиваю почему десяток строк - это у тебя монстр
← →
Dennis I. Komarov © (2010-11-10 16:00) [15]
> Медвежонок Пятачок © (10.11.10 15:45) [14]
Монстр - это не десяток строк, а то что они вызовут...
← →
Anatoly Podgoretsky © (2010-11-10 16:37) [16]
> Откуда у тебя такой ксор? :)
В долг взял
Страницы: 1 вся ветка
Текущий архив: 2011.01.30;
Скачать: CL | DM;
Память: 0.5 MB
Время: 0.006 c
