забавное обсуждение...

Это вот... это сильно
правда, без иронии, респект
хотя на самом деле там всё несколько не так... не так безоблачно... но это в данном случае не важно


а это вообще роскошно сказано... потому что это правда

===
есть примерно стопиццот способов хакнуть сайт/форум
и все стопиццот способов валяются в сети, как текстом, так и видеоуроками
и среди них способ "получить пару логин/пароль, расковыряв нешифрованный трафик" примерно на стопиццотпервом месте

Несколько лет назад на одном уважаемом форуме я сподвиглась черкнуть небольшой обзорчик по взломам
Ахрунг: многа букафф! ссылка: http://vbsupport.org/forum/showpost....49&postcount=5
движок там такой же, как здесь, если захотите читнуть весь топик - найдёте, куда нажать, но там особо читать нечего, в той теме

Суть (для тех, кто ниасилил): вероятность того, что даже школохацкер от полного безделья будет выколупывать пару логин/пароль из трафика, предварительно крякнув роутер в макдональдсе и дождавшись, пока туда забредёт тот, кто надумается логиниться на форум, где у него в личке "сенсетив инфа", стремится к нулю. Не храните в личке то, что относится к категории "сенсетив инфа" (потому что отдельный аккаунт, может, и не уведут, но если будет слита база, доступны будут все тексты, как постов, так и ЛС. Речь не об этом конкретном форуме, речь про "вообще").

Взломы и протоколы живут отдельно друг от друга.

Есть смысл переходить на ХТТПС в двух (трёх) случаях:
- если хостер настолько охренел, что пихает свою рекламу при передаче данных, но тогда нужно менять хостера
- если провайдеры делают то же самое, и юзера начинают жаловаться на "левую" рекламу, вот тут деваться некуда, не советовать же юзерам менять провайдера? - тогда, конечно, спасает только ХТТПС
- был в моей практике один случай, когда совершенно отмороженный провайдер, неизвестно чего обкурившись обчитавшись, вообще рубанул весь трафик по http://, никто никуда попасть не мог, открывались только сайты с https://

=====

а я ведь ждала продолжения... тоже обожаю эту тему...

Смахивает на вольный пересказ какого нибудь "творения", вроде этого :

Вообще тема обещает перерасти в срач, посему удаляюсь.

Только давайте определимся кто пекарь, стоматолог и прочее. А то смахивает на глухого с немым, вон кулхацкеры подтянулись.
Про меня вот тут почитать можно: https://www.linkedin.com/in/andrey-tsvetkov-9b771637/

Резюме замечательное, однако к теме разговора особо отношения не имеет.
Из вышеизложенного я так и не понял, каким образом кто-то может получить доступ к драгоценным паролям Alagert и Kent78rus, если доступ к raceyou.ru будет осуществляться по http, а не https.

https://md5.gromweb.com/?md5=482c811...497ffa98491e38
про rainbow tables продолжать? или у кулхацкера спросите?

В коде выше я даже соли не вижу при хешировании. За сим удаляюсь я из этого треда.

Вроде как в vbulletin используются соленные хеши.

по уму должен, мне лень лезть внутрь исходников, смотреть что конкретно делает функция md5hash() у них.

Но даже если так, соль из кода точно так же достать можно. а дальше или по таблицами или вот к этим ребятам https://github.com/xpn/CUDA-MD5-Crack

А наличие соли делает радужные таблицы бесполезными.

верно, а реверсы на gpu справляются и с солеными хешами.

Я может чего нить не понимаю, но соли я тут не вижу:

Соли нет, дыра в безопасноти ;)

vb_login_username=VVishen&vb_login_md5password=81d c9bdb52d04dc20036dbd8313ed055
хеш: 81dc9bdb52d04dc20036dbd8313ed055
реверс хеша: 1234 мой временный пароль :)

Прикольно, я нашел исходники версии 4.2.2, это 2013 год, думал с того времени починили уже. Ан нет.

Вот skat и Skiminok полюбуйтесь.

А если когда-то были хеши без соли, то бесшовно включить соль уже не получится ;)

Я знаю только html + css, на ваши последние посты я смотрю, как баран на нло :D

Да все как обычно, перепалка и троллинг ))