Mam pytanie z ciekawości o kompetencje moderacji - chyba proste - czy w związku z tym że moderator może kasować, przenosić posty, zmieniac podpisy. Czy moderatorzy mają również dostęp do mojego hasła?
Pozdrawiam.

nie mają - administrator też nie

a zmieniać podpisów moderatorzy nie mogą - tylko admin

Eeee... saxon, nie wiem jak stoisz z phpBB ale nie jest tak do końca.

Administrator forum w opcji ogólnej nie ma dostępu do hasła. Natomiast istnieje X modyfikacji, które mogą pozwolić na:
- zmianę hasła bez zobaczenia poprzedniego;
- sprawdzenie hasła;
- zobaczenie i zmianę hasła.

Do tego zawsze, ale to zawsze do hasła ma administrator konta. Jest zapisane w bazie SQL.

Generalnie jednak zawsze rejestrując się w danym serwisie musisz mieć świadomość, że istnieje grupa osób z dostępem do Twojego hasła.


Crosis

Crosis, ale to phpBB na naszym forum jest z czasów Mieszka I, nie oczekuj po nim za wiele. ;]

Zawsze, jak rozumiem, dotyczy phpBB? Bo w poważnych aplikacjach hasło nigdy nie jest zapisane w bazie SQL (w sposób umożliwiający administratorowi jego zobaczenie). Jeśli w phpBB tak jest, to tylko źle świadczy o phpBB.

Sweet, zdefiniuj przypadek kiedy właściciel bazy danych nie ma możliwości podejrzenia zawartości danego rekordu tej bazy.

Crosis

Nie twierdziłem, że właściciel bazy danych nie ma możliwości podejrzenia zawartości danego rekordu tej bazy. Ma możliwość, ale nie zobaczy w nim hasła użytkownika.

Jednym z najprostszych sposobów jest zastosowanie funkcji haszującej, czyli np. przy moim nicku zapisana jest wartość f("MojeHaslo")="0123456789ABCDEF". Tę wartość ("0123456789ABCDEF") zobaczy administrator, ale na jej podstawie nie może odtworzyć oryginalnego hasła ("MojeHaslo"), bo nieznana jest funkcja odwrotna do f.

Nie znam phpBB, ale gotów byłbym się założyć, że przynajmniej takie proste zabezpieczenie znajduje tam zastosowanie (choćby opcjonalnie).

Ryzyko ewentualnego zakładu nie dawało mi spokoju, więc trochę przyjrzałem się tabeli, w której zapisywane są dane użytkowników w phpBB:

Tables — Table Structure: phpbb_users

a w niej opis pola zawierającego hasło (user_password):



Tak więc nie znajduję podstaw, aby zarzucać phpBB lekkomyślne udostępnianie adminowi haseł użytkowników

Myk jest taki, że bazę możesz sobie ustawić sam. A więc całe to hashowanie hasła jest... cokolwiek niewiele dające - o ile admin to wyłączy i założy jakiekolwiek inne kodowanie.

Co do samego hashowania md5 bez soli, to rainbowtables sobie doskonale radzą. Ćwiczyłem ten algorytm kiedyś na własnym phpBB, kiedy zablokowałem sobie forum. Zrobiłem to łatwo. Zapomniałem jedynego hasła na superadmina, nie mogłem więc nic zrobić (panel był zablokowany odpowiednią modyfikacją). Hasło poszło w 3 minutki

Ale reasumując: wielu administratorów zmienia sposób hashowania haseł, choćby do tego, żeby móc dane hasło przypomnieć

Poza tym, wiele systemów ma hasła zakodowane metodą dwukierunkową, co umożliwia na przykład: odesłanie hasła na maila Również phpbb2 ma moda dającego taką funkcjonalność. A żeby hasło odesłać, należy je przecież... odhashować;)


Crosis

Nie, administrator nie widzi twojego hasła, natomiast ma możliwość jego zmiany bez używania poprzedniego. Może też ingerować we wszelkie ustawienia Twojego profilu itd. Jednym słowem Admin może wszystko i wcale nie jest mu potrzebne do tego Twoje hasło

A jeśli chodzi o moderatorów to wszystko zależy od tego jakie prawa zostały im nadane przez admina

"O ile admin to wyłączy" to nie to samo co "zawsze".



Co nie zmienia faktu, że admin nie ma dostępu do hasła użytkowników.



Jak najbardziej, ale pytanie w pierwszym poście brzmiało:

Nie, moderatorzy nie mają dostępu do hasła... ale mogą mieć nadane prawo edycji kont, ustawień czy zmiany haseł

Faktycznie, pytanie było tylko o moderatorów, admina saxon dodał w kolejnym poście. Dlatego dodam, że ani moderatorzy ani admin nie mają dostępu do hasła, ewentualnie poza jakimiś szczególnymi przypadkami specjalnej konfiguracji.

Tak na marginesie, jako że zawsze ciekawiła mnie skuteczność "rainbow tables". Skoro łatwo Ci poszło odzyskanie hasła, to czy mógłbyś "dla sportu" odzyskać hasła z następujących wartości MD5-hash (bez soli):



Te trzy wartości odpowiadają trzem hasłom o różnej sile, od najprostszego poprzez średnio złożone do najbardziej złożonego.

Oczywiście to prośba zupełnie niezobowiązująca, tym bardziej gdyby odzyskanie haseł wymagało większych nakładów pracy niż kilka minut albo jakiś nakładów finansowych (rejestracja w płatnym serwisie).