OpenMP Using unsafe hashing function SHA256_PassHash

Merlox · 27. Februar 2023

Ich mal wieder..

Was muss ich jetzt hier verändern? Ich kann mich nicht mehr einloggen...

Code

[Warning] Using unsafe hashing function SHA256_PassHash

login püublic

Code

    if(dialogid == D_LOGIN)
    {
        if(response)
        {
            new hash[65];
            if(strlen(inputtext) > 0)
            {
                SHA256_PassHash(inputtext, SpielerInfo[playerid][pSalt], hash, 64);
                if(!strcmp(hash, SpielerInfo[playerid][pPassword]))
                {
                    new query[128];
                    format(query, sizeof(query), "SELECT * FROM `spieler` WHERE `name` = '%s' LIMIT 1", GetName(playerid));
                    mysql_function_query(MySQLConnection, query, true, "OnPlayerLogin", "d", playerid);
                    return true;
                }
                else
                {
                    Failpw[playerid] += 1;
                    if(Failpw[playerid] == 4) { Kick(playerid); }
                    ShowPlayerDialog(playerid,D_LOGIN,DIALOG_STYLE_PASSWORD,"Login","Das Passwort ist nicht korrekt! Bitte gib nun dein richtiges Passwort ein:","Login","Abbrechen");
                    return true;
                }
            }
            else ShowPlayerDialog(playerid,D_LOGIN,DIALOG_STYLE_PASSWORD,"Login","Willkommen zurück, logge dich nun mit deinem Passwort ein.","Login","Abbrechen");
        }
        else Kick(playerid);
    }

Alles anzeigen

Kaliber · 27. Februar 2023

Zitat von Merlox

Was muss ich jetzt hier verändern?

Steht doch in der Warnung, kein SHA256 verwenden.

Hatte mal bisschen hier darüber mehr erklärt: Hash Verfahren genauer erklärt

Als Fazit, nutze BCrypt: https://github.com/Sreyas-Sreelal/samp-bcrypt

PS: Verwende in MySQL Querys, niemals %s. Wurde dafür extra %q eingeführt, oder du nutzt mysql_format mit %e

Merlox · 27. Februar 2023

und wie müsste es dann mit bcrypt aussehen muss ich da viel ändern wo man gleich neues login system bauen kann ?

**Andosius** · 27. Februar 2023

Du könntest das Hash-Ergebnis und dein bisheriges Passwort in der Konsole ausgeben.

Damit kannst du herausfinden, ob du überhaupt ein sha256 Ergebnis zurück erhältst und auch, ob es vielleicht eine Veränderung des Formats gab.

Dann kannst du deinen Code entsprechend anpassen.

Vom Server Source Code aus sehe ich keine Veränderung. Die Fehlermeldung kannst du ignorieren, falls du bei sha256 bleiben möchtest.

Merlox · 27. Februar 2023

Zitat von Andosius

Du könntest das Hash-Ergebnis und dein bisheriges Passwort in der Konsole ausgeben.
Damit kannst du herausfinden, ob du überhaupt ein sha256 Ergebnis zurück erhältst und auch, ob es vielleicht eine Veränderung des Formats gab.
Dann kannst du deinen Code entsprechend anpassen.

Vom Server Source Code aus sehe ich keine Veränderung. Die Fehlermeldung kannst du ignorieren, falls du bei sha256 bleiben möchtest.

das wollte ich auch erst aber prob ist wenn ich mein pw eingebe sagt er immer falsch bei normal samp server geht es

**Andosius** · 27. Februar 2023

Lass den Datenbank-Hash und den berechneten Hash ausgeben.

Eventuell gibt es dort einen Unterschied, der nicht auf den ersten Blick auffällt.

Du solltest aber bedenken, dass sha256 dem heutigen Standard nicht genügt. Deutlich besser wäre es, wie Kaliber schon gesagt hat, bcrypt zu verwenden.

Das Problem bei MD5 und sha256 ist, dass es hierfür massenweise Datenbanken mit Hashes gibt und Passwörter beliebiger Länge eigentlich nicht mehr wirklich sicher sind.

Merlox · 27. Februar 2023

Zitat von Andosius

Lass den Datenbank-Hash und den berechneten Hash ausgeben.
Eventuell gibt es dort einen Unterschied, der nicht auf den ersten Blick auffällt.

Du solltest aber bedenken, dass sha256 dem heutigen Standard nicht genügt. Deutlich besser wäre es, wie Kaliber schon gesagt hat, bcrypt zu verwenden.

Das Problem bei MD5 und sha256 ist, dass es hierfür massenweise Datenbanken mit Hashes gibt und Passwörter beliebiger Länge eigentlich nicht mehr wirklich sicher sind.

Alles anzeigen

ja da habt ihr beiden ja auch recht nur zum testen local ist es ja grade wurst deswegen nervt es mich ja das ich mich nicht mehr einloggen kann auch neuen account erstellen geht aber nach /q und login wieder der selbe mist

muss ich was in der config abschalten nutz openmo eigne sachen noch mit der config habe ich halt noch nicht so den durchblick..

Code

{
    "announce": true,
    "artwork": {
        "cdn": "",
        "enable": true,
        "models_path": "models"
    },
    "chat_input_filter": true,
    "enable_query": true,
    "game": {
        "allow_interior_weapons": true,
        "chat_radius": 200.0,
        "death_drop_amount": 0,
        "gravity": 0.008,
        "group_player_objects": false,
        "lag_compensation_mode": 1,
        "map": "",
        "mode": "",
        "nametag_draw_radius": 70.0,
        "player_marker_draw_radius": 250.0,
        "player_marker_mode": 1,
        "time": 12,
        "use_all_animations": true,
        "use_chat_radius": true,
        "use_entry_exit_markers": true,
        "use_instagib": true,
        "use_manual_engine_and_lights": true,
        "use_nametag_los": true,
        "use_nametags": true,
        "use_player_marker_draw_radius": false,
        "use_player_ped_anims": false,
        "use_stunt_bonuses": true,
        "use_vehicle_friendly_fire": false,
        "use_zone_names": false,
        "vehicle_respawn_time": 10000,
        "weather": 10
    },
    "language": "German",
    "logging": {
        "enable": true,
        "log_chat": true,
        "log_cookies": false,
        "log_deaths": true,
        "log_queries": false,
        "log_sqlite": false,
        "log_sqlite_queries": false,
        "timestamp_format": "[%Y-%m-%dT%H:%M:%S%z]",
        "use_prefix": true,
        "use_timestamp": true
    },
    "max_bots": 20,
    "max_players": 50,
    "name": "open.mp server",
    "network": {
        "acks_limit": 3000,
        "aiming_sync_rate": 30,
        "allow_037_clients": true,
        "bind": "",
        "cookie_reseed_time": 300000,
        "in_vehicle_sync_rate": 30,
        "limits_ban_time": 60000,
        "message_hole_limit": 3000,
        "messages_limit": 500,
        "minimum_connection_time": 0,
        "mtu": 576,
        "multiplier": 10,
        "on_foot_sync_rate": 30,
        "player_marker_sync_rate": 2500,
        "player_timeout": 10000,
        "port": 7777,
        "public_addr": "",
        "stream_radius": 200.0,
        "stream_rate": 1000,
        "time_sync_rate": 30000,
        "use_lan_mode": false
    },
    "password": "",
    "pawn": {
        "legacy_plugins": [
            "sscanf",
            "mysql",
            "pawncmd",
            "streamer", 
            "teamspeak-connector"
        ],
        "main_scripts": [
            "sel"
        ],
        "side_scripts": []
    },
    "rcon": {
        "allow_teleport": true,
        "enable": true,
        "password": "adminundso"
    },
    "sleep": 5.0,
    "use_dyn_ticks": true,
    "website": "deinedomain.de"
}

Alles anzeigen

**Andosius** · 28. Februar 2023

Bruder du musst auch schon alles lesen, sonst kann man dir nicht helfen 😂

Vergiss sha256 und bcrypt für eine Sekunde.

Was kommt als Ergebnis raus, wenn du

Code

print(hash);
print(SpielerInfo[playerid][pPassword]);

Über das if(!strcmp(…)) setzt?

Sehen beide Zeilen identisch aus?

Merlox · 28. Februar 2023

wenn dann mit printf und ja stimmt überein und denoch geht es nicht und dein bruder bin ich auch nicht

glaube ehr das du nicht verstehst was ich meine wenn ich normal mit einen sa-mp server das ganze starte geht auch alles auch login aber halt bei diesen openmp server nicht habe auch keine lust mehr lass den bums sein für so ne alte gurke lohnt sich es einfach nicht wie man auch wieder merkt aber danke euch denoch close