
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=iso-8859-1">

<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta name=Generator content="Microsoft Word 12 (filtered medium)">

<style>

<!--

 /* Font Definitions */

 @font-face

        {font-family:"Cambria Math";

        panose-1:2 4 5 3 5 4 6 3 2 4;}

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

 /* Style Definitions */

 p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;}

@page Section1

        {size:612.0pt 792.0pt;

        margin:72.0pt 72.0pt 72.0pt 72.0pt;}

div.Section1

        {page:Section1;}

-->

</style>

<!--[if gte mso 9]><xml>

 <o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

 <o:shapelayout v:ext="edit">

  <o:idmap v:ext="edit" data="1" />

 </o:shapelayout></xml><![endif]-->

</head>


<body lang=EN-AU link=blue vlink=purple>


<div class=Section1>


<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D'>A long fixed salt doesn’t help over the simple “:” in any

practical way. The salt <b>must</b> be unique for each user for decent security.<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D'><o:p> </o:p></span></p>


<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D'>Adam<o:p></o:p></span></p>


<p class=MsoNormal><span style='font-size:11.0pt;font-family:"Calibri","sans-serif";

color:#1F497D'><o:p> </o:p></span></p>


<div style='border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt'>


<div>


<div style='border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0cm 0cm 0cm'>


<p class=MsoNormal><b><span lang=EN-US style='font-size:10.0pt;font-family:

"Tahoma","sans-serif"'>From:</span></b><span lang=EN-US style='font-size:10.0pt;

font-family:"Tahoma","sans-serif"'> opensim-dev-bounces@lists.berlios.de

[mailto:opensim-dev-bounces@lists.berlios.de] <b>On Behalf Of </b>Impalah

Shenzhou<br>

<b>Sent:</b> Friday, 16 October 2009 3:44 AM<br>

<b>To:</b> opensim-dev@lists.berlios.de<br>

<b>Subject:</b> Re: [Opensim-dev] open sim UUID and Passwordhash<o:p></o:p></span></p>


</div>


</div>


<p class=MsoNormal><o:p> </o:p></p>


<p class=MsoNormal style='margin-bottom:12.0pt'>This comes from

UserManagerBase.AddUser (0.6.6):<br>

<br>

string md5PasswdHash = Util.Md5Hash(Util.Md5Hash(password) + ":" +

String.Empty);<br>

<br>

The salt should be where String.Empty is.<br>

<br>

I think it doesn't change in the most recent versions, so the "create

user" method of the console (both standalone and ugaim) are unsecure by

default.<br>

<br>

<br>

Anyway, I agree with Melanie and Adam that the salt is needed for improving

security, if not a random salt every time you create an user, at least a long

and secret unique salt.<br>

<br>

Greetings<br>

<br>

<br>

<o:p></o:p></p>


<div>


<p class=MsoNormal>2009/10/16 Frisby, Adam <<a

href="mailto:adam@deepthink.com.au">adam@deepthink.com.au</a>><o:p></o:p></p>


<p class=MsoNormal>+1 to Melanie, that code is *not* secure. It is salted with

a ":" but that's a fixed known salt.<br>

<br>

This is what I suggest:<br>

<br>

$passwordSalt = md5(time() . utime() . mt_rand(0,mt_getrandmax())); // or any

other good random source<br>

$passwordHash = md5(md5($password) . ':' . $passwordSalt);<br>

<br>

$passwordSalt should be unique among your database (very likely with the above

code); if there are duplicates, then it allows dictionary attacks to be done,

the more duplicates, the more effective it is.<br>

<span style='color:#888888'><br>

Adam</span><o:p></o:p></p>


<div>


<div>


<p class=MsoNormal><br>

> -----Original Message-----<br>

> From: <a href="mailto:opensim-dev-bounces@lists.berlios.de">opensim-dev-bounces@lists.berlios.de</a>

[mailto:<a href="mailto:opensim-dev-">opensim-dev-</a><br>

> <a href="mailto:bounces@lists.berlios.de">bounces@lists.berlios.de</a>] On

Behalf Of Melanie<br>

> Sent: Thursday, 15 October 2009 4:14 PM<br>

> To: <a href="mailto:opensim-dev@lists.berlios.de">opensim-dev@lists.berlios.de</a><br>

> Subject: Re: [Opensim-dev] open sim UUID and Passwordhash<br>

><br>

> Please don't use that code. It creates unsalted hashes, which are<br>

> not secure.<br>

> The "" should be a ranndom salt, stored in the passwordSalt

field in<br>

> the DB. If that is blank, you're running a very insecure system<br>

><br>

><br>

> Melanie<br>

><br>

><br>

> Rich White wrote:<br>

> > here is the PHP code - $password_hash = md5(md5($password) .

":"<br>

> ."");<br>

> ><br>

> > an md5 hash of an md5 hash<br>

> ><br>

> > =====<br>

> ><br>

> > 2009/10/15 Márcio Cardoso <<a href="mailto:marciomaiden@gmail.com">marciomaiden@gmail.com</a>>:<br>

> >> Good night,<br>

> >><br>

> >> will be possible that someone could help me with 2 problems I

have?<br>

> I'm<br>

> >> trying to create a stored procedure in mysql to add users, but do<br>

> not know<br>

> >> how UUID  is generated. anyone have any idea how this

happens?<br>

> Another<br>

> >> problem is how is the encoding of the password.<br>

> >><br>

> >> The ideal was to have access to the code that  opensim uses

to add<br>

> avatars.<br>

> >> but I got tired of looking and nothing. I thank you for your

help.<br>

> >><br>

> >> Greetings,<br>

> >><br>

> >> Márcio Cardoso<br>

> >><br>

> >> _______________________________________________<br>

> >> Opensim-dev mailing list<br>

> >> <a href="mailto:Opensim-dev@lists.berlios.de">Opensim-dev@lists.berlios.de</a><br>

> >> <a href="https://lists.berlios.de/mailman/listinfo/opensim-dev"

target="_blank">https://lists.berlios.de/mailman/listinfo/opensim-dev</a><br>

> >><br>

> >><br>

> > _______________________________________________<br>

> > Opensim-dev mailing list<br>

> > <a href="mailto:Opensim-dev@lists.berlios.de">Opensim-dev@lists.berlios.de</a><br>

> > <a href="https://lists.berlios.de/mailman/listinfo/opensim-dev"

target="_blank">https://lists.berlios.de/mailman/listinfo/opensim-dev</a><br>

><br>

> _______________________________________________<br>

> Opensim-dev mailing list<br>

> <a href="mailto:Opensim-dev@lists.berlios.de">Opensim-dev@lists.berlios.de</a><br>

> <a href="https://lists.berlios.de/mailman/listinfo/opensim-dev"

target="_blank">https://lists.berlios.de/mailman/listinfo/opensim-dev</a><br>

_______________________________________________<br>

Opensim-dev mailing list<br>

<a href="mailto:Opensim-dev@lists.berlios.de">Opensim-dev@lists.berlios.de</a><br>

<a href="https://lists.berlios.de/mailman/listinfo/opensim-dev" target="_blank">https://lists.berlios.de/mailman/listinfo/opensim-dev</a><o:p></o:p></p>


</div>


</div>


</div>


<p class=MsoNormal><o:p> </o:p></p>


</div>


</div>


</body>


</html>