Недавно я написал этот фрагмент кода:
$radius = radius_auth_open();
radius_add_server($radius, $serverIP, $port_no, 'secret', 5, 3);
radius_create_request($radius, RADIUS_ACCESS_REQUEST);
radius_put_attr($radius, RADIUS_USER_NAME, $username);
radius_put_attr($radius, RADIUS_USER_PASSWORD, $password);
$result = radius_send_request($radius);
switch ($result)
{
case RADIUS_ACCESS_ACCEPT:
// etc...
И мой var $password вообще не зашифрован, на самом деле, если я зашифрую его с помощью password_hash(), радиус не узнает его.
Таким образом, мой вопрос:
Может ли сниффер подобрать этот пароль? Или radius_send_request уже зашифровывает его из-за параметра RADIUS_USER_PASSWORD?
РЕДАКТИРОВАТЬ:
Я перепутал термины хэш и шифрование.
Radius запутывает пароль, если ему задан атрибут параметра RADIUS_USER_PASSWORD. Этого достаточно для моей системы.
Спасибо!
password_hash()
хеширует строку - person RiggsFolly   schedule 28.06.2017radius_send_request
делает с данными, прежде чем отправить их на сервер Radius, или вы предполагали, что все отправляется на сервер в виде простого текста? Если вы не знакомы с протоколом или функциями, которые вы используете, может быть разумно убедиться, что ваши предположения верны, прежде чем делать такие вещи, как случайное хеширование паролей. - person Mjh   schedule 28.06.2017