it-swarm.com.de

Wie funktioniert die Funktion "Eindeutige Authentifizierungsschlüssel und -salze"?

Ich versuche einige Informationen darüber zu finden, wie die Authentifizierungsschlüssel und Salze in WordPress funktionieren, aber leider konnte ich nichts Nützliches finden. Alles, was ich bekam, war, dass die Schlüssel zufällig sein sollten, lang und voneinander verschieden. Sie sollten in der wp-config.php-Datei festgelegt werden, da sie "die Sicherheit der Site erheblich erhöhen", indem sie "eine bessere Verschlüsselung der in den Cookies des Benutzers gespeicherten Informationen gewährleisten".

Ich habe tatsächlich einige Fragen, nicht nur eine, aber ich denke, sie sollten in einem Thread sein, weil sie eng miteinander verwandt sind.

  1. Was bedeutet die "bessere Verschlüsselung von Informationen" genau? Ich meine im Gegensatz zur Situation ohne die Schlüssel.

  2. Warum brauche ich 8 Schlüssel und nicht nur einen? Gemessen an den Namen - AUTH, SECURE_AUTH, LOGGED_IN, NONCE - sollten sie vier Cookies setzen. Eins und zwei für die Authentifizierung über http- und https-Protokolle, drei für die Protokollierung und 4 ... Ich habe keine Ahnung, wofür das sein würde.

  3. Warum brauche ich Schlüssel und Salze? Würde das nicht nur für Schlüssel funktionieren? Sie sind ziemlich lang und zufällig. Wozu dienen in diesem Fall zusätzliche Salze?

  4. Ich habe eine andere Frage gelesen (ich erinnere mich nicht genau, wo das war) und es gab die Information, dass wenn Sie die Schlüssel und Salze aus der wp-config.php-Datei löschen, sie in der WordPress-Datenbank unter der wp_options-Tabelle gespeichert werden. Und das stimmt, ich habe das getestet, die Schlüssel wurden erstellt und in den Tisch gelegt. Aber was würde passieren, wenn ich die (verschiedenen) Schlüssel in der wp-config.php-Datei wiederherstellen würde? Werden die beiden Schlüssel aus der wp-config.php-Datei und der Datenbank wie vorgeschlagen zu einem zusammengefasst oder wird nur einer von ihnen verwendet, wenn ja, welcher?

  5. Was passiert eigentlich, wenn ein Benutzer mein Blog besucht? Er hat ein Konto, sieht sich die Hauptseite an und meldet sich beim System an. Und wie geht es weiter? Ich meine, was passiert in dieser Zeit mit den Schlüsseln, Cookies (und allem anderen)? Wie erfolgt die genaue Anmeldung bei einer WordPress-Website?

  6. Was ist die beste Größe der Schlüssel? Die Standardeinstellung ist 64 Zeichen. Gibt es hier ein Limit?

  7. Kann ich beliebige Zeichen in die Tasten einfügen (natürlich ohne ')? Kann ich fremdsprachige Zeichen verwenden, zum Beispiel ó oder Ż? Was ist mit © und anderen?

1
  1. Grundsätzlich sind sie Haschsalze. Sie werden verwendet, um die Ergebnisse von Hashing weniger vorhersehbar zu machen. Informationen zu Salzen finden Sie unter https://en.wikipedia.org/wiki/Salt_ (Kryptographie) .

  2. AUTH wird für das Authentifizierungs-Cookie/wp-admin verwendet, SECURE_AUTH für SSL, LOGGED_IN für die Identifizierung des "Frontends" der Site. NONCE wird für die Nonces verwendet, die WordPress zum Schutz vor CSRF-Angriffen generiert.

  3. Der SCHLÜSSEL und das SALZ für jedes Schema werden kombiniert, um das tatsächlich verwendete Salz herzustellen. Die Funktion wp_salt sucht hier nach doppelten Zeichenfolgen, um sicherzustellen, dass diese nicht identisch sind, und generiert gegebenenfalls zufällige Zeichenfolgen.

  4. WordPress verwendet bevorzugt die Werte in der Datei wp-config.php. Wenn sie nicht verfügbar sind oder Duplikate voneinander sind, werden zufällige Daten generiert und in der Datenbank gespeichert. Die in der wp-config.php definierten Werte haben jedoch Vorrang.

  5. Wenn Sie sich anmelden, wird das Passwort bestätigt. Danach werden die Cookies generiert. Diese Cookies enthalten verschiedene Informationen, die Sie für zukünftige Besuche auf der Website authentifizieren. Der Wert im Cookie ändert sich aufgrund vieler Faktoren, einschließlich der Ablaufzeit, Ihres Benutzernamens, Ihres Passworts usw. Grundsätzlich ist das Cookie ein Benutzername und ein Passwort in einem. Diese Daten werden mit den Authentifizierungsschlüsseln und Salt gehasht. Bei zukünftigen Besuchen wird das Cookie mit der Anfrage gesendet und WordPress validiert die darin enthaltenen Informationen. Dies beweist, dass Sie Sie sind und dass Sie angemeldet sind. Der Wert im Cookie ist sicher, da er nicht generiert werden kann, ohne die verschiedenen Salze sowie alle anderen Informationen zu kennen.

  6. Ihre Größe ist wirklich unerheblich. Sie sollten lang und zufällig sein. Es gibt keine Begrenzung, aber es gibt einen Punkt, an dem die Renditen sinken. Länger ist besser, braucht aber mehr Zeit zum Haschieren. Nach ungefähr 120 Zeichen ist es eine Art Overkill.

  7. Ja. Sie können beliebige Daten verwenden. Es ist egal, was es ist, solange es wirklich zufällig ist. Beliebige Binärzeichenfolge reicht aus. Leitungsrauschen.

4
Otto