| |
|
|
| | А какой наилучший способ авторизации чтобы никто не взломал, и как сделать так чтобы броузер не сохранял пароль который ввел пользователь ка это иногда бывает.
Что такое SSL? | |
| |
|
|
| |
|
|
| |
для: vquery
(30.03.2007 в 00:21)
| | | Хм. Чтобы браузер не сохранял пароль введенный, если я правильно понял вопрос, нужно просто не использовать куки. Вот и все | |
| |
|
|
| |
|
|
| |
для: Sl
(30.03.2007 в 02:48)
| | | А есть ли минусы в авторизации с использованием только сессий? | |
| |
|
|
| |
|
|
| |
для: vquery
(30.03.2007 в 00:21)
| | | >А какой наилучший способ авторизации чтобы никто не взломал,
Как только узнаете - расскажите остальным. Тогда абсолютно все сразу начнут им пользоваться. | |
| |
|
|
| |
|
|
| |
для: vquery
(30.03.2007 в 00:21)
| | | 1) о сохранении паролей... Чтобы их не сохраняли - вообще не должно их быть =)))) юзеру инфа об опасности взлома до лампады - он будет делать так, как удобно ЮЗЕРУ - не в браузере, так в текстовом файле каком-нить
2) наилучший способ - не наилучший, но все же некоторое препятствие для брутфорсера - заставьте юзеров использовать ники и пасы с длинной не менее 50 символов - ни один брутик не взломает - быстрее Вы состаритесь и коньки отбросите, чем подберется пасс
3) не используйте ТОЛЬКО стандартные алгоритмы шифрования логин-пасов в БД - добавляйте что-нить и от себя + скрипты шифруйте (я про ZendGuard и аналоги) - это поможет защитить авторизованные области от входа, если вдург получен прямой доступ к БД или просмотру текстов скриптов (такое тоже бывает)
а немного о способах взлома...
- перехват сессии - етого достаточно, чтобы перехватить управление авторизавонной частью и провести те или иные изменения
- социальный хаккинг - при помощи общения с носителем информации так или иначе выудить необходимую информацию (и это необязательно сразу пасс - достаточно иногда узнать, что человек без ума от своей псины и кличку этой собаки - достаточно высокая вероятность, что пасс - кличка животины и т.п.) - сюда же можно причислить паяльник и утюг ;)
- тупой подбор (он же брутфорсер) - совершенно бесполезен при составлении паролей, которые не являются словами (в той или иной раскладке) и с длиной 10+ символов
- взлом хостинга в целом - думаю, что всем понятно, что взломав рута сервака абсолютно необязательно ломать сайт, т.к. всяк доступ УЖЕ намного выше... а записать напрямую в базу шифрованный СВОЙ пасс на юзера-админа можно спокойно (а алгоритм и логику можно выявить из текстов скриптов и анализа базы)
и т.д...... | |
| |
|
|
|
