| |
|
|
| | В куках вашего форума хранится незашифрованный пароль, может лучше если бы сохранялся md5 хэш... а то если в клубе или у друзей сидишь, то пароль светить как-то не хочется | |
| |
|
|
| |
|
|
| |
для: Bronepoz[)
(07.01.2006 в 13:54)
| | | Если хранить в куках хэш - то потеряется смысл пароля. Так хацкер каким либо путем получит хэш пользователя, а зайти на форум не сможет - надо еще расшифровать. А так поставит хэш в кукис и зайдет. | |
| |
|
|
| |
|
|
| |
для: PantiL
(07.01.2006 в 16:08)
| | | Пароль в куках легче запомнить с первого взгляда, а хэш труднее.
А кукисы ваше слабое место, надо просто у чужих нажимать выход.
Если хакер получит куку, то уже не будет иметь значение пароль там или его хэш. | |
| |
|
|
| |
|
|
| |
для: himic
(07.01.2006 в 17:12)
| | | Вот я протупил, разницы то действительно нет...... :) Да если злодей получит куку - то какая разница что там. | |
| |
|
|
| |
|
|
| |
для: himic
(07.01.2006 в 17:12)
| | | Разница в том, что единицы из хакеров имеют навык и софт для подбора md5-хэша. Учите мат. часть, md5 невозможно расшифровать, его ломают исключительно методом перебора. | |
| |
|
|
| |
|
|
| |
для: Bronepoz[)
(07.01.2006 в 13:54)
| | | По правилам безопасного веб-программинга пароль в голом виде не должен фигурировать НИГДЕ.
[поправлено модератором] | |
| |
|
|
| |
|
|
| |
для: DDK
(07.01.2006 в 19:22)
| | | . | |
| |
|
|
| |
|
|
| |
для: Bronepoz[)
(07.01.2006 в 13:54)
| | | Есть такое дело... но md5() вряд ли подойдёт, так как в базе пароль уже зашифрован не обратимо при помощи другого метода. Нужно наверное зашифровать пароль, например, при помощи симметричного шифрования, но руки никак не дойдут. Пароли на форуме не дают никакой практически никакой власти злоумышленику, поэтому их кража является является скорее условной задачей. | |
| |
|
|
| |
|
|
| |
для: cheops
(07.01.2006 в 20:06)
| | | Сдается мне, что если у человека хватило ума спереть куки, то ему глубоко по барабану хэш там или пароль - придется потратить лишних 2 минуты времени. | |
| |
|
|
| |
|
|
| |
для: Loki
(08.01.2006 в 00:29)
| | | Дело в том что большинство пользователей не любят заводить разные пароли для e-mail, ICQ, доступ для FTP наконец. А берут один и тот же пароль. Поэтому узнав один пароль, можно наделать много делов | |
| |
|
|
| |
|
|
| |
для: Евгений Петров
(08.01.2006 в 00:36)
| | | Справедливо. Но, согласитесь, это не проблема форума. Если вы храните ключ под ковриком, глупо предъявлять претензии к производителю коврика:) | |
| |
|
|
| |
|
|
| |
для: Евгений Петров
(08.01.2006 в 00:36)
| | | Хм... но всё же для форумов обычно заводят другой пароль, так как следует понимать, что добрый дядя администратор может их не шифровать в базе данных, а набрать и пойти по e-mail, FTP-доступам и так далее... Такие пароли куда-папало вводить, всё равно что в газете печатать. Причём последнее безопаснее, так как злоумышленики вряд ли их читают. | |
| |
|
|
| |
|
|
| |
для: cheops
(08.01.2006 в 00:42)
| | | Да но почему бы не предоставить глупым пользователям хоть какой нибудь шанс? Тем более что сделать это не тяжело | |
| |
|
|
| |
|
|
| |
для: Евгений Петров
(08.01.2006 в 00:57)
| | | Нет, то что пароли следует шифровать, в этом нет никакого сомнения, мы лишь хотели подчеркнуть, что защита зачатую носит косметический характер, в противном случае она была бы давно реализована. | |
| |
|
|
| |
|
|
| |
для: cheops
(07.01.2006 в 20:06)
| | | сворованные куки дабт возможность писать сообщения от другого юзера...
--------------------------------
Можно такой вариант:
в куках: md5($pass);
в базе md5(md5($pass)); | |
| |
|
|
