| |
|
|
| | Я понимаю что неохота вносить непонятные изменения в форум, которые понадобятся не всем, но я считаю что это очень важно и поэтому прошу подсказать, как сделать так, чтоб пароли не хранились в открытом виде в базе? как их шифровать и при обращении расшифровывать.
P.S. А планируется у вас раздел или статья посвященная работы php с граф. файлами? | |
| |
|
|
| |
|
|
| |
для: Artem S.
(10.10.2004 в 21:10)
| | | "Непонятные" изменения :))) будут обязательно внесены в форум в следующих версиях вместе с возможностью назначения пользователю нового пароля - это действительно распространнённая практика, позволяющая обезопасить пароли пользователей, которые они имеют привычку использовать в нескольких местах. Обычно, в базе пароли шифруются при помощи встроенной функции PASSWORD MySQL:
INSERT INTO base VALUES (name, PASSWORD(password))
|
в дальнейшем эта функция используется для сравнения:
SELECT password=PASSWORD(password) FROM base
|
| |
| |
|
|
| |
|
|
| |
для: cheops
(10.10.2004 в 21:33)
| | | Продолжим дискуссию :)
На счет паролей для пользователя.... и генерации новых паролей.
Тут вот что нужно учитывать.
Хорошая защита всегда налагает определенные обязательсва на пользователей. Чем лучше защита, тем больше и сильнее требования к ним (к пользователям). А значит меньше удобств и больше обязательств.
Форум - это совсем не банковская система и не содержит никакой конфиденциальной информации. Это скорее "место для развлечения"
Вот, например, генерация новых паролей. Мое мнение - пользователь сам должен придумывать себе пароль. Даже если он будет простой. Ну и что.
Зато посетитель будет его помнить и сможет легко пользоваться форумом.
А если это будет генерируемый пароль, то фиг его просто так запомнишь. Нужно его (пароль) будет куда то записать и чтобы вспомнить постоянно подсматривать. А это уже "лишние проблемы". И все для того, чтобы посетитить еще одно место развлечения, коих в инете - пруд пруди.
А если шифровать пароли в базе, то тогда уж обратимым шифрованием. Чтобы если человек забыл пароль, то не "заставлять" его учить новый.
PS: генерация паролей нужна, но как опция, для желающих. | |
| |
|
|
| |
|
|
| |
для: glsv (Дизайнер)
(10.10.2004 в 23:45)
| | | Ну не совсем так... пускай посетитель сам выбирает пароль, но если он его забудет, то администратор генерирует ему новый (а не подсматривает старый), который посетитель может заменить в любой момент в портрете. Это на сам деле очень распрастранённая практика, например в почтовых серверах - вот забудь ради интереса пароль к своему секретному ящику :))) и спроси об этом администратора - он пришлёт тебе новый пароль, который если ты захочешь можешь поменять. | |
| |
|
|
| |
|
|
| |
для: cheops
(11.10.2004 в 00:01)
| | | >вот забудь ради интереса пароль к своему секретному ящику :))) и спроси об этом администратора - он пришлёт тебе новый пароль,
Забыл..., прислать не прислал, но предложил сменить :)
А вот когда то тоже забывал - присылали старый. Только не помню где именно. Больно это долго проверять - пароли забывать :)
В общем главная проблема - //администратор....(а не подсматривает старый),//
Ну ладно - пусть админ будет врагом форумчан :) При таком раскладе - убедили :)
Тогда используем необратимое шифрование. А раз так, то все равно нужно генерировать новый пароль и отсылать на ящик посетителя. Ничего то здесь не сделаешь :(
А если ящика нет - то фиг ему, а не пароль :) | |
| |
|
|
| |
|
|
| |
для: Artem S.
(10.10.2004 в 21:10)
| | | >P.S. А планируется у вас раздел или статья посвященная работы php с граф. файлами?
А что именно? Генерировать картинку с числами, чтобы пользователь их вводил и тем сам осуществлялась защита.
Такой статьи пока нет, но вот я давно уже в форум кидал просто про GDlib статейка (по ссылке). Мы сами этот скрипт уже переработали - это просто небольшой пример.
http://www.softtime.ru/forum/read.php?id_forum=1&id_theme=145 | |
| |
|
|
