Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
PHP Puzzles. Авторы: Кузнецов М.В., Симдянов И.В. C++. Мастер-класс в задачах и примерах. Авторы: Кузнецов М.В., Симдянов И.В. PHP на примерах (2 издание). Авторы: Кузнецов М.В., Симдянов И.В. MySQL на примерах. Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель MySQL 5. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Форум PHP

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум (новые сообщения вниз) Структурный форум

тема: Basic аутентификация или сессии что лучше

Сообщения:  [1-10]    [11-20]   [21-30]  [31-32] 

 
 автор: Николай2357   (20.12.2009 в 20:22)   письмо автору
 
   для: Саня   (20.12.2009 в 20:16)
 

А я очень замечаю. Причем на столько, что нервов нехватает. Это наверное еще от каналов зависит и провайдера. Но факт есть факт. В любом случае на шифрование страницы требуется время.

  Ответить  
 
 автор: Саня   (20.12.2009 в 20:16)   письмо автору
 
   для: Николай2357   (20.12.2009 в 20:10)
 

В смысле про траффик и медлительность.

> Ну ведь реально медленный протокол, неужели и это будет оспариваться....
Что-то я не замечаю этих эффектов при работе с gmail.

  Ответить  
 
 автор: Николай2357   (20.12.2009 в 20:10)   письмо автору
 
   для: Саня   (20.12.2009 в 20:03)
 

В смысле неприватные?))) Ну ведь реально медленный протокол, неужели и это будет оспариваться....

  Ответить  
 
 автор: Саня   (20.12.2009 в 20:03)   письмо автору
 
   для: Николай2357   (20.12.2009 в 19:59)
 

Откуда такие данные?

  Ответить  
 
 автор: Николай2357   (20.12.2009 в 19:59)   письмо автору
 
   для: Саня   (20.12.2009 в 19:39)
 

Нерентабельность в скорости и трафике, я же написал. Если данные не приватны, то нет смысла пользовать такой неповоротливый протокол.

  Ответить  
 
 автор: Николай2357   (20.12.2009 в 19:57)   письмо автору
 
   для: Саня   (20.12.2009 в 19:18)
 

Вот другой алгоритм:
С. генерируем случайную соль и запоминаем (в БД, файлы, сессию... куда угодно на сервере) обозначив принодлежность к логину. Её же передаем клиенту.
К. вводит пароль и отправляет серверу хеш-функция(соль и хеш-функция(пароль))
С. смотрит соответствие отпечатка хеш-функция(соль конкретного юзера и хеш пароля из базы) Сразу после этой операции удаляем соль из памяти, чтобы нельзя было воспользоваться ей второй раз.

Вот и вся коллизия.

  Ответить  
 
 автор: Саня   (20.12.2009 в 19:39)   письмо автору
 
   для: Николай2357   (20.12.2009 в 19:00)
 

> Использовать HTTPS для сокрытия пароля как минимум нерентабельно
В чём же нерентабельность?

Так же не следует забывать, что шифруются и передаваемые страницы, которые могут содержать приватный контент.

  Ответить  
 
 автор: Саня   (20.12.2009 в 19:18)   письмо автору
 
   для: Николай2357   (20.12.2009 в 19:11)
 

Коллизия — это строка (или не строка), не совпадающая с исходной, и дающая такой же хеш как и исходная строка. Вероятность нахождения этой строки микроскопическая.

> Зачем именно в явном виде хранить?
Вот примерный алгоритм использования изменяемых солей:

С. генерируем случайную соль и запоминаем (в БД, файлы, сессию... куда угодно на сервере)
К. вводит пароль и отправляет серверу соль и хеш-функция(соль+пароль)
С. смотрит что за соль и есть ли она у него в памяти. Если есть, достаём по введённому логину пароль и сравниваем хеш-функция(соль из памяти + пароль из базы). Сразу после этой операции удаляем соль из памяти, чтобы нельзя было воспользоваться ей второй раз.

  Ответить  
 
 автор: Николай2357   (20.12.2009 в 19:11)   письмо автору
 
   для: Саня   (20.12.2009 в 19:10)
 

Ну а чем хэш пароля не коллизия? Зачем именно в явном виде хранить?

  Ответить  
 
 автор: Саня   (20.12.2009 в 19:10)   письмо автору
 
   для: Николай2357   (20.12.2009 в 19:00)
 

Если соль не меняется при каждой аутентификации, то тогда нет смысла городить этот огород. Опять же, снифаем соль, хеш. Подставляем эти данные в форму и вуаля!

Но если соль изменяется, тогда обязательно нужно знать пароль. Или любую другую строку, дающуюю коллизию с паролем :).

  Ответить  

Сообщения:  [1-10]    [11-20]   [21-30]  [31-32] 

Форум разработан IT-студией SoftTime
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования