|
| |
|
|
| |
для: Valick
(27.11.2010 в 00:36)
| | | Вообщем, я понял :) Я на правильном пути... а поломают, так поломают :) | |
| |
|
|
| |
|
|
| |
для: grafen
(26.11.2010 в 23:00)
| | | злоумышленник без ввода пароля и логина, спокойно войдёт в аккаунт
да выбросте Вы свои книжки "про шпионов" ))
войдет, ну и что? если права при таком входе ограничены, то может только посмотреть что-то
смена пароля например всегда должна подтверждаться старым паролем, ну и тд.
ну а уж если хотите "наглухо заколотиться" используйте https да еще и одноразовые пароли на мобильник :) | |
| |
|
|
| |
|
|
| |
для: grafen
(26.11.2010 в 23:00)
| | | Факт. Но на то и автологин. Если у Вас украдут ключи от машины, всяко разно на ней уедут. Другое дело, что Вы в ней чемодан с деньгами еще оставите :) | |
| |
|
|
| |
|
|
| |
для: Николай2357
(26.11.2010 в 01:11)
| | | Спасибо, оч интересно, многое прояснилось и многое "устолбилось".
Но я так и остаюсь при своём мнении, что зная хэш (уже понял, что нужно не пароля, а случайных данных), злоумышленник без ввода пароля и логина, спокойно войдёт в аккаунт. Я прав? | |
| |
|
|
| |
|
|
| |
для: а-я
(26.11.2010 в 08:48)
| | | Так выдавайте честно эти авторизации. Записывайте в таблицу.
И точно также честно их из таблицы удаляйте при необходимости.
>Это касается в сессиях хранить пароль.
C этого места поподробнее.
Зачем в сессии хранить пароль?
Только не говорите, что Вы тоже сессию с кукой перепутали. | |
| |
|
|
| |
|
|
| |
для: Trianon
(25.11.2010 в 16:43)
| | | >а какой смысл его там держать?
иногда требуется, чтоб со сменой пароля все авторизации "упали" и при этом, я хочу иметь несколько авторизаций и с ПК, и с мобилы, и с дома, и с работы.
Ладно мы, сможем СИДы сохранить.. а обычные юзеры?
Это касается в сессиях хранить пароль. | |
| |
|
|
| |
|
|
| |
для: grafen
(26.11.2010 в 00:44)
| | | Вот в чем. | |
| |
|
|
| |
|
|
| |
для: Valick
(26.11.2010 в 00:27)
| | | А-аа, теперь понял.
Но если этот "iusd56sejgf7sdjkn7djg8xdmknjxcfg7" возьмут и подставят в свои куки, то получится, что злоумышленнику не потребуется ни логин, ни пароль, он спокойно получит доступ - тогда не вижу разницы, если в куках будет висеть и логин, и хеш пароля... данные разные, но смысл они выполняют один - автологин. Зная эти данные, злоумышленнику не требуется знать реальный пароль... В чем я не прав? | |
| |
|
|
| |
|
|
| |
для: grafen
(25.11.2010 в 23:13)
| | | нет
нужно хранить iusd56sejgf7sdjkn7djg8xdmknjxcfg7 - это уникальная строка в базе (и не логин и ни пароль ни разу) соответствующая определенному юзеру по которой происходит автологин | |
| |
|
|
| |
|
|
| |
для: Trianon
(25.11.2010 в 23:10)
| | | Значит, хранить в куках логин (в открытом виде) и пароль (хэш) - это правильно? | |
| |
|
|
|
