Разное

сворованные куки дабт возможность писать сообщения от другого юзера...
--------------------------------
Можно такой вариант:
в куках: md5($pass);
в базе md5(md5($pass));

Нет, то что пароли следует шифровать, в этом нет никакого сомнения, мы лишь хотели подчеркнуть, что защита зачатую носит косметический характер, в противном случае она была бы давно реализована.

Да но почему бы не предоставить глупым пользователям хоть какой нибудь шанс? Тем более что сделать это не тяжело

Хм... но всё же для форумов обычно заводят другой пароль, так как следует понимать, что добрый дядя администратор может их не шифровать в базе данных, а набрать и пойти по e-mail, FTP-доступам и так далее... Такие пароли куда-папало вводить, всё равно что в газете печатать. Причём последнее безопаснее, так как злоумышленики вряд ли их читают.

Справедливо. Но, согласитесь, это не проблема форума. Если вы храните ключ под ковриком, глупо предъявлять претензии к производителю коврика:)

Дело в том что большинство пользователей не любят заводить разные пароли для e-mail, ICQ, доступ для FTP наконец. А берут один и тот же пароль. Поэтому узнав один пароль, можно наделать много делов

Сдается мне, что если у человека хватило ума спереть куки, то ему глубоко по барабану хэш там или пароль - придется потратить лишних 2 минуты времени.

Есть такое дело... но md5() вряд ли подойдёт, так как в базе пароль уже зашифрован не обратимо при помощи другого метода. Нужно наверное зашифровать пароль, например, при помощи симметричного шифрования, но руки никак не дойдут. Пароли на форуме не дают никакой практически никакой власти злоумышленику, поэтому их кража является является скорее условной задачей.

.

По правилам безопасного веб-программинга пароль в голом виде не должен фигурировать НИГДЕ.

[поправлено модератором]