|
| |
|
|
| |
для: DDK
(21.09.2006 в 23:09)
| | | Я никакого выхода и не предлагал...
А выход один - дыр не делать на сайте, чтобы XSS-атаки были невозможны, или если не делать дыр не получается, не использовать cookie. | |
| |
|
|
| |
|
|
| |
для: cheops
(21.09.2006 в 18:39)
| | | Но это тоже не выход... тогда невозможно будет сделать запоминание авторизиции ни в каком виде. | |
| |
|
|
| |
|
|
| |
для: DDK
(21.09.2006 в 14:52)
| | | Что пароль, что хэш будучи украдеными могут быть использованы злоумышлеником на других сайтах, в случае хэша - дополнительные 2 часа работы, даже малолетние злоумышленики, которые не умеют воровать пароли и хэши, знают какими программами подбирать пароль... Вопрос не в том, зашифрован пароль или нет, вопрос в том, что хэши и пароли не должны ни в коем случае не покидать базу данных... а уже если покинули, то зашифрован пароль или нет - не имеет уже никакого значения. Если злоумышленику потребуется он подберёт его. | |
| |
|
|
| |
|
|
| |
для: 10100100
(21.09.2006 в 15:19)
| | | Никаких шишек :) И вообще, спорю я не с вами сейчас, а с тов. Симдяновым. Давно мы с ним на такие темы спорим, кто прав, а кто виноват. Вообще, даже не беру в пример вашу ситуацию... говорю "вообще". | |
| |
|
|
| |
|
|
| |
для: Axxil
(21.09.2006 в 15:46)
| | | так всётаки хранить в куках пароль в хэше и ID? я примерно так и думал. | |
| |
|
|
| |
|
|
| |
для: 10100100
(21.09.2006 в 15:40)
| | | А зачем новое значение вводить.
Я привёл уж совсем параноидальное извращение.
Обычно достаточно зашифровать пароль и сохранить его вместе в id.
У детей любая зашифрованная информация вызывает скуку и отбивает желание ломать этот сайт. А матёрые граждане через куки не полезут. Т.к. есть куча способов поинтереснее.
И если на сайте ID юзера нигде не показывать, то это тоже прибавит головной боли взломщику.
Я вот тут подумал. В принципе вышеизложенная т.н. защита вряд ли является удачной. Т.к. при внимательном рассмотрении понять что и как там довольно просто. А если учесть что email и username обычно можно найти в открытом доступе на сайте, то это уже становится опасно. Можно в принципе генерировать уникальный случайный 200 (:))) значный код для каждого юзера и его хранить в куках и в соответствующем поле базы.
В принципе будет достаточно :) | |
| |
|
|
| |
|
|
| |
для: Axxil
(21.09.2006 в 15:36)
| | | а... хм... но пароль всётаки н стоит (захешированный) в куку вписывать?
тоесть нужно будет в базе новую переменную(ну значение) вводить? | |
| |
|
|
| |
|
|
| |
для: 10100100
(21.09.2006 в 15:17)
| | | Да что угодно через md5 пропустить и хранить.
Если вообще паранойя мучает то можно вообще пароль не сохранять в куках и каку-нить хитрую систему забабахать.
например:
$length = rand(10,20);
$_COOCKIE['user_id'] = $length; // Это чтоб поиздеваться :)))
$_COOCKIE['p1'] = substr(md5($username),0,$length);
$_COOCKIE['p2'] = substr(md5($email),0,$length);
|
А при авторизации всё это вытаскивается и сравнивается со значениями в базе. и дальше как обычно | |
| |
|
|
| |
|
|
| |
для: DDK
(21.09.2006 в 15:03)
| | | блин - да в ХЕШЕ ВСЁ ,ну я конечно ДИБИЛ, но не до такой же степени!!! :(((((((
блин ну даже обидно - Вы не внимательны а шишки в меня! :( | |
| |
|
|
| |
|
|
| |
для: DDK
(21.09.2006 в 14:52)
| | | Блин, да что за невнимательность такая то?
Я ценю каждого пользователя!
я ж и говорю, что нужно в Хэше всё помещать, но подскажите ЧТО мне всётаки вводить в куки чтоб обезопасить юзеров от взлома? | |
| |
|
|
|
