|
| |
|
|
| |
для: Loki
(18.02.2011 в 11:24)
| | | Боюсь, речь о часах. | |
| |
|
|
| |
|
|
| |
для: cheops
(17.02.2011 в 16:28)
| | | >здесь хэш не спасет от получения пароля, лишь затормозит.
Если он затормозит получение пароля на несколько лет - этого будет вполне достаточно. | |
| |
|
|
| |
|
|
| |
для: Loki
(17.02.2011 в 16:10)
| | | >Не утек, потому что такой задачи не стояло.
Она и сейчас не стоит.
>Помню так же Ваши собственные куки в тексте поста.
Все эти случаи обрабатывались и исправлялись. XSS-инъекцию ни один здравомыслящий человек на форуме не оставит. Речь не о XSS-инъекции, а о том отказываться от хранения пароля/хэша в cookie или нет, здесь хэш не спасет от получения пароля, лишь затормозит. | |
| |
|
|
| |
|
|
| |
для: cheops
(17.02.2011 в 14:20)
| | | >В конце концов в результате XSS-инъекции ни один пароль не утек за 8 лет
Не утек, потому что такой задачи не стояло. Помнится и я и Акира раза три или четыре ломали форум через XSS... Причем, каждый раз представляя рабочий эксплоит. Помню так же Ваши собственные куки в тексте поста. Так что Вы просто запамятовали... | |
| |
|
|
| |
|
|
| |
для: Саня
(17.02.2011 в 15:42)
| | | Новой системы хэшей или системы авторизации?
PS Переделка системы авторизации сложности не представляет и со временем она будет переделана, вопрос вызывает лишь первоочередность такой задачи. | |
| |
|
|
| |
|
|
| |
для: cheops
(17.02.2011 в 15:31)
| | | Мне кажется вы преувеличиваете. Я прокрутил в памяти все проекты со слабой системой аутентификации/авторизации, над которыми когда-либо работал и ни в одном из них не увидел серьёзных проблем для введения новой системы. Но может быть на форуме ситуация другая и ориентироваться на общедоступные исходники нет смысла, так как они не соответствуют действительности? :) | |
| |
|
|
| |
|
|
| |
для: Trianon
(17.02.2011 в 15:24)
| | | Пока вроде вопросов нет. | |
| |
|
|
| |
|
|
| |
для: Саня
(17.02.2011 в 15:27)
| | | >А зачем вообще хранить пароль в кукисах, в каком-бы то ни было виде?
>Trianon уже рассказал про аутентификационные токены. Они совершенно случайны и временны.
Исторически сложилось так, прежде чем, использовать хэш, токены, придется вводить другую систему аутентификации, попутно изменяя дизайн форм редактирования, добавления темы, добавления сообщения, потом переводить все на хэш или токен. В любом случае это требует времени и размышлений, так как форум живой и не хотелось бы, чтобы вмешательства отражались на его работе.
>> Предлагается хранить хэш пароля, но он эту проблему не решит.
>Хеш от пароля всяко надёжнее, чем сам пароль в голом виде.
Только не тот который используется тут. | |
| |
|
|
| |
|
|
| |
для: cheops
(17.02.2011 в 15:16)
| | | А зачем вообще хранить пароль в кукисах, в каком-бы то ни было виде?
Trianon уже рассказал про аутентификационные токены. Они совершенно случайны и временны.
> Предлагается хранить хэш пароля, но он эту проблему не решит.
Хеш от пароля всяко надёжнее, чем сам пароль в голом виде. | |
| |
|
|
| |
|
|
| |
для: cheops
(17.02.2011 в 14:50)
| | | > В любом случае мне кажется более полезно вернуться к проблеме голосования в темах, ...
Я могу чем-то поспособствовать?
Мои (весьма скромные) наработки в виде кода все еще лежат в архиве, прикрепленном к этому посту .
Если требуются какие-то комментрарии (или еще какое содействие) - чем смогу. | |
| |
|
|
|
