Форум: Форум PHPФорум ApacheФорум Регулярные ВыраженияФорум MySQLHTML+CSS+JavaScriptФорум FlashРазное
Новые темы: 0000000
C++. Мастер-класс в задачах и примерах. Авторы: Кузнецов М.В., Симдянов И.В. Объектно-ориентированное программирование на PHP. Авторы: Кузнецов М.В., Симдянов И.В. MySQL на примерах. Авторы: Кузнецов М.В., Симдянов И.В. Самоучитель PHP 5 / 6 (3 издание). Авторы: Кузнецов М.В., Симдянов И.В. Программирование. Ступени успешной карьеры. Авторы: Кузнецов М.В., Симдянов И.В.
ВСЕ НАШИ КНИГИ
Консультационный центр SoftTime

Форум MySQL

Выбрать другой форум

 

Здравствуйте, Посетитель!

вид форума:
Линейный форум (новые сообщения вниз) Структурный форум

тема: Необходимость хэширования паролей

Сообщения:  [1-10]    [11-20]   [21-30]  [31-32] 

 
 автор: Shorr Kan   (29.12.2007 в 06:12)   письмо автору
 
   для: Trianon   (29.12.2007 в 04:13)
 

Теперь ясно

   
 
 автор: Trianon   (29.12.2007 в 04:13)   письмо автору
 
   для: Shorr Kan   (28.12.2007 в 19:20)
 

почему сразу паяльник?
А если не паяльник?
А если просто подождали, пока человек отлить отошел?
И время было на один единственный селект с его терминала?
Вы понятия не имеете какие будут атаки, на какие точки, и какой силы.
И никогда не будете иметь.
Не лично Вы, а любой админ.
И поэтому единственно правильный подход в защите - усиливать всё звенья, а не одно два.

Да и с паяльником, не всегда нарвешься на того кто знает именно рут-пароль.

   
 
 автор: Shorr Kan   (28.12.2007 в 19:22)   письмо автору
 
   для: Thrasher   (28.12.2007 в 10:09)
 

Понятно

   
 
 автор: Shorr Kan   (28.12.2007 в 19:20)   письмо автору
 
   для: Loki   (28.12.2007 в 10:54)
 

Немного неточный пример - толстые стены можно взять методичным соскребыванием. Со скриптами такого не бывает. Передача чего-то не того - бывает. Перехват пакетов - бывает. Это сравнение разных категорий, аналогия совсем не годится. Но суть я понял. Не понял я лишь одного - засунули ему паяльник... так ведь это рут-доступ на сервер... а тут уже всё - в том числе и запись введенного в формы в логи. Хэширование тут как-то в стороне остается.

   
 
 автор: Shorr Kan   (28.12.2007 в 19:17)   письмо автору
 
   для: cheops   (28.12.2007 в 11:56)
 

Тогда понятно

   
 
 автор: cheops   (28.12.2007 в 11:56)   письмо автору
 
   для: Shorr Kan   (27.12.2007 в 15:14)
 

>каким образом он загрузит php-shell ?
А это может быть не ваш скрипт, а соседний - нет возможности контролировать все скрипты, которые устанавливаются на сайт (по крайней мере такая возможность редко бывает).

   
 
 автор: Loki   (28.12.2007 в 10:54)   письмо автору
 
   для: Shorr Kan   (28.12.2007 в 02:57)
 

>Где узкие места в этом случае?
В заднице у админа - если туда засунуть паяльник, то пароли от неприступного хостинга будут известны меньше чем через минуту.

Вот вам встречный вопрос для размышления: если в банковских хранилищах такие толстые двери, то зачем там охрана и сигнализация?
Если сможете ответить на него, то и вопрос с хэшами, скорее всего, прояснится.

   
 
 автор: Loki   (28.12.2007 в 10:50)   письмо автору
 
   для: Shorr Kan   (27.12.2007 в 16:52)
 

чтобы одному хэшу соответствовал один пароль.

   
 
 автор: Thrasher   (28.12.2007 в 10:09)   письмо автору
 
   для: Shorr Kan   (28.12.2007 в 05:30)
 

Кстати, вы правы вот в чем. Если ваши скрипты действительно не имеют дыр, то шифрование не нужно. Но такого, как показывает практика, не бывает. Возможно это не ваши, дыры, а хостинга, но уязвимость можно найти в подавляющем большинстве случаев. Т.е. защита скриптов - это как-бы первое кольцо обороны, а хэширование - это второе кольцо, на случай, если первое будет прорвано. Абсолютно неуязвимые скрипты бывают только теоретически, а практически - их пишут люди, а им свойственно ошибаться. Если бы был скажем абсолютно защищенный скрипт авторизации, то все только им бы и пользовались. Но такого нет, поэтому каждый изобретает какие-то свои ноу-хау для защиты и в каждом из них есть слабые места.
Если вы напишите неуязвимый сервис - решиться глобальная проблема, вы сможете его продавать за огромные деньги. Попробуйте...

   
 
 автор: Shorr Kan   (28.12.2007 в 05:30)   письмо автору
 
   для: Unkind   (28.12.2007 в 03:13)
 

Угу

   

Сообщения:  [1-10]    [11-20]   [21-30]  [31-32] 

Форум разработан IT-студией SoftTime
Rambler's Top100
вверх

Rambler's Top100 Яндекс.Метрика Яндекс цитирования