http://softtime.ru/forumhttp://softtime.ru/forum/read.php?id_forum=2&id_theme=79001#post470735Боюсь, речь о часах.Форум: восстановление пароляFri, 18 Feb 2011 20:39:53 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=2&id_theme=79001#post470586"здесь хэш не спасет от получения пароля, лишь затормозит. Если он затормозит получение пароля на несколько лет - этого будет...Форум: восстановление пароляFri, 18 Feb 2011 11:24:34 +0300Lokihttp://softtime.ru/forum/read.php?id_forum=2&id_theme=79001#post470488"Не утек, потому что такой задачи не стояло. Она и сейчас не стоит. "Помню так же Ваши собственные куки в...Форум: восстановление пароляThu, 17 Feb 2011 16:28:55 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=2&id_theme=79001#post470486"В конце концов в результате XSS-инъекции ни один пароль не утек за 8 лет Не утек, потому что такой задачи...Форум: восстановление пароляThu, 17 Feb 2011 16:10:51 +0300Lokihttp://softtime.ru/forum/read.php?id_forum=2&id_theme=79001#post470484Новой системы хэшей или системы авторизации? PS Переделка системы авторизации сложности не представляет и со временем она будет переделана, вопрос...Форум: восстановление пароляThu, 17 Feb 2011 15:54:02 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=2&id_theme=79001#post470482Мне кажется вы преувеличиваете. Я прокрутил в памяти все проекты со слабой системой аутентификации/авторизации, над которыми когда-либо работал и ни...Форум: восстановление пароляThu, 17 Feb 2011 15:42:06 +0300Саняhttp://softtime.ru/forum/read.php?id_forum=2&id_theme=79001#post470479Пока вроде вопросов нет.Форум: восстановление пароляThu, 17 Feb 2011 15:31:36 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=2&id_theme=79001#post470478"А зачем вообще хранить пароль в кукисах, в каком-бы то ни было виде? "Trianon уже рассказал про аутентификационные токены. Они...Форум: восстановление пароляThu, 17 Feb 2011 15:31:01 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=2&id_theme=79001#post470477А зачем вообще хранить пароль в кукисах, в каком-бы то ни было виде? Trianon уже рассказал про аутентификационные токены. Они...Форум: восстановление пароляThu, 17 Feb 2011 15:27:34 +0300Саняhttp://softtime.ru/forum/read.php?id_forum=2&id_theme=79001#post470473" В любом случае мне кажется более полезно вернуться к проблеме голосования в темах, ... Я могу чем-то поспособствовать? Мои...Форум: восстановление пароляThu, 17 Feb 2011 15:24:46 +0300Trianonhttp://softtime.ru/forum/read.php?id_forum=2&id_theme=79001#post470467Так вот, чтобы этого избежать не нужно вообще хранить пароли в куках ни в открытом, ни в зашифрованном виде. Как...Форум: восстановление пароляThu, 17 Feb 2011 15:16:12 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=2&id_theme=79001#post470465Опасности, порой, поджидают нас с самой неожиданной стороны. Сегодня XSS на этом форуме не опасен, а завтра браузеры внедрят новую...Форум: восстановление пароляThu, 17 Feb 2011 15:09:53 +0300Саняhttp://softtime.ru/forum/read.php?id_forum=2&id_theme=79001#post470460"" Там была SQL-инъекция. "Так была же. И кто даст гарантию, что XSS не свершится в один прекрасный момент? Никто,...Форум: восстановление пароляThu, 17 Feb 2011 14:50:33 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=2&id_theme=79001#post470459" Там была SQL-инъекция. Так была же. И кто даст гарантию, что XSS не свершится в один прекрасный момент так...Форум: восстановление пароляThu, 17 Feb 2011 14:43:02 +0300Саняhttp://softtime.ru/forum/read.php?id_forum=2&id_theme=79001#post470458"" так как новым посетителям использовать URL запрещено, а старым - нет "Новым пользователям запрещено использовать тег ?...Форум: восстановление пароляThu, 17 Feb 2011 14:40:01 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=2&id_theme=79001#post470457" так как новым посетителям использовать URL запрещено, а старым - нет Новым пользователям запрещено использовать тег ?...Форум: восстановление пароляThu, 17 Feb 2011 14:37:48 +0300Саняhttp://softtime.ru/forum/read.php?id_forum=2&id_theme=79001#post470454"предваряю возражение. Атакующий сможет писать в форум. "Сможет. Но не сможет менять пароль, и доступ к эккаунту потерян не будет....Форум: восстановление пароляThu, 17 Feb 2011 14:20:50 +0300cheopshttp://softtime.ru/forum/read.php?id_forum=2&id_theme=79001#post470452Аутентифицирующим токеном вовсе не обязан быть хеш пароля. В чем-то (в том что Вы описали только что) это даже вредно....Форум: восстановление пароляThu, 17 Feb 2011 14:12:20 +0300Trianonhttp://softtime.ru/forum/read.php?id_forum=2&id_theme=79001#post470451"Не лучше ли снизить вероятность подобного утра исключив из задачки форум, как возможную дыру? Если тебе удастся продавить форум, я...Форум: восстановление пароляThu, 17 Feb 2011 14:09:45 +0300Trianonhttp://softtime.ru/forum/read.php?id_forum=2&id_theme=79001#post470447Так фокус в том, что если оставлять возможность не вводить пароль каждое утро по-новой (сессии и пароль вообще не хранить...Форум: восстановление пароляThu, 17 Feb 2011 14:06:44 +0300cheops