Безопасность и ПХП

WebByte

Проходящий мимо
Безопасность и ПХП

Нормально ли хранить пароль в БД plain текстом?

Криптовать-то не проблема, но надо ли?
 

msh

Guest
Мне кажется, что нет...лично я всегда хэширую...
 

Кром

Новичок
WebByte, да надо. Чем меньше лишних глаз увидит пароли тем лучше.
 

Popoff

popoff.donetsk.ua
Вопрос всего лишь в том, нужны ли незашифрованные пароли?
Например, для функции восстановления забытых паролей. Если не нужны, то шифровать.
 

WebByte

Проходящий мимо
Автор оригинала: Popoff
Вопрос всего лишь в том, нужны ли незашифрованные пароли?
Например, для функции восстановления забытых паролей. Если не нужны, то шифровать.
Нужны...Система многопользовательская
 

SiMM

Новичок
Автор оригинала: WebByte
Нужны...Система многопользовательская
А зачем? Админ всегда может поменять пароль на новый, если кто-то забудет свой старый. Либо при запросе вида "напомнить пароль" выдавать пользователю новый, сгенерированный системой - затем пользователь по необходимости сможет его изменить.
 

WebByte

Проходящий мимо
ну можно-можно..
но можно и криптовать обратимой функцией..
 

crazz

Guest
Re: Безопасность и ПХП

Автор оригинала: WebByte
Нормально ли хранить пароль в БД plain текстом?
А подскажите как его хранить не открытым текстом.
Пароли участников понятно что можно тока хеши хранить,
а пароль к базе как?
 

WebByte

Проходящий мимо
Можно создать юзера MySQL с правами на чтение единственного поля - криптованного пароля к базе =)
считать, раскриптовать и запустить нормального юзера
 

гоша

Guest
Ключ от квартиры где лежит ключ от квартиры...
А ключ к закриптованному паролю где лежать будет?

crazz

паранойя хороша в известных пределах. Если у вас сайт по продаже атомных бомб, покупайте выделенный сервер и ставьте к нему охрану.
 

WebByte

Проходящий мимо
гоша
Я ж написал - в файловой системе за пределами веб-сервера
 

crazz

Guest
Понял - значит так и хранить открытым текстом
 

Yuriy_S

-=PHP-Club=-
Либо при запросе вида "напомнить пароль" выдавать пользователю новый, сгенерированный системой - затем пользователь по необходимости сможет его изменить.
SiMM

ты сам понял что за бред ты написал?

Получается, что ЛЮБОЙ пользователь или просто посетитель, который нажал на ссылку "напомнить пароль", введя логин получает пароль и доступ к каким-либо данным.
 

WebByte

Проходящий мимо
Yuriy_S
Почему нет, если пароль уйдет на мыло, которое указано при регистрации?
 

SiMM

Новичок
Yuriy_S, я предполагал, что написанное WebByte'ом более чем очевидно.
 
Сверху