Как передавать пароль из страницы в страницу?

[Sirius]

Как передавать пароль из страницы в страницу?

Вообще где можно прочитать об этом - передаче данных в области защищённой паролем?

Например юзер управляет своими данными? уже зашёл - с помощью пароля и т.д.

Что дальше?

Использовать куки я не хочу - шифрирую md5 пароль, но пока отсылаю его прямо в строке браузера - это ж неправильно! Если юзер неаккуратен эта строка сможет записать и остаться в хистори браузера!

Использовать сессии - тоже не 100 процентов! Хотя лучше чем ничего!

 

[f1]

почему использование сессий не 100% ?

100% секурных систем вообще не существует на свете

 

[Sirius]

Хорошо - при передаче пароля по секурной зоне я использую md5 пароль и сессию!

Но я всё же не хочу чтобы html страница оставалась в кеше браузера - есть что-нибудь такое?

И ещё - возможно ли обратное перекодирование хакером пароля из md5?

 

[f1]

обратное преобразование из md5 невозможно

 

[Crazy]

Даже брутфорсом?

 

[f1]

разберись
что такое md5 и как работает

и чем шифорование отличается от односторонних хеш функций.

отпадет много вопросов

 

[Crazy]

Hint: под "взломом брутфорсом" (грубой силой) обычно понимается взлом перебором (тупо или с помощью словарей).

 

[makRo]

подобрать md5 конечно можно, только перебором и возможно очень ... очень долго

 

[makRo]

Re: Как передавать пароль из страницы в страницу?

Автор оригинала: Sirius
Использовать куки я не хочу - шифрирую md5 пароль, но пока отсылаю его прямо в строке браузера - это ж неправильно! Если юзер неаккуратен эта строка сможет записать и остаться в хистори браузера!

А зачем пароль шифровать ??? Создавай случайный временный хеш когда юзер заходит в систему. Если сессия неактивна минут 15 убивай её.
Временный хешь и подбирать бессмысленно...

 

[Dennis]

я не шифрую паролей так как хочу знать у кого какой, да и напоминалка по мыло так будет работать.
а делаю так: после авторизации создается временный случайный пароль и пишется в базу. именно его за собой таскаешь или в куках, или сессии или в хидден. на запароленных страницах проверяется данный пароль на соответствие данному юзеру. при нажатии "выход" и при новой авторизации он переписывается. можно сделать проверку на дату записи еще. если даже кто его перехватит, то толку от этого никакого так как для авторизации используется другой пароль. вотс.

 

[Макс]

Блин, зачем все эти навороты?
Не нужно (ИМХО) никаких паролей от страницы к странице передавать.
Прошел юзер авторизацию, в сессию записываешь:
$sess['id']=${ID юзера};
(можно и логин)
а в скриптах проверяешь
if (empty($_SESSION['sess']['id'])) {
// юзер не проходил авторизацию
header("Location: страница_авторизации");
exit;
}
// дальше имея ID юзера делаем то что нужно
...



Насчет напоминалки паролей - пароли можно генерить, а можно еще делать как почтовики : в базе хранить md5(пароль) и зашифрованый пароль где кодом к расшифровке является ответ на вопрос, который юзер указал при регистрации. Сам код в базе конечно же не храниться, его вводит юзер при напоминании пароля

 

[Dennis]

ну я и говорил можно и в сессии передать, только в моем случае передается временный параметр, который никому другому ничего не даст. а вот если передавать логин, пароль, id пользователя в базе и т.п. то это все реальные данные, которые увеличивают шансы для взломщиков. в моем примере также не возможно одновременная работа двух пользователей т.к. при авторизации временный пароль переписывается и первого пользователя выкидывает ;0-) Но все это, конечно ИМХО.

 

[Mammoth]

Сессии храняться на серваке , в куках передается только SID

 

[Bermuda]

Автор оригинала: Mammoth
Сессии храняться на серваке , в куках передается только SID

А чего вы к кукам привязались. В один прекрасный день возмут их, да и отменят. В сессиях еще GET есть.