Стоит ли шифровать пароли

[Doomer]

Стоит ли шифровать пароли

Стот ли шифровать (хотябы md5) пароли, передаваемые через cookies?

 

[NailFile]

А кто это тебя надоумил пароль в кукисах держать???? Ты, небось, его еще и при каждом обращении передаешь?????????

 

[Doomer]

Автор оригинала: NailFile
А кто это тебя надоумил пароль в кукисах держать???? Ты, небось, его еще и при каждом обращении передаешь?????????

Предлагай альтернативы. Сессии не подойдут - держатся слишком мало времени

 

[ruslan]

Автор оригинала: Doomer
Предлагай альтернативы. Сессии не подойдут - держатся слишком мало времени

Можешь попробовать эмуляцию сессий через файловые функции...
записываешь в файлик на сервере все данные о пользователе, а ему в куку имя файла отдаешь...

 

[NailFile]

Автор оригинала: ruslan
Можешь попробовать эмуляцию сессий через файловые функции...
записываешь в файлик на сервере все данные о пользователе, а ему в куку имя файла отдаешь...

Ну примерно так.... Я аналогичную фигню делаю в базе - таблица session, в ней держу ссылку на юзера, а в кукисы возвращаю sid. А лучше не в кукисы, а в параметр на каждый запрос (вдруг у юзера кукисы отключены?)
Ну на крайняк, если уж тебе жизненно нужно хранить пароль в кукисах (например, поставил фишку "Запомнить пароль для следующего входа"), то кодировать его надо ОБЯЗАТЕЛЬНО

 

[NailFile]

О! А еще - приведи пример, когда PHP-сессии не подходят? ЧТо значит "держатся мало времени"???? Мне это не понятно.....

 

[SlavikKR]

Автор оригинала: Doomer
Предлагай альтернативы. Сессии не подойдут - держатся слишком мало времени

Держатся слишком мало времени...
Кукис - это часть технологии сессий. Сколько ты в ини пропишешь секунд для кукис сессий, столько времени они и держатся.

session.cookie_lifetime = 604800 - неделя, можешь год, два ...

И не у всех кукис включены...

 

[DiMA]

> Сессии не подойдут - держатся слишком мало времени
полнейшая чушь, ибо шифрование паролей не применимо к сессиям по двум причинам:
1. сессии это не куки/гет/пост
2. в сессии вообще пароль не нужен, ни в каком виде

если просто проблема, что сессии мало держатся, это решается кучей способов

> session.cookie_lifetime = 604800 - неделя, можешь год, два ...

во-первых, это не все, что нужно, а во-вторых - куки к времени жизни сессии отношения не имеют. Куки лишь средство не забыть номер сессии при закрытии браузера.

Вам бы теорию почитать, а не на вопросы так отвечать, друг-друга еще больше запутываете

 

[SlavikKR]

Dima, конечно, пароль не нужен. Просто я говорил о том, как запомнить юзера до следующего прихода (БЕЗ ПАРОЛЯ). Он приходит, а ты ему: привет Вася
Если он в конце концов собирается использовать куки, то тут уж лучше использовать их вместе с сессиями. Скажешь не так?

 

[AnToXa]

Автор оригинала: SlavikKR
Dima, конечно, пароль не нужен. Просто я говорил о том, как запомнить юзера до следующего прихода (БЕЗ ПАРОЛЯ). Он приходит, а ты ему: привет Вася
Если он в конце концов собирается использовать куки, то тут уж лучше использовать их вместе с сессиями. Скажешь не так?

имхо, если уж использовать сессии, то делать это по полной программе, зачем писать в _изначально_по_определению_ненадежные_куки_ то, что можно написать в сессию

 

[DiMA]

как не забыть ИМЯ юзера и метод сохранения его АВТОРИЗОВАННОСТИ - совершенно разные вопросы. Имя нужно хранить и в куках, и в сессии. Ибо сессия умрет быстрее (вместе с авторизованностью), а ИМЯ/логин и т.п. не секретные данные могут лежать в куках на всякий случай. Короче, вы смешали в кучу 3 вопроса:
1. почему сессия быстро дохнет
2. хранение пароля в сессиях/куках (секртетные данные)
3. тоже с не секретными данными
Про пароль я ответил - во первых, там пароль вообще не нужен, а если и хранить - то не важно в каком виде. С 1 и 3 разобраться тоже не менее просто, если не родмешивать другие вопросы.