Меню
Что нового?

Что надежнее???

  • Автор темы GreatWeb
  • Дата начала

RomikChef

Guest
Молодец, впредь веди себя так же послушно и слушай старших.
 

[VS]

Guest
Автор оригинала: Sirius
Вообщем используй сессии и md5 пароль и логин - даже если сессию украдут, им нужно будет ещё знать логин и пароль!

Всё выше флейм - ssl можно юзать, если ты админ сервера и сам можешь установить, или у тебя куча бабок на покупку такого типа хостинга!
Нажмите для раскрытия...
За 20 баксов в месяц можно иметь хостинг с SSL.
Я не думаю что если проэкту нужна security - то 20 баксов в месяц это много.
 

Sirius

PHP+MySQL=LOVE
2 RomikChef:
Сессию можно подсмотреть в браузере! Или даже каким-либо образом украсть. Дополнительно постоянно сверяя md5 логин и пароль из конфиг файла, ты слегка увеличиваешь защищаемость!
 

Sirius

PHP+MySQL=LOVE
2 [VS]
С уважением, но недоумением.:)
Ему ж была нужна просто админская панель в топе:) Не думаю, что эта затянувшаяся тема стоила стольких постов! ПХП-маньяки мы!:)
 

RomikChef

Guest
Sirius
я так и не понял
1. какое отношение имеют логин и пароль к сессии?
2. куда писать эти замдпяченые логин и пароль? В сессию? Так их украдут вместе с ней.
 

Sirius

PHP+MySQL=LOVE
http://www.test.net/shop/admin/index.php?l=en&login=d41d8cd98f00b204e9800998ecf8427e&password=d41d8cd98f00b204e9800998ecf8427e&SESSION=d41d8cd98f00b204e9800998ecf8427e&action=faq&do=edit
 

RomikChef

Guest
Полушай, сириус.
ты можешь простым русским человеческим языком объяснить - зачем в сессию вообще писать логин и пароль?
 

hussar

In code we trust!
Народ, украсть можно почти все, даже если логин и пароль будут подвергнуты шиврованию, даже если md5, делаем вывод если мы их шифруем, значит сравниваем с базой тоже md5 хэш, следовательно, если украсть сесию, а это не сложно, то можно и подставить пароли..... Хитрить надо, например можно к md5 хэшу добавлять какую-либо сгенерированию рандомную величину...... но все равно это смогут взломать... главное это понять надо это кому-нибудь, если да то надо как можно шире представить что будет делать взломщик и предусмотреть большинство из егодейсвий (чисто деморализующий момент).....:)
 

Larson

Новичок
Вы что?
Какая разница в каком виде передавать пароль?
Если он шифруется на стороне клиента, то какая разница чего красть - в чистом виде, или не в чистом. Все дело в том, что мы крадем информацию, которая передается на сервер. Пароль надо передавать один раз, проверить его и забыть про него.

А md5(password), нужен для того, чтобы хакер, взломавший базу, где храняться пароли, не смог узнать реальный пароль, по которому юзер логинится. И это надо делать на стороне сервера, а не на стороне клиента.
 

Gas

может по одной?
Автор оригинала: hussar
Народ, украсть можно почти все, даже если логин и пароль будут подвергнуты шиврованию, даже если md5, делаем вывод если мы их шифруем, значит сравниваем с базой тоже md5 хэш, следовательно, если украсть сесию, а это не сложно, то можно и подставить пароли.....
Нажмите для раскрытия...
hussar, я правильно тебя понял? Ты предлагаешь в поля для ввода логина и пароля подставлять их хеши, что бы в итоге получалось md5(md5($pass)), ну так это будет далеко не пароль. :)
Или я не так тебя понял?
 
Войдите или зарегистрируйтесь для ответа.
Сверху