Такво замутилитогда вопроскак мне сделать функцию восстановления пароля?если юзер его посеет?хотя при реге я его ему высылаю...если в реальном виде он не будет храниться в бд
Sergey89, я к тому, что взломать бд не взломав скрипты - довольно напряжно. а если взломаны скрипты - никакая соль не спасёт
Но возможно Т.ч. лучше лишний раз подстраховаться. Темболее, если пароли хранятся не в БД, а в файле, то сложность взлома обычно снижается. ЗЫ Совсем недавно такой случай произошёл на одном новосибирском портале. ХакирЪ угнал пароли от некоторых акков и выложил в открытый доступ.
Точнопусть юзер пишет мыло...которое указывал при регистрации и логин...ему на мыло уйдет ссылка...потом по ней перейдет и сгенерит пароль...который так же уйдет на мылоустрою гемор...чтоб не теряли...блин...юзеры разбегуться тогда
г, тогда по идее все сервисы инета по твоей гипотезе должны убежать от ресурсов, на которых при потере идет процедура и соответсвенно ИЗМЕНЕНИЕ пароля
оО Почему в куки нельзя класть мд5? А как же авторизация? То есть, вход в течение нескольких дней. Форумы хэш хранят в куки. И по идее при заходе на форум этот хэш сверяется с тем, что в базе форума, и действует эта "сверка" в течение сессии. У меня так, по крайней мере.
Kreker поехали по пунктам А если я этот хешик пароля сопру?! А если он рутовый, я бог?! и? Обязательно надо класть хеш пароля в кукиш?! Тогда и логин туда же класть, чтобы злоумышленнику не пришлось подбирать... какой?! какие форумы?! я тоже кладу юзверю несколько хешей в кукиш, но пароля там нету, однако автовход у меня работает. не так сверяете. Пароль надо сверять один раз, когда юзверь его ввёл вместе с логином... Потом юзверь получает статус, или авторизован, или нет... Вывод: средней руки "хакер" может причинить вам много неприятностей.
Hight Если это так (т.е. по кукам принимается решение об автоматической авторизации), то такая система тоже уязвима - злоумышленник может своровать полный набор куков, установить их у себя и зайти в систему под чужим аккаунтом. Единственный выход - привязывать куки к IP адресу, чтобы с другого адреса они уже не работали. Но это будет головная боль для диалапщиков - каждый раз, когда ты переподключился и у тебя новый адрес, логинится приходится заново. Еще один вариант - использовать HTTP-only куки (я о них уже писал здесь). Такие своровать значительно сложнее обычных, т.к. клиентские скрипты их не видят.
ну вот тут придётся попотеть, у меня просто подставить куки не получится. Придётся воспроизводить всё в идеале так же как у жертвы. Вообщем я бы сам запарился ломать это дело. привязываю. любишь кататься, люби и саночки возить Безопасность - это главное и основное =) C антимульт
нет не хочуу меня после Авторизации пасс передается гетом...когда юзер переходит на другую страницу...или что то подобное...записаную в другой файл,мне ж нужно снова вытащить пас из базы,например по ид...и сравнить с гетовым...как по другому то...чтоб не вытаскивать пароль
host Да в гете...и что с того...он мдпятовый...если ни кто в телефон или комп юзера не лезет,то и не видит его....а если кто залез...дык юзер сам виноват...ну можно и в пост сделать...тогда мне ышо гемор прийдется делать страницу для закладки,или пусть каждый раз Авторизацию проходят
Как я понимаю, это набор символов в мд5. Но с таким же успехом можно своровать и этот куки. Или я не прав и в Вашей системе есть антивандальное устройство?
У юзеров, очень часто один пароль в нескольких местах. Украв md5 пароля можно будет авторизоваться на нескольких ресурсах. Если же хранить какую-то уникальную последовательность, то жизнь кулхацкеру мы затрудним.
его проблемы...где и как он использует свои пароли...мне важенее безопасность сервера и скриптов....хотя конечно,нужно и юзера уважать
Пользователю нужно предоставлять возможность, и предупредить о возможной опасности, и о том, как можно свести ее к минимуму. Как он воспользуется этими сведениями — его дело.
Сделайте md5('пароль'.'login'.'IP') и храните записывайте его в куку. Толку от такого md5 на другом компе не будет.