За последние 24 часа нас посетили 19384 программиста и 1665 роботов. Сейчас ищут 1109 программистов ...

Проверьте скрипт авторизации, пожалуйста)

Тема в разделе "PHP для новичков", создана пользователем Invision, 24 фев 2011.

  1. Invision

    Invision Активный пользователь

    С нами с:
    26 фев 2009
    Сообщения:
    1.437
    Симпатии:
    1
    Адрес:
    Томск
    На ионкьюб нет декодера.
     
  2. MiksIr

    MiksIr Активный пользователь

    С нами с:
    29 ноя 2006
    Сообщения:
    2.339
    Симпатии:
    44
    Даже если и нет - это временно. Ионкуб, как и зенд, всего лишь компилит исходники в байт-код. Т.е. там никакого шифрования. Ну т.е. даже если он и шифрует что-то, то алгоритм дешифровки лежит в расширении для запуска кодированных файлов. В общем, опять же, как одна из стадий защиты - вполне, как панацея - нет.
     
  3. igordata

    igordata Суперстар
    Команда форума Модератор

    С нами с:
    18 мар 2010
    Сообщения:
    32.408
    Симпатии:
    1.768
    Если ты перечитаешь этот супертопик, то узнаешь, что соль прятать не надо, и я раз пятнадцать озвучил единственную ситуацию, в кторой соль составит проблему для плохих дядек.
     
  4. igordata

    igordata Суперстар
    Команда форума Модератор

    С нами с:
    18 мар 2010
    Сообщения:
    32.408
    Симпатии:
    1.768
    в принципе вполне одиаково безопасно хранить пароли в открытом виде в случае если есть второй сервак в локалке без выхода в инет который как раз и осуществляет авторизацию и хранение важной инфы.
     
  5. siiXth

    siiXth Активный пользователь

    С нами с:
    14 мар 2010
    Сообщения:
    1.447
    Симпатии:
    1
    ну я уверен сейчас найдутся те которые с особым желанием завопят что и локальный сервак хакается =)
     
  6. igordata

    igordata Суперстар
    Команда форума Модератор

    С нами с:
    18 мар 2010
    Сообщения:
    32.408
    Симпатии:
    1.768
    нет. через первый сервак - не хакается. Хакается первый сервер. Но во-первых проще заслать трояна или устроиться на работу в эту фирму и действовать изнутри. А во-вторых, если у вас взломали сам сервак, то проблема соления паролей отпадает сама собой - никто с ними возиться не будет. Действовать будут через взломанную машину и получат доступ ко всей инфе риалтайм без всякой возни с хэшами и прочей лабудой.

    Наличие доступа к серверу снимает любые вопросы про соление, хэши и прочую лабудень. Так что в такой ситуации допустимо хранить пароли на втором серваке в открытом виде.
     
  7. siiXth

    siiXth Активный пользователь

    С нами с:
    14 мар 2010
    Сообщения:
    1.447
    Симпатии:
    1
    а вот в крупных проектах так возможно и делают ?

    и да , скажите наконец чем лучше хешировать и солить всё что видно ибо это уже захерило =)
     
  8. igordata

    igordata Суперстар
    Команда форума Модератор

    С нами с:
    18 мар 2010
    Сообщения:
    32.408
    Симпатии:
    1.768
    логин = логин
    пароль = md5(логин+пароль)

    ЗЫ: я солить так и не сподобился. Сейчас подумываю о реализации описанной мною схемы с двумя серверами. Но и в этом смысла не вижу на данный момент.
     
  9. VItalijs

    VItalijs Активный пользователь

    С нами с:
    17 дек 2008
    Сообщения:
    244
    Симпатии:
    0
    Адрес:
    Рига, Латвия
    вот ведь развели дискуссию, запарился читать. с солью все ясно, интересно, на самом деле, какой же тип системы должен быть, что бы доступ к базе был менее важен чем доступ именно к самому аккаунту.
    Ок, аккаунт банка со стопицот денег на нем, но это банки и там системы защиты очень сильные, потому денег себе напереводить имея просто доступ к базе даже с правами супер рута явно не получится, ибо все равно задействованы еще несколько серверов, хотя я, конечно, не знаю.
    + системы которые работают с какими-то другими сервисами, которые взломать тяжелее, но имея доступ к аккаунту в первой системе можно получить данные из второй.

    какие еще типы системы требуют именно возможности зайти в них что бы получить profit, а не только иметь базу? их явно много, но у среднестатистического веб-проекта все таки ценность скорее представляет база, и то сомнительную, разве нет?

    вообщем я согласен с мнением Igordata, что хеши и соль все это классно, но надо оценивать насколько кому-то это понадобится, и делать убер защиту когда в этом есть реальная необходимость, ибо время человека все таки денег стоит. и плюс терморектальный криптоанализ все-таки никто не отменял, какая бы убер защита у вас не была.

    [​IMG]
     
  10. MiksIr

    MiksIr Активный пользователь

    С нами с:
    29 ноя 2006
    Сообщения:
    2.339
    Симпатии:
    44
    VItalijs оригинальные пароли пользователей сами по себе являются такой информацией и стоят хотябы минимальных усилий по их защите.
     
  11. titch

    titch Активный пользователь

    С нами с:
    18 дек 2010
    Сообщения:
    847
    Симпатии:
    0
    я уже показывал, как юзать статическую соль, получить все ништяки динамической и при этом ни к чему не привязываться. плата за это - 2 раза придётся хэшировать:

    исходное:
    $opensalt
    $pass

    $dinamicsalt = hash($pass . $opensalt);
    $hashedpass = hash($pass . $dinamicsalt);

    ps: схема классическая, я ничего не придумывал
     
  12. igordata

    igordata Суперстар
    Команда форума Модератор

    С нами с:
    18 мар 2010
    Сообщения:
    32.408
    Симпатии:
    1.768
    titch
    да пофик. суть не меняетя: если солить, то соль должна быть разной.
    Можно наверное даже так:
    md5(pass+md5(pass))

    единственная цель соли - увеличить пользовательский "пароль" - то что подается на хеш-функцию.
     
  13. tommyangelo

    tommyangelo Старожил

    С нами с:
    6 дек 2009
    Сообщения:
    2.549
    Симпатии:
    0
    Адрес:
    Мариуполь
    +100500. MiksIr уже говорил это выше в топике, я лишь повторю - у многих людей один и тот же пароль для разных сервисов. Получив его можно например открыть его почту, а через нее получить пароли к платежным системам. Вот это важно, а совсем не контент сайта.