Доброго времени суток! Хочу сделать отсылку пароля на мыло для забывчившх юзеров) но загвоздка в том, что все пароли в базе захешированы. Можно ли из хэша как нибудь получить исходный вариант пароля? Заранее спасибо за ответы.
Хммм.... мд5? теоретически - можно. ))) Имхо лучше сделать смену пароля через секретный вопрос, ну, или что-то в этом роде. Примерно, как это реализовано в форумах IPB.
Да использую для хэширования md5 с солью. А как сделано в контакте? У них пароли не хэшируются чтоли? А ответ на секретный вопрос надо тоже хэшировать?
Можно сделать не напоминание, а генерацию нового или присылать уникальную ссылку пользователю, чтоб он сам сменил
это все только из-за TheBAT потому, что он CRAM-MD5 делает, а все остальные почтовики нормально могут PLAIN-MD5 делать и тогда exim+mysql может нормально хранить md5 хеш.
440Hz Ты смеешься, или ? p.s. я, кстати, уже устал удивляться, почему у почтовики хранятся пароли в открытом тексте
поверь. вся эта ботва с открытым хранением ТОЛЬКО из-за TheBAT потому, что осталдьные почтовики перебирают методы аутенификации, а бат, сука, ломит CRAM и все. тютю. я для CRAM надо пароль в открытом виде знать что бы сравнить, если ты знешь этот етод. в случе PLAIN-MD5 передается ХЕШ и все.
Шиза. Просто шизиловка. На мой взгляд, это уязвимость в серваке размером... ну... где-то с крейсер "Аврора". Т.е. допускать уязвимость в серваке проще, чем все-таки переписать ОДИН почтовый клиент?
обычно, правильные парни, делают шифрованное соединение, а так да, НЕ безопаснои потенциально есть ероятность, что зломают базу паролей и тютю аккаунтам.
Насколько я занимался этим вопросом, веб-интерфейс отправляет пароль по другому протоколу (не буду врать, по какому, уже не помню). Что касается клиентов - хз.
добро пожаловать в наш клуб. =) не. есть возможность конечно настроить и эту связку, но ее как всегда надо пилить напильником, что большинство и пилит.
"... у них все вместо самолета танк получается. Спросили русских. Те спрашивают - а вы углы напильником подтачивали?....". - отображает суть))))))) А что делать-то?)
Вльдемар, В принципе твой вариант мне подходит, спасибо за совет! А как лучше сделать идентификацию юзера - по логину или по емэйлу, ну чтобы именно нужный линк выслал на нужное мыло?
admyx я те тайну открою как авторизируется в этой связке exim.conf Код (Text): # AUTH CRAM-MD5 authentication method used by Eudora/TheBat!. cram_md5: driver = cram_md5 public_name = CRAM-MD5 server_secret = ${lookup mysql{SELECT passwd FROM users \ WHERE id = '${quote_mysql:$1}' \ AND mbox_host = '${quote_mysql:${domain:$1}}' \ AND active = 'Y'}{$value}fail} server_set_id = $1 ПАРОЛЬ НЕ ПРОВЕРЯЕТСЯ. гыгыгы но почти никто об этом не знет. вот сравни Код (Text): # AUTH LOGIN authentication method used by MS Outlook. login: driver = plaintext public_name = LOGIN server_condition = ${if crypteq{$2} {${lookup mysql{SELECT crypt FROM users \ WHERE id = '${quote_mysql:$1}' \ AND mbox_host = '${quote_mysql:${domain:$1}}' \ AND passwd = '${quote_mysql:$2}' \ AND active = 'Y'}{$value}{*}}}{yes}{no}} server_prompts = Username:: : Password:: server_set_id = $1 тут честно пароль проеряется.
440Hz Ты меня убил. Просто наповал. А как, почему? Почему они не проверяют пароль? p.s. как было на картинке написано - "ну не пе**ец, а?"
А если у юзера несколько логинов с одни и тем же мылом? Или лучше это контролировать, чтобы небыло одинаковых?
Не надо нам одинаковых. То же IPB не дает зарегистрироваться с одним и тем же мылом. Единственное, что - ну не знает он, что pupkin@yandex.ru и pupkin@ya.ru одинаковые... Поэтому такие нюансы, если что, нужно дописывать руками.
я бы сделл так: 1. логин это ТОЛЬКО мыло. не меняемое. 2. а вот остальное это НикНейм пароли хранятся в md5() при утере проля высылется: 1. новый сгенеренный пароль 2. юзер в профайле может поменять пароль 2. ссылка по которой юзер может поменять пароль сразу
Это скорее риторический вопрос был.... Аццкие отжыги молдаван. Я даже как-то снова начал уважать майкрософт.... Слушай, а веб-интерфейс как отправляет пароль? например, РКуб? Я насколько помню, он через imap отправляет - не трогая http? Или это я с чем-то спутал?