информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Портрет посетителяСтрашный баг в WindowsSpanning Tree Protocol: недокументированное применение
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft предупредила о двух незакрытых... 
 Перевод Firefox на DNS over HTTPS 
 Microsoft закрыла серьёзную уязвимость,... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / web building
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Ну-ну... Блаженны верующие ;) Хозяин уверен, что знает.И,... 01.03.11 00:01  Число просмотров: 3114
Автор: Fighter <Vladimir> Статус: Elderman
<"чистая" ссылка>
> > > Если не ошибаюсь, POST передает данные от клиента
> к
> > серверу
> > > в защищенном канале. Соответственно, пароль можно
> > Ошибаешься. Если ты не включил защищенный режим, то
> браузер
> > за тебя его сам включать не будет
> > > передавать через POST не прогоняя его через MD5.
> Но
> > хранить
> > > пароль в базе регистрации "открытым текстом" это,
> > мягко
> > > говоря, моветон. И в этом случае, MD5 ,будет
> > вычисляться
> > > только на сервере.
> > Это все до %опы, тем более что MD5 необратима, и нам
> не
> > известно считали ее для пароля или порнофильма. В
> общем
> > случае, запись $_POST['md5'] обещает, что форма имела
> > текстовое поле с именем 'md5' и ее содержимое было
> передано
> > методом $_POST. Но, на то, что это так, мы только
> надеемся.
> > На самом деле, как всегда, предполагаем худшее: не
> было
> > никакой формы, а пришедший в запросе набор данных
> > сформировал злой кулхацкер А Си Сяй, возжелавший наше
> все.
> Угу, тем более, что реализаций md5-js уже до фени, а хозяин
> сайта (кодер как минимум) должен знать какой тип переменной
> используется фронт-эндом.
Ну-ну... Блаженны верующие ;) Хозяин уверен, что знает.И, пока данные шлет его фронт-энд, это так и есть. Но фронт-энд может сварганить кто-то другой и поэтому и приходится извращаться с фильтрацией, экранированием, проверками... Кстати, вместо md5 лучше использовать sha1.
>
> И небольшое увеличение защищённости можно делать как...
> md5(md5(password)+captcha) то есть использовать сессионные
> ключи. В результате на сервере может храниться хэш пароля,
Должен. Не "может", а должен. Пароли в чистом или обратимо зашифрованном виде уже даже мелкософт лет десять-двенадцать как хранить перестал.
> а сравниваться он будет с повторным хэшем источника и соли.
Что есть такое "соли"?
>
> при установке пароля в бд вносится md5(pass) = md5pass
> в форме авторизации висит и каптча, на сервер возвращается,
> например,
> $_POST['checksum'] = md5(md5(pass)+captha)
> сервер зная md5pass легко проверит правильность связки
> пароль + каптча например так.
>
> select id from users where md5(md5pass+'$captcha') ==
> '$checksum';
>
> К слову сказать, мне оч нравится идея sqlite да postgree с
> подготовкой запросов. Тот же pg_prepare:
>
$result = pg_prepare($dbconn, "my_query",> 'SELECT * FROM shops WHERE name = $1');
> $result = pg_execute($dbconn, "my_query", array("Joe's
> Widgets"));

---
>
> Аналогичные плюшки разработаны и для Mysql. На вскидку -
> Котеров написал неплохую либу. Грех не воспользоваться ею.
> Разумеется, прочитав исходники да описание многие вещички
> станут на свои места.
Рекомендую забить на нее и использовать mysqli. Там есть все и даже больше.
<web building> Поиск 








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2020 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach