Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
|
|
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
скажите, а при авторизации через phpmyadmin как пароль передается в открытом виде ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 08.09.2014, 22:58 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovru, ставшь http отладчик вроде Filddler и смотришь. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.09.2014, 01:23 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
bazile, а если просто спросить ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.09.2014, 01:31 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
дык просто и ответили..:) я например не задавался этим вопросом. по умолчанию пхп майадмин ставиться с вампами и прочим(когда то работал так) ,но и мускл ставиться с работой только с локалхоста. у провайдеров есть пхпмайадмин с удалёным и работает через хттпс, и мне лично было всёравно, толибазовая функция у него такая, толи допилили... если я ставил сам, никогда не ставил пхпмайадмин - зачем, если есть тотже хейдли или даже воркбенч...возможности пошире, и без вебсервера работают Модератор: alex564657498765453 , пожалуйста, перечитайте еще раз Правила форума и постарайтесь их выполнять. В частности, вот это место: Рекомендуется:Использовать хотя бы основные правила русского языка при составлении сообщений. Прочитывайте ваше сообщение перед публикацией. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 09.09.2014, 09:57 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
так как передает ? хеш ? или пароль в открытом виде ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.09.2014, 17:29 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
Уже сказали же, как посмотреть: 16552421 Вообще, при HTTP-авторизации шифрование пароля совсем не предусмотрено, вроде как. Передавая пароль формой, в принципе, можно сделать обратимое шифрование. Но если вопрос ставится о безопасности, а не из праздного любопытства - тогда следует смотреть в сторону SSL, а не шифрования пароля. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.09.2014, 20:08 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
vkle, да причем здесь это, передавать пароль - это не безопасно в открытом виде, поэтому передается хеш пароля.... вот и спрашиваю, чтобы самому не лезть и не смотреть, пароль передается как хеш или же в открытом виде ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.09.2014, 20:29 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruчтобы самому не лезть и не смотретьВы хотите, чтобы вместо Вас кто-то слазил и посмотрел, как именно в Вашем случае передается пароль? Нет? Тогда используйте HTTP-авторизацию и будьте уверены, что пароль передается в открытом виде. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 10.09.2014, 23:09 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
vkle, вы уверены, что при обычной авторизации пароль из формы передается в открытом виде ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2014, 01:28 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruvkle, вы уверены, что при обычной авторизации пароль из формы передается в открытом виде ?Это исключительно Ваши домыслы. По поводу формы я выше утверждал как раз обратное. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2014, 01:45 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruвы уверены, что при обычной авторизации пароль из формы передается в открытом виде ? Если под "обычной" авторизацией ты подразумеваешь страницу с формой внутри которой есть <input type="password"> и форма отправляет данные по http - то, ДА, пароль передается открытым текстом как и любые другие поля формы. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2014, 02:08 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovru, И почему же передача хэш кода пароля безопаснее передачи открытого пароля? Если на этот вопрос ответишь, согласен вместо тебя посмотреть в пхпмайадмине шифруется ли пароль (зная правильный ответ на свой вопрос 95% что не шифруется ничего). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2014, 06:54 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
Ну и зачем же его шифровать? Чем это поможет? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2014, 10:26 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
Единственное, что мне приходит в голову, злоумышленник, перехватив ваш парольхэш пароля, не сможет авторизоваться на других свервисах где используется этот же пароль (где нету шифрования или применяется другая соль), но на целевом сервисе то он все равно авторизуется с помощью этого хэша точно так, как это сделали и вы. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2014, 10:28 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruvkle, да причем здесь это, передавать пароль - это не безопасно в открытом виде, поэтому передается хеш пароля.... вот и спрашиваю, чтобы самому не лезть и не смотреть, пароль передается как хеш или же в открытом виде ? За 10 часов можно было бы и посмотреть самому, а не ныть на форуме... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2014, 10:29 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
Почему бы просто не взять и не использовать SSL, нет, надо же какой-то 9 колесный велосипед придумать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 11.09.2014, 10:30 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
а вот это вы сами подумайте чем хеширование пароля безопаснее чем его передача в открытом виде, не думаю что phpmyadmin передает пароль в открытом виде из формы.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 19:35 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
Ну я подумал, но так особо то и не придумал. Объясните уж нам. авторне думаю что phpmyadmin передает пароль в открытом виде из формы все еще на кофейной гуще гадаете? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 19:39 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
у меня пхпмайадмин передал в открытом виде... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 20:16 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruа вот это вы сами подумайте чем хеширование пароля безопаснее чем его передача в открытом виде, не думаю что phpmyadmin передает пароль в открытом виде из формы.... ничем с практической точки зрения. да, отсылка запроса имея кеш усложняеться... но если на это положиться, что раз хешируем то защита будет надёжней... помоему просто так повесить на магазин наклейку обьект под видеонабулюдением - куда больше повысит защиту чем хеширование пароля при передаче по не защищёному каналу ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 20:18 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
alex564657498765453 ничем с практической точки зрения. ответ - неправильный, отличие есть и очень глобальное.... с точки зрения безопасности... приведите логи - где в открытом виде... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 22:01 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
ну так долго ждать, когда уже вы расскажите нам, чем же это безопаснее, с вашей точки зрения? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 22:25 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruскажите, а при авторизации через phpmyadmin как пароль передается в открытом виде ? loginovrualex564657498765453 ничем с практической точки зрения. ответ - неправильный, отличие есть и очень глобальное.... с точки зрения безопасности... приведите логи - где в открытом виде... не всё...я в этой беседе не учавсвую... это уже тролинг какойто. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 22:32 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovru, Да напишите свою авторизацию для phpmyadmin делов то 1 строчку переписать, и отправляйте не реальный пароль, а такой который ваша авторизация поймет и правильно представится базе. И не морочте людям голову если вас ssl пугает :). Хэш ничем не поможет от захода в базу через единый интерфейс, и мой совет также не поможет, зато пароль будет как Вы и хотели не в явном виде :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 23:44 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
а если в компе трой который перехватывает отсылку из форм + куки ? если отрпавит пароль так как есть и хеш, это вещи разные ) и зайти будет проще... так как пароль есть, а вот если хеш так просто не зайдешь через форму, а насчет если канал сифонится, сниффером, то и есть + пароль то он так и не увидит, в вот сессию можно вытащить сможет же авторизированную.... ну и вообще в логах везде, фигня дела пароль в открытом виде хранить... например в wordpress пароль уже давно как хеш предается... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 12.09.2014, 23:58 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruа если в компе трой который перехватывает отсылку из форм + куки ? если отрпавит пароль так как есть и хеш, это вещи разные ) и зайти будет проще... так как пароль есть, а вот если хеш так просто не зайдешь через форму, а насчет если канал сифонится, сниффером, то и есть + пароль то он так и не увидит, в вот сессию можно вытащить сможет же авторизированную.... ну и вообще в логах везде, фигня дела пароль в открытом виде хранить... например в wordpress пароль уже давно как хеш предается... Браво... Дождались. Так... У меня есть крутой, пароль для сейфу. Что бы сейф было сложнее взломать, я посчитал хеш своего пароля и поставил его как пароль на сейф. А теперь скажи пожалуйста, если кто-то подсмотрит как я ввожу "новый" пароль, будет ли ему сложнее открыть сейф, чем если бы пароль не был зашифрован. Ответ обоснуйте ))) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 00:26 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruотличие есть и очень глобальное.... с точки зрения безопасности... приведите логи - где в открытом виде... Если ты о логах веб-сервера, то никто не говорил что форма отправляется GET запросом. Подразумевается метод POST при котором тело запроса не протоколируется. Насчет доказетельства передачи пароля в открытом виде смотри скриншот из Fiddler ниже с демо-сайта phpMyAdmin . Это его последняя стабильная версия. loginovruа если в компе трой который перехватывает отсылку из форм + куки ? если отрпавит пароль так как есть и хеш, это вещи разные ) и зайти будет проще... так как пароль есть, а вот если хеш так просто не зайдешь Эта "защита" поможет только от незнаек вроде тебя. Она обходится за пару минут максимум путем модификации страницы. Особенно авторам трояна. Единственное достоинство этого метода описал Hett - 16562687 - но это всё фигня т.к. пароли должны быть разные. loginovruфигня дела пароль в открытом виде хранить... например в wordpress пароль уже давно как хеш предается... Незнайка путает хранение пароля с его передачей. Посмотри тело POST запроса при авторизации в WordPress - тебя ждет сюрприз в виде пароля в чистом виде. P.S. Русский язык для тебя родной? Соблюдать элементарные правила написания слабо? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 01:17 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
bazile я тебе говорю про передачу хеша пароля, в БД пароль храниться тоже в откртом виде, например если сделать свою функцию хеширования там с как-нить наворотом небольшим, то доставать пароль и БД хешировать его, а потом хеши сравнивать, то таким методом например троян и сниффер будет безсилен получить пароль, чтобы залогинеться например из другого места... ну за исключением того, что сессию выдернут... а за модифицирование формы, я не поднимал эту тему, потому что есть тоже защита, и вряд ли ты это за несколько минут обойдешь... Так и кто из нас незнайка... Факт в том, что в любом случае, злоумышленнику будет сложнее получить доступ к Secure Area :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 02:16 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
Програмёр, да это ерунда какая-то... фигю как-то придумал... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 02:19 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
так выслушал много мнений, теперь посмотрю сам :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 02:23 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
как видим, пароль действительно передается в открытом виде, ну блин ламьем из разрабов phpmyadmin :)) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 02:24 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruя тебе говорю про передачу хеша пароля Я понял. loginovruв БД пароль храниться тоже в откртом виде, Эксперты неустанно повторяют что нельзя хранить пароли в открытом виде; что надо использовать алгоритмы хеширования созданные специально для паролей (bcrypt, PBKDF2); что надо добавлять случайный salt к паролям перед хешированием. Но Незнайке это непочем. Давай - храни пароли в открытом виде. Любая узявимость на сайте - и база уплыла. Хакеры будут тебе благодарны за экономию их времени. Что с тобой заходят сделать пользователи этого сайта - подумай сам. loginovruесли сделать свою функцию хеширования Это не так просто как ты думаешь. Используй готовые проверенные алгоритмы. Их защита основа не на сокрытии своего устройства, а на доказанной математической стойкости. loginovruпотому что есть тоже защита, и вряд ли ты это за несколько минут обойдешь Конечно. Ты же известный эксперт по безопасности. loginovruзлоумышленнику будет сложнее получить доступ к Secure Area Тебе уже несколько раз сказали - используй SSL - это единственный нормальный способ защиты, который работает всегда и везде. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 02:53 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
bazile(Незнайка), :) я не могу понять, что ты пытаешься доказать ? что передвать пароли в открытом виде безопаснее, чем в закрытом ? или для тебя это безразницы, ну да ты ж Незнайка! пишешь ерунду разную "модифицирование страницы" - за это вообще пока речь не шла.... приплел SSL... (слушай, а че именно ssl а не tls например ?) :) спрашиваешь одно, а тут тебе сразу куча разной ерудны которая не относится к теме... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 03:09 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
> Это не так просто как ты думаешь. да конечно, я знаю о чем говорю.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 03:12 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
> Любая узявимость на сайте - и база уплыла. да что ты говоришь :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 03:14 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruя не могу понять, что ты пытаешься доказать ? что передвать пароли в открытом виде безопаснее, чем в закрытом ? Я объясняю тебе что хеширование пароля перед отправкой формы повышает безопасность на очень-очень малую величину и легко обходится т.к. хеш пароля выступает в роли эквивалента пароля. Единственный надежный способ защиты это SSL. Или TLS, что по сути одно и тоже. loginovruпишешь ерунду разную "модифицирование страницы" - за это вообще пока речь не шла Это один из способов обойти предложенную защиту. Всё по теме. loginovruспрашиваешь одно, а тут тебе сразу куча разной ерудны которая не относится к теме... Зато ты строго по теме общаешься. Приплел wordpress. Собираешься хранить пароли в открытом виде. Предлагаешь изобрести собственную функцию хеширования. Действуешь строго по народной поговорке - В чужом глазу соломинку замечаем, а в своём бревно не видим. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 03:40 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
bazile, ээ не надо придумывать, я наоборот не сторонник того, чтобы хранить пароли в открытом виде, в wp если уже так и быть тоже пароль передается в открытом виде.... без кое-каких доработок... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 03:48 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
bazile Я объясняю тебе что хеширование пароля перед отправкой формы повышает безопасность на очень-очень малую величину и легко обходится т.к. хеш пароля выступает в роли эквивалента пароля. Единственный надежный способ защиты это SSL. Или TLS, что по сути одно и тоже. это смотря с какой стороны посмотреть, если с точки зрения прослушивания канала, то хоть хешируй хоть нет, а вот по поводу того, что пароль выйдет во всеобщие массы то здесь - это вряд ли... а это и есть как раз то, как трои выцепляют пароли... и например попользоваться учеткой смогут далеко не все, опять же есть защиты разного рода от модифицирования форм, страниц и довольно таки эффективны... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 03:55 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruээ не надо придумывать, я наоборот не сторонник того, чтобы хранить пароли в открытом виде Короткая память? Зачем мне что-то придумывать когда ты сам только что сказал: loginovrubazile я тебе говорю про передачу хеша пароля, в БД пароль храниться тоже в откртом виде , например если сделать свою функцию хеширования там с как-нить наворотом небольшим, то доставать пароль и БД хешировать его ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 05:17 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruкак видим, пароль действительно передается в открытом виде, ну блин ламьем из разрабов phpmyadmin :)) ПРосто во всём мире ты один шаришь как сделать соединение безопасный... Понимаешь какая хрень, фрейворк Yii тоже имеет стандартную форму авторизации (создаёт её по умолчанию при создании проекта), так вот, она тоже хэш пароля считает только на стороне сервера. Я тебе аналогию с сейфом привёл, но ты думать видимо не захотел, что бы понять. Если по простому, то мне как хакеру нафинг не нужен твой пароль в чистом виде. Для взлома аккаунта (входа в аккаунт) мне достаточно просто повторить твой запрос к серверу... И не важно в каком виде отправляется логин и пароль (зашифрованном или открытом... или вообще контрольная сумма обоих). Ни одна разумная CMS этим не страдает, фреймворки данный функционал не поставляют, соц.сети и другие огромные ресурсы отправляют пароли в чистом виде (google, yandex, vk, fb). Для тебя это не является показателем того, что ты что-то не то придумал? Если бы отправка чистого пароля была бы настолько небезопасной, то об этом весь инэт гудел бы (так как уже не первый год гудит о том, что в базе должны быть хэши паролей и желательно с солью!) И тебе уже много раз тут сказали, что для защиты соединения надо пользовать ssl, который исключает возможность вклинивания между клиентом и сервером, а также позволяет клиенту быть уверенным, что он вводит пароль именно на твоём ресурсе (а не на клоне, адрес которого чем-то был прописан у тебя в файле хостов). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 08:52 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
Програмёр, да vk в открытом виде тоже передается.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 10:23 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruкак видим, пароль действительно передается в открытом виде, ну блин ламьем из разрабов phpmyadmin :)) Ламнье это вы, и чем больше тут пишите, тем больше это подверждаете. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 10:50 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
ПрограмёрПРосто во всём мире ты один шаришь как сделать соединение безопасный... Понимаешь какая хрень, фрейворк Yii тоже имеет стандартную форму авторизации (создаёт её по умолчанию при создании проекта), так вот, она тоже хэш пароля считает только на стороне сервера. Да он упорот, ему бесполезно доказывать. Предлагаю его забанить за тупость ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 10:52 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
Hett, лично я против передачи пароля в открытом виде, это большая уязвимость в безопасности уже изначально. А в VK далеко не флагман с точки зрения безопасности, а что касается реализации входа и передачи пароля они реализовали там по другому, они защитились там несколькими способами, кука + постоянные проверки по IP (откуда пришел)! А вот если использовать например такой алгоритм сначала клиент (броузер) запрашивает специальную строку (через AJAX), сервер генерирует случайным образом, а также ID этой строки, записывает эту связку в сессию, и отдает клиенту. А клиент, в свою очередь, передает на сервер MD5(строка+MD5(пароль)+MD5(строка)), и ID той случайной строки, а сервер проверяет и говорит всё ли верно, удаляя запись из сессии в любом случае. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 15:39 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
Hett Да он упорот, ему бесполезно доказывать. Предлагаю его забанить за тупость расскажи пожалуйста подробнее о себе - кто такой упорот ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 15:43 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruHett Да он упорот, ему бесполезно доказывать. Предлагаю его забанить за тупость расскажи пожалуйста подробнее о себе - кто такой упорот ? http://wikireality.ru/wiki/Упоротый Модератор: Подобное следует обсуждать на медицинских форумах. Прошу прекратить оффтопик и воздержаться от перехода на личности. Иначе забаню обе стороны. -- vkle ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 16:48 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
Hett, также если передавать пароль в хеше например, то это избавит от выдергивания пароля разных "плагинов" недобросовестных, и вообще - я обсуждаю тему самой безопасности.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 18:25 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruесли передавать пароль в хеше например, то это избавит от выдергивания пароля разных "плагинов" недобросовестных Хеширование не защитит пароль от перехвата злонамеренным расширением браузера т.к. оно может навесить keypress событие на поле password. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 19:29 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
bazileloginovruесли передавать пароль в хеше например, то это избавит от выдергивания пароля разных "плагинов" недобросовестных Хеширование не защитит пароль от перехвата злонамеренным расширением браузера т.к. оно может навесить keypress событие на поле password.SSL/TLS в таком случае тоже курят в сторонке. А еще враг может направить на клавиатуру банальный видеорегистратор-авторучку или вроде того. Это к тому, что сам по себе вопрос безопасности на основании хеширования пароля практически бесполезен, будучи вырванным из контекста. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 21:39 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
vkle, ну не совсем бесполезен, по крайней мере такой пароль вряд ли можно будет выложить где-то и массово им воспользуются и воспользуются ли вообще :) Что касается phpmyadmin могли бы действительно сделать более надежную авторизацию, это не же VK и не фейсбук, все таки Базы Данных... И способы есть... Да и VK как бы особо не старалось защитить передачу пароля, они по безопасноти бьют на то, что если пароль уйдет то, чтобы можно было быстро обнаружить... например отчеты о сессиях 6-ти последних и т.д. что касается SSL/TLS, сам алгоритм вряд ли получится взломать, но есть способы его обойти ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.09.2014, 01:10 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruЧто касается phpmyadmin могли бы действительно сделать более надежную авторизацию, это не же VK и не фейсбук, все таки Базы Данных...А смысл? VK и фейсбук - это ресурсы массовой доступности, где доступ _должен_ быть отовсюду. Что касается доступа к БД, да еще через сугубо специфичный инструмент phpmyadmin - в реале это совершенно _не требует_ необходимости доступа отовсюду. Есть способы ограничить доступ даже при открыто выложенных паролях. Например, можно ограничить подключения только localhost, открывая для удаленного подключения SSH-туннель по необходимости. Разумеется, пароль или ключ авторизации SSH тоже могут быть скомпрометированы. Так можно продолжать долго. Ровно до тех пор, пока не будет выработана стратегия обеспечения безопасности, а каждый элемент не станет рассматриваться в рамках этой стратегии. В том же VK выработали стратегию, в достаточной степени приемлемую и для них (владельцев сети) и для пользователей - блокировка по активности и способы восстановления доступа, двухфакторная аутентификация на ключевых действиях и т.д. Конечно, можно возразить, что хостеры нередко предоставляют доступ к БД через их штатный phpmyadmin. И не только доступ к БД. Они еще предоставляют доступ к файловой системе через FTP, к консоли через SSH и даже к панели управления хостингом! Во блин, из панели управления можно поменять вообще все пароли и получить неограниченный доступ ко всему. Куда уж тут пыхмайадмину - вообще всё плохо, оказывается (где тут смайлик "сарказм"?). Однако, при ближайшем рассмотрении оказывается, что вся ответственность лежит исключительно на пользователе, в обязанность которого входит обеспечение сохранности и своевременной смены паролей. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.09.2014, 14:15 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruПрограмёр, да vk в открытом виде тоже передается.... я вам больше скажу, во всех интернет банках, без исключения, пароль, если убрать SSL, точно так же в открытом виде передаётся. так что если у вас "человек по середине", то все ваши пароли открытым текстом идут прямо злоумышленнику. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.09.2014, 14:48 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovru, интересно. 1. почему когда я написал, что проверил - что пхпмайадмин в открытом виде посылает, ваша строно продолжает спрашивать что да как. 2. нащот открытый пароль закрытый пароль. Вам пытаються обьяснить - что передавая хеш пароля вместо открытого, вы не повышаете безопасность сайта. кратко по вашим же примерам -- перехватил снифер, и если хеш то через форму не зайдёшь...я более чем уверен, что если снифер перехватывает, то он не через форму будет проверять возможность зайти, а через прямою посылку нужного запроса! -- вордпрес ...ну передеают в закрытом виде, хорошо. вцелом таки да, передача в закрытом виде предпочтительней...но это не новый виток безопасности системы, это безопасность самой информации. особено если хеш с солью Хеш_функция(хешируемое_значение + соль) вот пишешь ты везде пароль васяпупкин2014. кахер перехватил его, сделал базу паролей и его скрипт пробегает по всем сайтам, и пытаеться залогиниться - и на раз находит все твои учётки(где логин и пароль совпадает) если же каждый сайт использует свою соль...вот тут уже облом. даже зная эту соль, даже перехватив хеш, и зная что ты стопудняк создал акаунт на другом сайте с темже логином и паролем, чорта два ты по быстрому сгенерируешь нужный хеш для второго сайта. в этом предпочтительность... но если речь идёт о конкретном сайте, и перехват пароля делаеться на этот сайт, то что ты его зашифруешь, что захешируешь, что переставишь буквы местами, по барабану... кто перехватит пост запрос авторизации, также сможет авторизоваться. выход - только шифрование самого протокола(сообщений всех между сервером и клиентом) можно своё изобрести, но зачем если есть хттпс(ссл) которое тут любезно рекомендовали ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.09.2014, 16:43 |
|
||
|
|
start [/forum/topic.php?all=1&fid=23&tid=1462397]: |
0ms |
get settings: |
5ms |
get forum list: |
9ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
52ms |
get topic data: |
6ms |
get forum data: |
1ms |
get page messages: |
43ms |
get tp. blocked users: |
1ms |
| others: | 214ms |
| total: | 335ms |
| 0 / 0 |
