Этот баннер — требование Роскомнадзора для исполнения 152 ФЗ.
«На сайте осуществляется обработка файлов cookie, необходимых для работы сайта, а также для анализа использования сайта и улучшения предоставляемых сервисов с использованием метрической программы Яндекс.Метрика. Продолжая использовать сайт, вы даёте согласие с использованием данных технологий».
Политика конфиденциальности
|
|
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruа если в компе трой который перехватывает отсылку из форм + куки ? если отрпавит пароль так как есть и хеш, это вещи разные ) и зайти будет проще... так как пароль есть, а вот если хеш так просто не зайдешь через форму, а насчет если канал сифонится, сниффером, то и есть + пароль то он так и не увидит, в вот сессию можно вытащить сможет же авторизированную.... ну и вообще в логах везде, фигня дела пароль в открытом виде хранить... например в wordpress пароль уже давно как хеш предается... Браво... Дождались. Так... У меня есть крутой, пароль для сейфу. Что бы сейф было сложнее взломать, я посчитал хеш своего пароля и поставил его как пароль на сейф. А теперь скажи пожалуйста, если кто-то подсмотрит как я ввожу "новый" пароль, будет ли ему сложнее открыть сейф, чем если бы пароль не был зашифрован. Ответ обоснуйте ))) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 00:26 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruотличие есть и очень глобальное.... с точки зрения безопасности... приведите логи - где в открытом виде... Если ты о логах веб-сервера, то никто не говорил что форма отправляется GET запросом. Подразумевается метод POST при котором тело запроса не протоколируется. Насчет доказетельства передачи пароля в открытом виде смотри скриншот из Fiddler ниже с демо-сайта phpMyAdmin . Это его последняя стабильная версия. loginovruа если в компе трой который перехватывает отсылку из форм + куки ? если отрпавит пароль так как есть и хеш, это вещи разные ) и зайти будет проще... так как пароль есть, а вот если хеш так просто не зайдешь Эта "защита" поможет только от незнаек вроде тебя. Она обходится за пару минут максимум путем модификации страницы. Особенно авторам трояна. Единственное достоинство этого метода описал Hett - 16562687 - но это всё фигня т.к. пароли должны быть разные. loginovruфигня дела пароль в открытом виде хранить... например в wordpress пароль уже давно как хеш предается... Незнайка путает хранение пароля с его передачей. Посмотри тело POST запроса при авторизации в WordPress - тебя ждет сюрприз в виде пароля в чистом виде. P.S. Русский язык для тебя родной? Соблюдать элементарные правила написания слабо? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 01:17 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
bazile я тебе говорю про передачу хеша пароля, в БД пароль храниться тоже в откртом виде, например если сделать свою функцию хеширования там с как-нить наворотом небольшим, то доставать пароль и БД хешировать его, а потом хеши сравнивать, то таким методом например троян и сниффер будет безсилен получить пароль, чтобы залогинеться например из другого места... ну за исключением того, что сессию выдернут... а за модифицирование формы, я не поднимал эту тему, потому что есть тоже защита, и вряд ли ты это за несколько минут обойдешь... Так и кто из нас незнайка... Факт в том, что в любом случае, злоумышленнику будет сложнее получить доступ к Secure Area :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 02:16 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
Програмёр, да это ерунда какая-то... фигю как-то придумал... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 02:19 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
так выслушал много мнений, теперь посмотрю сам :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 02:23 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
как видим, пароль действительно передается в открытом виде, ну блин ламьем из разрабов phpmyadmin :)) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 02:24 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruя тебе говорю про передачу хеша пароля Я понял. loginovruв БД пароль храниться тоже в откртом виде, Эксперты неустанно повторяют что нельзя хранить пароли в открытом виде; что надо использовать алгоритмы хеширования созданные специально для паролей (bcrypt, PBKDF2); что надо добавлять случайный salt к паролям перед хешированием. Но Незнайке это непочем. Давай - храни пароли в открытом виде. Любая узявимость на сайте - и база уплыла. Хакеры будут тебе благодарны за экономию их времени. Что с тобой заходят сделать пользователи этого сайта - подумай сам. loginovruесли сделать свою функцию хеширования Это не так просто как ты думаешь. Используй готовые проверенные алгоритмы. Их защита основа не на сокрытии своего устройства, а на доказанной математической стойкости. loginovruпотому что есть тоже защита, и вряд ли ты это за несколько минут обойдешь Конечно. Ты же известный эксперт по безопасности. loginovruзлоумышленнику будет сложнее получить доступ к Secure Area Тебе уже несколько раз сказали - используй SSL - это единственный нормальный способ защиты, который работает всегда и везде. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 02:53 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
bazile(Незнайка), :) я не могу понять, что ты пытаешься доказать ? что передвать пароли в открытом виде безопаснее, чем в закрытом ? или для тебя это безразницы, ну да ты ж Незнайка! пишешь ерунду разную "модифицирование страницы" - за это вообще пока речь не шла.... приплел SSL... (слушай, а че именно ssl а не tls например ?) :) спрашиваешь одно, а тут тебе сразу куча разной ерудны которая не относится к теме... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 03:09 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
> Это не так просто как ты думаешь. да конечно, я знаю о чем говорю.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 03:12 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
> Любая узявимость на сайте - и база уплыла. да что ты говоришь :) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 03:14 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruя не могу понять, что ты пытаешься доказать ? что передвать пароли в открытом виде безопаснее, чем в закрытом ? Я объясняю тебе что хеширование пароля перед отправкой формы повышает безопасность на очень-очень малую величину и легко обходится т.к. хеш пароля выступает в роли эквивалента пароля. Единственный надежный способ защиты это SSL. Или TLS, что по сути одно и тоже. loginovruпишешь ерунду разную "модифицирование страницы" - за это вообще пока речь не шла Это один из способов обойти предложенную защиту. Всё по теме. loginovruспрашиваешь одно, а тут тебе сразу куча разной ерудны которая не относится к теме... Зато ты строго по теме общаешься. Приплел wordpress. Собираешься хранить пароли в открытом виде. Предлагаешь изобрести собственную функцию хеширования. Действуешь строго по народной поговорке - В чужом глазу соломинку замечаем, а в своём бревно не видим. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 03:40 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
bazile, ээ не надо придумывать, я наоборот не сторонник того, чтобы хранить пароли в открытом виде, в wp если уже так и быть тоже пароль передается в открытом виде.... без кое-каких доработок... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 03:48 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
bazile Я объясняю тебе что хеширование пароля перед отправкой формы повышает безопасность на очень-очень малую величину и легко обходится т.к. хеш пароля выступает в роли эквивалента пароля. Единственный надежный способ защиты это SSL. Или TLS, что по сути одно и тоже. это смотря с какой стороны посмотреть, если с точки зрения прослушивания канала, то хоть хешируй хоть нет, а вот по поводу того, что пароль выйдет во всеобщие массы то здесь - это вряд ли... а это и есть как раз то, как трои выцепляют пароли... и например попользоваться учеткой смогут далеко не все, опять же есть защиты разного рода от модифицирования форм, страниц и довольно таки эффективны... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 03:55 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruээ не надо придумывать, я наоборот не сторонник того, чтобы хранить пароли в открытом виде Короткая память? Зачем мне что-то придумывать когда ты сам только что сказал: loginovrubazile я тебе говорю про передачу хеша пароля, в БД пароль храниться тоже в откртом виде , например если сделать свою функцию хеширования там с как-нить наворотом небольшим, то доставать пароль и БД хешировать его ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 05:17 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruкак видим, пароль действительно передается в открытом виде, ну блин ламьем из разрабов phpmyadmin :)) ПРосто во всём мире ты один шаришь как сделать соединение безопасный... Понимаешь какая хрень, фрейворк Yii тоже имеет стандартную форму авторизации (создаёт её по умолчанию при создании проекта), так вот, она тоже хэш пароля считает только на стороне сервера. Я тебе аналогию с сейфом привёл, но ты думать видимо не захотел, что бы понять. Если по простому, то мне как хакеру нафинг не нужен твой пароль в чистом виде. Для взлома аккаунта (входа в аккаунт) мне достаточно просто повторить твой запрос к серверу... И не важно в каком виде отправляется логин и пароль (зашифрованном или открытом... или вообще контрольная сумма обоих). Ни одна разумная CMS этим не страдает, фреймворки данный функционал не поставляют, соц.сети и другие огромные ресурсы отправляют пароли в чистом виде (google, yandex, vk, fb). Для тебя это не является показателем того, что ты что-то не то придумал? Если бы отправка чистого пароля была бы настолько небезопасной, то об этом весь инэт гудел бы (так как уже не первый год гудит о том, что в базе должны быть хэши паролей и желательно с солью!) И тебе уже много раз тут сказали, что для защиты соединения надо пользовать ssl, который исключает возможность вклинивания между клиентом и сервером, а также позволяет клиенту быть уверенным, что он вводит пароль именно на твоём ресурсе (а не на клоне, адрес которого чем-то был прописан у тебя в файле хостов). ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 08:52 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
Програмёр, да vk в открытом виде тоже передается.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 10:23 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruкак видим, пароль действительно передается в открытом виде, ну блин ламьем из разрабов phpmyadmin :)) Ламнье это вы, и чем больше тут пишите, тем больше это подверждаете. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 10:50 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
ПрограмёрПРосто во всём мире ты один шаришь как сделать соединение безопасный... Понимаешь какая хрень, фрейворк Yii тоже имеет стандартную форму авторизации (создаёт её по умолчанию при создании проекта), так вот, она тоже хэш пароля считает только на стороне сервера. Да он упорот, ему бесполезно доказывать. Предлагаю его забанить за тупость ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 10:52 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
Hett, лично я против передачи пароля в открытом виде, это большая уязвимость в безопасности уже изначально. А в VK далеко не флагман с точки зрения безопасности, а что касается реализации входа и передачи пароля они реализовали там по другому, они защитились там несколькими способами, кука + постоянные проверки по IP (откуда пришел)! А вот если использовать например такой алгоритм сначала клиент (броузер) запрашивает специальную строку (через AJAX), сервер генерирует случайным образом, а также ID этой строки, записывает эту связку в сессию, и отдает клиенту. А клиент, в свою очередь, передает на сервер MD5(строка+MD5(пароль)+MD5(строка)), и ID той случайной строки, а сервер проверяет и говорит всё ли верно, удаляя запись из сессии в любом случае. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 15:39 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
Hett Да он упорот, ему бесполезно доказывать. Предлагаю его забанить за тупость расскажи пожалуйста подробнее о себе - кто такой упорот ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 15:43 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruHett Да он упорот, ему бесполезно доказывать. Предлагаю его забанить за тупость расскажи пожалуйста подробнее о себе - кто такой упорот ? http://wikireality.ru/wiki/Упоротый Модератор: Подобное следует обсуждать на медицинских форумах. Прошу прекратить оффтопик и воздержаться от перехода на личности. Иначе забаню обе стороны. -- vkle ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 16:48 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
Hett, также если передавать пароль в хеше например, то это избавит от выдергивания пароля разных "плагинов" недобросовестных, и вообще - я обсуждаю тему самой безопасности.... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 18:25 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
loginovruесли передавать пароль в хеше например, то это избавит от выдергивания пароля разных "плагинов" недобросовестных Хеширование не защитит пароль от перехвата злонамеренным расширением браузера т.к. оно может навесить keypress событие на поле password. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 19:29 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
bazileloginovruесли передавать пароль в хеше например, то это избавит от выдергивания пароля разных "плагинов" недобросовестных Хеширование не защитит пароль от перехвата злонамеренным расширением браузера т.к. оно может навесить keypress событие на поле password.SSL/TLS в таком случае тоже курят в сторонке. А еще враг может направить на клавиатуру банальный видеорегистратор-авторучку или вроде того. Это к тому, что сам по себе вопрос безопасности на основании хеширования пароля практически бесполезен, будучи вырванным из контекста. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.09.2014, 21:39 |
|
||
|
phpmyadmin
|
|||
|---|---|---|---|
|
#18+
vkle, ну не совсем бесполезен, по крайней мере такой пароль вряд ли можно будет выложить где-то и массово им воспользуются и воспользуются ли вообще :) Что касается phpmyadmin могли бы действительно сделать более надежную авторизацию, это не же VK и не фейсбук, все таки Базы Данных... И способы есть... Да и VK как бы особо не старалось защитить передачу пароля, они по безопасноти бьют на то, что если пароль уйдет то, чтобы можно было быстро обнаружить... например отчеты о сессиях 6-ти последних и т.д. что касается SSL/TLS, сам алгоритм вряд ли получится взломать, но есть способы его обойти ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.09.2014, 01:10 |
|
||
|
|
start [/forum/topic.php?fid=23&msg=38745801&tid=1462397]: |
0ms |
get settings: |
9ms |
get forum list: |
10ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
46ms |
get topic data: |
7ms |
get forum data: |
2ms |
get page messages: |
40ms |
get tp. blocked users: |
1ms |
| others: | 254ms |
| total: | 373ms |
| 0 / 0 |
