Гость
Войти | Профиль | Очистить
Целевая тема:
Создать новую тему:
Автор:
Действия ...
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / Авторизация и куки / 15 сообщений из 15, страница 1 из 1
21.04.2006, 01:18:34
    #33680968
YuriyA
YuriyA
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Авторизация и куки
Пользователи хранятся в базе, при входе на сайт пользователь вводит имя и пароль, проверяется его наличие в базе далее запускается сесия и он может дальше авторизованый бродить по сайту. Для того чтобы каждый раз не вводить пароль при входе на сайт надо использовать куки. Вопрос: что хранить в куках? Имя и пароль не серьезно как-то. Как лучше реализовать этот механизм
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.04.2006, 07:22:00
    #33681081
НачПроггер
НачПроггер
Гость
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Авторизация и куки
Можешь хранить ID сессии, а в БД создать временную таблицу, где по ID сессии сможешь вытащить логин и пароль и ваще любую инфу. Даже если сопрут ID сессии, то она мало чм сможет пригодиться.
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.04.2006, 10:55:11
    #33681576
ZS
ZS
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Авторизация и куки
Также можешь хранить не пароль а хеш пароля а потом сравнивать его по-типу $hash_pass == md5($user_pass), я делаю так
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.04.2006, 12:03:12
    #33681993
4m@t!c
4m@t!c
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Авторизация и куки
Когда-то в сети наткнулся на ресурс, суть которого сводилась к следующему. Вы вбивали хеш md5. А вам ресурс предлагал варианты слова, которые этот хеш генерировали. После этого случая я либо не использую MD5, либо к слову прибавляю кодовую строку и хеширую получившееся. Возможно это и глупость, но ИМХО как вариант.
----------------------------------------
Артисты не приехали, приехали цыгане
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.04.2006, 12:08:44
    #33682027
ZS
ZS
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Авторизация и куки
4m@t!cКогда-то в сети наткнулся на ресурс, суть которого сводилась к следующему. Вы вбивали хеш md5. А вам ресурс предлагал варианты слова, которые этот хеш генерировали. После этого случая я либо не использую MD5, либо к слову прибавляю кодовую строку и хеширую получившееся. Возможно это и глупость, но ИМХО как вариант.


Не поделишься ссылочкой:)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.04.2006, 12:10:56
    #33682041
4m@t!c
4m@t!c
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Авторизация и куки
1. Обсуждение взлома противоречит правилам форума
2. Я ее не запомнил, тогда я еще смутно понимал, зачем мне это может пригодиться.
----------------------------------------
Артисты не приехали, приехали цыгане
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.04.2006, 12:18:17
    #33682086
ZS
ZS
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Авторизация и куки
4m@t!c1. Обсуждение взлома противоречит правилам форума

Обсуждение не взлома, а как от этого защится, если бы я увидел это собственными глазами, то все же пересмотрел бы свое отношение к md5, который ранее считал неломаемым...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.04.2006, 12:22:19
    #33682099
Damnedest
Damnedest
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Авторизация и куки
Ссылка была бы очень интересна
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.04.2006, 12:30:31
    #33682132
4m@t!c
4m@t!c
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Авторизация и куки
я только что нашел через Гугл. и декриптовал цифру 1. Более сложные конструкции тоже возможны, потому что кло-во вариантов у MD5 имеет конечное число. Так же не стоит забывать, что существуют коллизии. Этого достаточно, что бы не пользоваться просто md5.
----------------------------------------
Артисты не приехали, приехали цыгане
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.04.2006, 12:38:12
    #33682159
ZS
ZS
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Авторизация и куки
4m@t!cя только что нашел через Гугл. и декриптовал цифру 1. Более сложные конструкции тоже возможны, потому что кло-во вариантов у MD5 имеет конечное число. Так же не стоит забывать, что существуют коллизии. Этого достаточно, что бы не пользоваться просто md5.


Вывод кеши на клиенте лучше не хранить? Хранить в табличках для запоминания пользователя при повторном возвращении? Или использовать другой алгоритм шифрования?
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.04.2006, 12:38:27
    #33682160
ZS
ZS
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Авторизация и куки
Сорри не кеши а хеши:)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.04.2006, 12:50:56
    #33682227
4m@t!c
4m@t!c
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Авторизация и куки
Зачем хранить пароль на клиенте?
----------------------------------------
Артисты не приехали, приехали цыгане
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.04.2006, 13:01:13
    #33682279
ZS
ZS
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Авторизация и куки
4m@t!cЗачем хранить пароль на клиенте?
Чтобы сравнивать с тем, что хранится в БД, хотя вещь конечно спорная что хранить...
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.04.2006, 13:35:17
    #33682452
4m@t!c
4m@t!c
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Авторизация и куки
ИМХО.
Говорю сейчас о том, что мы пользуем MD5. Я еще раз озвучу, что можно получить несколько строк, которые сгенерируют один и тот же MD5-хеш - это колиззии. Т.е. говорить, что получить исходное значения из MD5 можно лишь условно, потому что алгоритм MD5 - это необратимое шифрование. НО гаратнировано сказать, что вот эта строка является исходной - нельзя.
Вернемсяк кукам на клиенте.
Клиент скорее всего прошел аутентификацию и получил куку в ввиде хеша пароля, и теперь он возвращает вам кук, что бы вы ее проверили.
Это же не единственный параметр, который вы проверяете? Так?
Что мешает на клиента выдавать уникальный признак того, что он прошел аутентификацию, проверять соответствие этого признака клиенту и все остальные признаки, которые вы проверяете при аутентификации.
Если куки клиента кто-то и украдет, то он не сможет получить пароль.
----------------------------------------
Артисты не приехали, приехали цыгане
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
21.04.2006, 14:18:39
    #33682708
ZS
ZS
Участник
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Авторизация и куки
4m@t!c
Что мешает на клиента выдавать уникальный признак того, что он прошел аутентификацию, проверять соответствие этого признака клиенту и все остальные признаки, которые вы проверяете при аутентификации.
Если куки клиента кто-то и украдет, то он не сможет получить пароль.


Да, можно заодно еще и по айпишнику проверить, это обсуждалось в соседней ветке, способ крайне сомнительный... Можно сгенерировать еще какую-нибудь чушь и сверять с ней, однако эту чушь (хеш) тоже можно выкрась из куки... гм, замкнутый круг, все же легче живется, когда думаешь что md5 не подбираем;)
...
Рейтинг: 0 / 0
| Ответить | Цитировать | Написать  
Форумы / PHP, Perl, Python [игнор отключен] [закрыт для гостей] / Авторизация и куки / 15 сообщений из 15, страница 1 из 1
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение  
Полит. конфиден.  
созд. / загр.: 476ms
Закрыть
start [/forum/topic.php?fid=23&tablet=1&tid=1476318]:
 0ms
get settings:
 7ms
get forum list:
 20ms
check forum access:
 4ms
check topic access:
 4ms
track hit:
 195ms
get topic data:
 9ms
get forum data:
 2ms
get page messages:
 45ms
get tp. blocked users:
 1ms
others: 189ms
total:  476ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]