новые сообщения
ответы на мои сообщения
избранное
скрытые темы
случайный топик
открыть всё в новых вкладках
Форум → Программирование → Пыхнуть хотите? → F.A.Q. → Авторизация пользователей в полном смысле этого слова.
Авторизация пользователей в полном смысле этого слова.
-
Сообщения:
11960
Репутация:
N
Группа:
в ухо
5 апреля 2008 г. 12:35, спустя 2 минуты 14 секунд
хотя с другой стороны, он может шифровать пароль. и если у него есть код шифровки — расшифровать и выдать в нормальном видевсе умрут, а я изумруд -
Сообщения:
3131
Репутация:
N
Группа:
в ухо
6 апреля 2008 г. 0:14, спустя 11 часов 38 минут 37 секунд
Значит получается, что на тех сайтах, где высылается пароль в нормальном виде - там нету никакого md5? И значит админ сайта может посмотреть все пароли?
Может.
А там где хешируется, может перехватить данные посылаемые при авторизации.
И может читать приватную переписку, личные сообщения, отслеживать перемещения по сайту, с каких сайтов пришел и на каких IP сидел.
Вещь совершенно очевидная, но почему-то для многих это становится шоком. -
Сообщения:
103
Репутация:
N
Группа:
Кто попало
18 апреля 2008 г. 8:57, спустя 12 дней 8 часов 43 минуты
Интересная тема, но все смешалось в кучу.
Есть предложение по коду проверки, session_start() поместить здесь не в шапку а непосредственно меж 20й и 21й строкой кода.
Чтобы сессия запускалась только в случае если пользователь нашелся. Это будет красиво. Как считаете? -
Сообщения:
135
Репутация:
N
Группа:
Кто попало
23 апреля 2008 г. 9:26, спустя 5 дней 28 минут
Значит получается, что на тех сайтах, где высылается пароль в нормальном виде - там нету никакого md5?
да, да, да
хули не ясно?
не может же он расхешировать md5. нету такого. с пальца ему высосать чтоли?
конечно значит не хешируется пароль а кладется в первозданном виде
А вот ты не прав.
Я придумал способ, как можно узнать пароль пользователей.
Когда пользователи будут заходить на сайт, мы напишем скрипт который будет сохранять введённые данные пользователями например в бд или в текстовы файл. И вставим мы этот скрипт перед моментов, когда мы будем хэшировать пароль методом md5 :D -
Сообщения:
2701
Репутация:
N
Группа:
Кто попало
-
Сообщения:
125
Репутация:
N
Группа:
Кто попало
-
Сообщения:
2701
Репутация:
N
Группа:
Кто попало
24 апреля 2008 г. 3:06, спустя 3 часа 33 минуты 47 секунд
дашь скрипт?:)
На шару не давай! Можно ж нехило бабла поднять. -
Сообщения:
135
Репутация:
N
Группа:
Кто попало
24 апреля 2008 г. 8:20, спустя 5 часов 14 минут 9 секунд
дашь скрипт?:)
mechanic, я даж не знаю что тебе сказать. Это самое лёгкое, что только можно делать на свете с php
Мой тебе совет: скачай все книги по php, которые здесь найдёшь и все их просматри!: http://knigka.info/ -
Сообщения:
2701
Репутация:
N
Группа:
Кто попало
-
Сообщения:
125
Репутация:
N
Группа:
Кто попало
24 апреля 2008 г. 10:37, спустя 1 час 42 минуты 55 секунд
о, спасибо за совет, дружище! )
пойду качать) -
Сообщения:
1068
Репутация:
N
Группа:
Джедаи
24 апреля 2008 г. 10:41, спустя 3 минуты 9 секунд
XoxMa
, перечитай ещё раз пост vasa_c … А там где хешируется, может перехватить данные посылаемые при авторизации.
И может читать приватную переписку, личные сообщения, отслеживать перемещения по сайту, с каких сайтов пришел и на каких IP сидел.
Вещь совершенно очевидная, но почему-то для многих это становится шоком.
sap, mechanic, хорош уже ) -
Сообщения:
1658
Репутация:
N
Группа:
Джедаи
-
Сообщения:
1658
Репутация:
N
Группа:
Джедаи
20 июля 2008 г. 8:39, спустя 1 минуту 30 секунд
И еще как определить в какой пользователь группе?
$_SESSION['group'] = 'blabla';
так? -
Сообщения:
843
Репутация:
N
Группа:
Джедаи
20 июля 2008 г. 8:53, спустя 14 минут 23 секунды
А где еще хранить «соль»? Кроме базы.
Я храню в солянке, ой в переменной, если соль - это константа :) -
Сообщения:
1658
Репутация:
N
Группа:
Джедаи
20 июля 2008 г. 8:55, спустя 1 минуту 49 секунд
Тоесть она должна быть с самого начала определена?
А если злоумышленник скачает скрипт, посмотрит сол и поставит соль и хэш на john the ripper, то что?
Пожалуйста, авторизуйтесь, чтобы написать комментарий!