|
| |
|
|
| |
для: himic
(06.10.2005 в 07:20)
| | | Я бы предположил кражу сесии - это распространенная проблема. | |
| |
|
|
| |
|
|
| |
для: Loki
(05.10.2005 в 12:44)
| | | Не ну меня всё равно мучеит вопрос, как создалась кука если с рабочего комп-ра никто туда сроду не ходил.
Ну а тем более пользователь была из Владивостока(не имеет значения от куда)! | |
| |
|
|
| |
|
|
| |
для: himic
(05.10.2005 в 11:06)
| | | Думаю, логин и хэш пароля - достаточно безопасно. | |
| |
|
|
| |
|
|
| |
для: Loki
(04.10.2005 в 11:54)
| | | а в куках что лучше хранить пароль или какой нибудь идендификатор | |
| |
|
|
| |
|
|
| |
для: himic
(04.10.2005 в 11:23)
| | | для этого и используется пароль: например, на этот форум можно зайти под любым ником, подделав его в куке, но не зная пароля, постить и редактировать сообщения вы не сможете. | |
| |
|
|
| |
|
|
| |
для: multiBrain
(04.10.2005 в 08:48)
| | | Ну и вчём проблема, пишем соединение с базой с открытым паролем , вся надежда на сервер.
И как раз по этому случаю у меня случилось вот что:
зашёл я на страна.кз
а меня он приветствет под именем Evg ! Ну я их немного наказал :)
смотрю я в куку а там
LOGIN
evg-skorp
strana.kz/
1536
924895232
30050908
3201850272
29739168
*
как это могло случиться?
И при записи в куку заносить туда только имя пользователя или ещё что?
Зарегестрировался я у них сравнил свою куку всё одинаковое только разный логин | |
| |
|
|
| |
|
|
| |
для: himic
(04.10.2005 в 07:27)
| | | Теоретически не может. Только если сервер плохо настроен или будет какая-нибуть ошибка обработки, то сервер может не пропусить код через пхп-машину и выдать его обычным текстом. Но это редкость. Также если написан неграмотный код можно потратить время и момучить его генирируя ошибочные запросы и тем самым (правда если в настройках не включено полное подавление вывода инфы об ошибках) получать частичную инфу о коде. | |
| |
|
|
| |
|
|
| |
для: Loki
(03.10.2005 в 09:35)
| | | А чтобы узнать хэш нужен пароль для доступа к базе, а если злодей получил доступ к базе
нафига ему хэши, он сможет делать всё что угодно
Может ли пользователь просмотреть содержимое файла РНР? | |
| |
|
|
| |
|
|
| |
для: himic
(30.09.2005 в 18:01)
| | | Так можно и в базе данных хранить не пароль, а его хеш... Даже узнав его - авторизоваться все равно не получится. | |
| |
|
|
| |
|
|
| |
для: himic
(30.09.2005 в 18:01)
| | | тут уже собственно другой вопрос....тут дело стоит за дырами в скриптах и броней на сервере.. к mySQL данные для соединения придеться храниться открытыми.. тут уж ничего не поделаешь.... шифрование паролей - тут речь я вел о системах авторизации пользователей...
можно впринципе защитить и mySQL пароли.. была у меня промежуточная версия моей, так сказать cms, в которой при авторизации вводился 3 параметр - ключ который использовался для расшифровки конфиг файла, зашифрованного mcrypt функциями.. но впоследствии я отказался от этого.. слишком грамоздко, неудобно, непрактично (ИМХО). поэтому если хотите скрыть mySQL пароли - посторайтесь защитиь директорию с файлами серверными возможностями.... | |
| |
|
|
|
