Правила     Закладки     Карма    Календарь    Журналы    Помощь    Поиск    PDA    Чат   
        СМС-ки
   
Пейджер выключен!
Страницы: (4) 1 [2] 3 4  ( Перейти к первому непрочитанному сообщению )  
Фильтр авторов:    показать 
  скрыть
  Ответ в темуСоздание новой темыСоздание опроса

> Варианты авторизации
casper - gg  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Абориген
*****

Профиль
Группа: Пользователь
Сообщений: 216
Пользователь №: 42190
На форуме: 1 год, 3 месяца, 22 дня
Карма: 10




Цитата (FatCat @ 6.02.2016 - 16:08)
И пусть желающие брутфорсят с задержкой в 10 секунд... пока не состарятся.

Цитата (AllesKlar @ 6.02.2016 - 16:27)
лютый +
Вот этим и отличается здравый разум от горя от ума, коим любят некоторые тыкать, наивно полагая, что оно кому-то будет интересно.

и действительно, зачем городить сложные механизмы. по любому плюс.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
depp  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 371
Пользователь №: 40589
На форуме: 2 года, 3 месяца, 22 дня
Карма: 22




Цитата (Медведь @ 6.02.2016 - 13:55)
Тут нужен ещё механизм отслеживания, сколько раз было неудачных попыток входа под конкретный аккаунт.
Цитата (casper - gg @ 6.02.2016 - 15:32)
Вот про подсчеты количества подбора к одному и тому же аккаунту - уже какой никакой но толк будет.

наоборот, в таком случае "толка" будет меньше. так как обычно используя базу паролей, подбирают/пробуют один пароль к разным аккаунтам, а не ищут пароль от конкретного аккаунта.

Это сообщение отредактировал depp - 7.02.2016 - 01:14
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Valick  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 5593
Пользователь №: 35718
На форуме: 4 года, 4 месяца, 7 дней
Карма: 170




Цитата (depp @ 7.02.2016 - 00:09)
наоборот, в таком случае "толка" будет меньше. так как обычно используя базу паролей, подбирают/пробуют один пароль к разным аккаунтам

глупости
Цитата (depp @ 7.02.2016 - 00:09)
а не ищут пароль от конкретного аккаунта

контрольный в голову

Представляю себе разговор:
з: - мне надо вскрыть страничку одной девахи в одноклассниках
и: - нет проблем 1000 рублей всё удовольствие
прошло три дня...
з: - ну как успехи?
и: - отлично, правда указанную страничку я не вскрыл, но зато вскрыл 5 других, по 200 рублей брать будете?


--------------------
wmr - R281553014107
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Invis1ble  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме




******

Профиль
Группа: Эксперт
Группа переписки
Сообщений: 11861
Пользователь №: 23195
На форуме: 6 лет, 8 месяцев, 3 дня
Карма: 433

Трезвый :
7 лет, 7 месяцев, 2 дня


целевые атаки по-другому проводятся, так что поддержу depp


--------------------
PMПисьмо на e-mail пользователюСайт пользователя
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Valick  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 5593
Пользователь №: 35718
На форуме: 4 года, 4 месяца, 7 дней
Карма: 170




Invis1ble, а оптом брутофорсят если сливают логины и хеши из бд, но в топике как раз речь о другом.


--------------------
wmr - R281553014107
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
casper - gg  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Абориген
*****

Профиль
Группа: Пользователь
Сообщений: 216
Пользователь №: 42190
На форуме: 1 год, 3 месяца, 22 дня
Карма: 10




Цитата (depp @ 7.02.2016 - 01:09)
наоборот, в таком случае "толка" будет меньше. так как обычно используя базу паролей, подбирают/пробуют один пароль к разным аккаунтам, а не ищут пароль от конкретного аккаунта.


если есть база паролей, то там же будет и база логинов (или емайлов или еще чего). Тогда уж совсем никакой защитой не спастись, разве что пароли захешировать перед записью.

Если не поставить защиту от "брута", как написал FatCat или другую, то остается возможность этот "брут" применять.

Это сообщение отредактировал casper - gg - 7.02.2016 - 18:46
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Миша  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2611
Пользователь №: 37963
На форуме: 3 года, 7 месяцев, 16 дней
Карма: 28




Собственно так и не разобрался, в куках или сесcиях хранить информацию. Сессии нагружают сервер, печеньки можно увести...


--------------------
Болтовня ничего не стоит. Покажите мне код.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
casper - gg  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Абориген
*****

Профиль
Группа: Пользователь
Сообщений: 216
Пользователь №: 42190
На форуме: 1 год, 3 месяца, 22 дня
Карма: 10




Цитата (Медведь @ 7.02.2016 - 18:46)
Собственно так и не разобрался, в куках или сесcиях хранить информацию. Сессии нагружают сервер, печеньки можно увести...


ни пароль ни хэш ни там ни там. Остальное не принципиально, можно в куках, пусть уводят. Что там уведут - Имя, Логин, Адрес, номер строки в таблице, какие-то личные настройки и т.д. и т.п. пусть уводят, что с этим можно будет сделать, ровным счетом ни чего.

А вот важную инфу - пароли, номера кредиток, какие-либо заказы и все такое хранить только в своих местах (в БД или файлах)
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Миша  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2611
Пользователь №: 37963
На форуме: 3 года, 7 месяцев, 16 дней
Карма: 28




casper - gg Это то понятно, улыбнуло даже, кто пароль так хранить будет... Я про нагрузку, с одной стороны сервер нагружаем, с другой пользователя подставляем, хотя сам виноват будет.


--------------------
Болтовня ничего не стоит. Покажите мне код.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
casper - gg  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Абориген
*****

Профиль
Группа: Пользователь
Сообщений: 216
Пользователь №: 42190
На форуме: 1 год, 3 месяца, 22 дня
Карма: 10




Цитата (Медведь @ 7.02.2016 - 19:02)
Я про нагрузку, с одной стороны сервер нагружаем, с другой пользователя подставляем, хотя сам виноват будет.


Ну тогда разделить инфу логически на тут которую нельзя другим показывать и безобидную. Безобидную хранить в куках, та что поважнее в сессии. Хотя в современном мире все можно хранить в сессии.

Цитата (Медведь @ 7.02.2016 - 19:02)
casper - gg Это то понятно, улыбнуло даже, кто пароль так хранить будет...


ни написал бы так, ну так другой кто эту вставку сделает. А так самому интересно кто как хранит
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Миша  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2611
Пользователь №: 37963
На форуме: 3 года, 7 месяцев, 16 дней
Карма: 28




Цитата (casper - gg @ 7.02.2016 - 19:16)
Ну тогда разделить инфу логически на тут которую нельзя другим показывать и безобидную. Безобидную хранить в куках, та что поважнее в сессии. Хотя в современном мире все можно хранить в сессии.


Тема про авторизацию )) Что мы там хранить можем)


--------------------
Болтовня ничего не стоит. Покажите мне код.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
FatCat  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Чеширский кот
******

Профиль
Журнал
Группа: Администратор
Почтальон группы
Сообщений: 6004
Пользователь №: 1
На форуме: 11 лет, 1 месяц, 19 дней
Карма: 126

Не пью :
22 года, 6 месяцев, 20 дней


Пароль шифруется и хранится в базе зашифрованный. По мне, md5 достаточно, но кто хочет, может с солью, не принципиально.
Дальше к зашифрованной строке пароля добавляю айпишник, и снова md5 - получаю идентификатор сессии, который пишу в БД в таблицу сессий и в куки. Таким образом, даже если печеньку украли, с другого айпишника она не пустит.


--------------------
Бесплатному сыру в дырки не заглядывают...
PMПисьмо на e-mail пользователюICQ
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
killer8080  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Эксперт
Группа переписки
Сообщений: 8899
Пользователь №: 26630
На форуме: 6 лет, 24 дня
Карма: 603




Цитата (Медведь @ 7.02.2016 - 19:02)
Это то понятно, улыбнуло даже, кто пароль так хранить будет...

mail.ru и chat.ru именно на этом в свое время ловились, было это правда в доисторическую эпоху, когда по просторам модемного интернета бродили динозавры вроде Кевина Митника, но тем не менее. Сегодня такие ошибки делают в основном новички на своих мелких сайтиках. wink.gif

По теме, используй сессии и не парь мозг.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
bestxp  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



орангутанг
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 2050
Пользователь №: 36605
На форуме: 4 года, 1 месяц, 10 дней
Карма: 112




oAuth


--------------------
PMПисьмо на e-mail пользователюСайт пользователяICQ
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Миша  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2611
Пользователь №: 37963
На форуме: 3 года, 7 месяцев, 16 дней
Карма: 28




Цитата (FatCat @ 7.02.2016 - 20:45)
Пароль шифруется и хранится в базе зашифрованный. По мне, md5 достаточно, но кто хочет, может с солью, не принципиально.
Дальше к зашифрованной строке пароля добавляю айпишник, и снова md5 - получаю идентификатор сессии, который пишу в БД в таблицу сессий и в куки.

$res  = md5(пароль);
$res .= $_SERVER['REMOTE_ADDR'];
$avt = md5($res);
$user_session = session_id();

Записать в таблицу ($avt, $user_session);
Записать в куки($avt);


Как то так?


--------------------
Болтовня ничего не стоит. Покажите мне код.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Опции темыСтраницы: (4) 1 [2] 3 4  Ответ в темуСоздание новой темыСоздание опроса