Правила     Закладки     Карма    Календарь    Журналы    Помощь    Поиск    PDA    Чат   
        СМС-ки
   
Пейджер выключен!
Страницы: (4) 1 [2] 3 4  ( Перейти к первому непрочитанному сообщению )  
Фильтр авторов:    показать 
  скрыть
  Ответ в темуСоздание новой темыСоздание опроса

> Варианты авторизации
casper - gg  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Абориген
*****

Профиль
Группа: Пользователь
Сообщений: 216
Пользователь №: 42190
На форуме: 1 год, 2 дня
Карма: 10




Цитата (FatCat @ 6.02.2016 - 16:08)
И пусть желающие брутфорсят с задержкой в 10 секунд... пока не состарятся.

Цитата (AllesKlar @ 6.02.2016 - 16:27)
лютый +
Вот этим и отличается здравый разум от горя от ума, коим любят некоторые тыкать, наивно полагая, что оно кому-то будет интересно.

и действительно, зачем городить сложные механизмы. по любому плюс.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
depp  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 297
Пользователь №: 40589
На форуме: 2 года, 3 дня
Карма: 19




Цитата (Медведь @ 6.02.2016 - 13:55)
Тут нужен ещё механизм отслеживания, сколько раз было неудачных попыток входа под конкретный аккаунт.
Цитата (casper - gg @ 6.02.2016 - 15:32)
Вот про подсчеты количества подбора к одному и тому же аккаунту - уже какой никакой но толк будет.

наоборот, в таком случае "толка" будет меньше. так как обычно используя базу паролей, подбирают/пробуют один пароль к разным аккаунтам, а не ищут пароль от конкретного аккаунта.

Это сообщение отредактировал depp - 7.02.2016 - 01:14
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Valick  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 5493
Пользователь №: 35718
На форуме: 4 года, 17 дней
Карма: 167




Цитата (depp @ 7.02.2016 - 00:09)
наоборот, в таком случае "толка" будет меньше. так как обычно используя базу паролей, подбирают/пробуют один пароль к разным аккаунтам

глупости
Цитата (depp @ 7.02.2016 - 00:09)
а не ищут пароль от конкретного аккаунта

контрольный в голову

Представляю себе разговор:
з: - мне надо вскрыть страничку одной девахи в одноклассниках
и: - нет проблем 1000 рублей всё удовольствие
прошло три дня...
з: - ну как успехи?
и: - отлично, правда указанную страничку я не вскрыл, но зато вскрыл 5 других, по 200 рублей брать будете?


--------------------
wmr - R281553014107
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Invis1ble  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме




******

Профиль
Группа: Эксперт
Группа переписки
Сообщений: 11787
Пользователь №: 23195
На форуме: 6 лет, 4 месяца, 13 дней
Карма: 429

Трезвый :
7 лет, 3 месяца, 13 дней


целевые атаки по-другому проводятся, так что поддержу depp


--------------------
PMПисьмо на e-mail пользователюСайт пользователя
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Valick  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 5493
Пользователь №: 35718
На форуме: 4 года, 17 дней
Карма: 167




Invis1ble, а оптом брутофорсят если сливают логины и хеши из бд, но в топике как раз речь о другом.


--------------------
wmr - R281553014107
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
casper - gg  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Абориген
*****

Профиль
Группа: Пользователь
Сообщений: 216
Пользователь №: 42190
На форуме: 1 год, 2 дня
Карма: 10




Цитата (depp @ 7.02.2016 - 01:09)
наоборот, в таком случае "толка" будет меньше. так как обычно используя базу паролей, подбирают/пробуют один пароль к разным аккаунтам, а не ищут пароль от конкретного аккаунта.


если есть база паролей, то там же будет и база логинов (или емайлов или еще чего). Тогда уж совсем никакой защитой не спастись, разве что пароли захешировать перед записью.

Если не поставить защиту от "брута", как написал FatCat или другую, то остается возможность этот "брут" применять.

Это сообщение отредактировал casper - gg - 7.02.2016 - 18:46
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Медведь  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2482
Пользователь №: 37963
На форуме: 3 года, 3 месяца, 26 дней
Карма: 27




Собственно так и не разобрался, в куках или сесcиях хранить информацию. Сессии нагружают сервер, печеньки можно увести...


--------------------

Заходил 29.09.2016
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
casper - gg  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Абориген
*****

Профиль
Группа: Пользователь
Сообщений: 216
Пользователь №: 42190
На форуме: 1 год, 2 дня
Карма: 10




Цитата (Медведь @ 7.02.2016 - 18:46)
Собственно так и не разобрался, в куках или сесcиях хранить информацию. Сессии нагружают сервер, печеньки можно увести...


ни пароль ни хэш ни там ни там. Остальное не принципиально, можно в куках, пусть уводят. Что там уведут - Имя, Логин, Адрес, номер строки в таблице, какие-то личные настройки и т.д. и т.п. пусть уводят, что с этим можно будет сделать, ровным счетом ни чего.

А вот важную инфу - пароли, номера кредиток, какие-либо заказы и все такое хранить только в своих местах (в БД или файлах)
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Медведь  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2482
Пользователь №: 37963
На форуме: 3 года, 3 месяца, 26 дней
Карма: 27




casper - gg Это то понятно, улыбнуло даже, кто пароль так хранить будет... Я про нагрузку, с одной стороны сервер нагружаем, с другой пользователя подставляем, хотя сам виноват будет.


--------------------

Заходил 29.09.2016
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
casper - gg  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Абориген
*****

Профиль
Группа: Пользователь
Сообщений: 216
Пользователь №: 42190
На форуме: 1 год, 2 дня
Карма: 10




Цитата (Медведь @ 7.02.2016 - 19:02)
Я про нагрузку, с одной стороны сервер нагружаем, с другой пользователя подставляем, хотя сам виноват будет.


Ну тогда разделить инфу логически на тут которую нельзя другим показывать и безобидную. Безобидную хранить в куках, та что поважнее в сессии. Хотя в современном мире все можно хранить в сессии.

Цитата (Медведь @ 7.02.2016 - 19:02)
casper - gg Это то понятно, улыбнуло даже, кто пароль так хранить будет...


ни написал бы так, ну так другой кто эту вставку сделает. А так самому интересно кто как хранит
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Медведь  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2482
Пользователь №: 37963
На форуме: 3 года, 3 месяца, 26 дней
Карма: 27




Цитата (casper - gg @ 7.02.2016 - 19:16)
Ну тогда разделить инфу логически на тут которую нельзя другим показывать и безобидную. Безобидную хранить в куках, та что поважнее в сессии. Хотя в современном мире все можно хранить в сессии.


Тема про авторизацию )) Что мы там хранить можем)


--------------------

Заходил 29.09.2016
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
FatCat  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Чеширский кот
******

Профиль
Журнал
Группа: Администратор
Почтальон группы
Сообщений: 5909
Пользователь №: 1
На форуме: 10 лет, 10 месяцев
Карма: 125

Не пью :
22 года, 3 месяца


Пароль шифруется и хранится в базе зашифрованный. По мне, md5 достаточно, но кто хочет, может с солью, не принципиально.
Дальше к зашифрованной строке пароля добавляю айпишник, и снова md5 - получаю идентификатор сессии, который пишу в БД в таблицу сессий и в куки. Таким образом, даже если печеньку украли, с другого айпишника она не пустит.


--------------------
Бесплатному сыру в дырки не заглядывают...
PMПисьмо на e-mail пользователюICQ
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
killer8080  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: Эксперт
Группа переписки
Сообщений: 8737
Пользователь №: 26630
На форуме: 5 лет, 9 месяцев, 5 дней
Карма: 591




Цитата (Медведь @ 7.02.2016 - 19:02)
Это то понятно, улыбнуло даже, кто пароль так хранить будет...

mail.ru и chat.ru именно на этом в свое время ловились, было это правда в доисторическую эпоху, когда по просторам модемного интернета бродили динозавры вроде Кевина Митника, но тем не менее. Сегодня такие ошибки делают в основном новички на своих мелких сайтиках. wink.gif

По теме, используй сессии и не парь мозг.
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
bestxp  
Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



орангутанг
******

Профиль
Группа: Форумчанин
Завсегдатай форума
Сообщений: 2004
Пользователь №: 36605
На форуме: 3 года, 9 месяцев, 19 дней
Карма: 111




oAuth


--------------------
PMПисьмо на e-mail пользователюСайт пользователяICQ
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
Медведь  
 ۩  Дата
Цитировать сообщение

Пользователя сейчас нет на форуме



Здесь живет
******

Профиль
Группа: ★ЛжеЭксперт★
Завсегдатай форума
Сообщений: 2482
Пользователь №: 37963
На форуме: 3 года, 3 месяца, 26 дней
Карма: 27




Цитата (FatCat @ 7.02.2016 - 20:45)
Пароль шифруется и хранится в базе зашифрованный. По мне, md5 достаточно, но кто хочет, может с солью, не принципиально.
Дальше к зашифрованной строке пароля добавляю айпишник, и снова md5 - получаю идентификатор сессии, который пишу в БД в таблицу сессий и в куки.

$res  = md5(пароль);
$res .= $_SERVER['REMOTE_ADDR'];
$avt = md5($res);
$user_session = session_id();

Записать в таблицу ($avt, $user_session);
Записать в куки($avt);


Как то так?


--------------------

Заходил 29.09.2016
PMПисьмо на e-mail пользователю
    0   Для быстрого поиска похожих сообщений выделите 1-2 слова в тексте и нажмите сюда Для быстрой цитаты из этого сообщения выделите текст и нажмите сюда
1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)
0 Пользователей:

Опции темыСтраницы: (4) 1 [2] 3 4  Ответ в темуСоздание новой темыСоздание опроса