[ Поиск ] - [ Пользователи ] - [ Календарь ]
Полная Версия: Хранение паролей
ApuktaChehov
Здравствуйте!

Где безопаснее всего хранить хэш пароля?
Сейчас я храню его в переменной сессии. Сессия хранит данные в куках.
Слышал, что это не безопасно.

Вот хотел узнать, как организованна авторизация на профессиональном уровне!

Огромное спасибо!




Спустя 4 минуты, 28 секунд (10.03.2009 - 11:06) waldicom написал(а):
Вопрос: а зачем хранить пароль в сессии?
В сессии можно хранить идентификатор, типа: loggedin=true
А сам пароль хранить в базе данных в md5 с применением salt

Спустя 4 минуты, 10 секунд (10.03.2009 - 11:10) ApuktaChehov написал(а):
Хэш хранится в базе данных.
Я загнал его в сессиию, и где нужно сравниваю его с тем, что в базе хранится.
А этот идентификатор разве подменить нельзя?

Спустя 3 минуты, 31 секунда (10.03.2009 - 11:13) waldicom написал(а):
Цитата (ApuktaChehov @ 10.03.2009 - 09:10)
Хэш хранится в базе данных.
Я загнал его в сессиию, и где нужно сравниваю его с тем, что в базе хранится.
А этот идентификатор разве подменить нельзя?

Каждый раз спрашиваешь? Если да, то для чего?

Спустя 8 минут, 20 секунд (10.03.2009 - 11:22) ApuktaChehov написал(а):
Я Вас понял.

Только я вот как думаю.
Предположим я создаю сессию у себя на компьютере где loggedin=true.
После чего делаю ссылку на какой то файл определенного сайта. Где для авторизации как раз и нужно что бы loggedin=true. Получается взлом.

Не судите строго, я в этом деле не так силен. Вот и пытаюсь узнать как ПАРВИЛЬНО делается авторизация.

Спустя 10 минут, 37 секунд (10.03.2009 - 11:32) waldicom написал(а):
Цитата (ApuktaChehov @ 10.03.2009 - 09:22)
Я Вас понял.

Только я вот как думаю.
Предположим я создаю сессию у себя на компьютере где loggedin=true.
После чего делаю ссылку на какой то файл определенного сайта. Где для авторизации как раз и нужно что бы loggedin=true. Получается взлом.

Не судите строго, я в этом деле не так силен. Вот и пытаюсь узнать как ПАРВИЛЬНО делается авторизация.

Все правильно, за исключением того, что сессию нельзя подменить...
Ну или скажем так: совсем не просто подменить сессию.
Поэтому если давать ссылку на файл, для скачки которого необходимо авторизироваться, то будем проверять переменную в сессии, и если ей нет, будем говорить пользователю, что надо авторизироваться.

Спустя 4 минуты, 14 секунд (10.03.2009 - 11:37) ApuktaChehov написал(а):
Вот я дятел. Сессия ведь, существует со стороны сервера...

Все дошло. Благодарю!

Спустя 21 минута, 16 секунд (10.03.2009 - 11:58) Joker написал(а):
Цитата
Все правильно, за исключением того, что сессию нельзя подменить...
Ну или скажем так: совсем не просто подменить сессию.

Немного не согласен, ссесию довольнотаки не сложно подменить например можно урасть id сессии. Если не стоит автологин то можно забить в сессию ip и id и сразвнивать каждый раз текущий ip и с тем при котором авторизовывались, если ip сменился сессию кинуть.

Спустя 3 минуты, 46 секунд (10.03.2009 - 12:02) waldicom написал(а):
Цитата (Joker @ 10.03.2009 - 09:58)
Цитата
Все правильно, за исключением того, что сессию нельзя подменить...
Ну или скажем так: совсем не просто подменить сессию.

Немного не согласен, ссесию довольнотаки не сложно подменить например можно урасть id сессии. Если не стоит автологин то можно забить в сессию ip и id и сразвнивать каждый раз текущий ip и с тем при котором авторизовывались, если ip сменился сессию кинуть.

Хорошо, можешь "украсть" мою сессию на этом форуме сейчас?
Предупреждаю сразу, письма от чужих не открываю и на странички непонятные не хожу...

пысы. не выпендрежу ради , а интересу для...

Спустя 6 минут, 39 секунд (10.03.2009 - 12:08) Joker написал(а):
Ну я не хакер) дыры в защите еще не научился, искать, но любой более менее уже хороший хакер находит куда засунуть xss. Но могу показать местечко где пара хакеров тусуються которые не проч сломать пару сайтов)

Спустя 4 минуты, 49 секунд (10.03.2009 - 12:13) waldicom написал(а):
Цитата (Joker @ 10.03.2009 - 10:08)
Ну я не хакер) дыры в защите еще не научился, искать, но любой более менее уже хороший хакер находит куда засунуть xss. Но могу показать местечко где пара хакеров тусуються которые не проч сломать пару сайтов)

Так значит ты не можешь и для этого нужны хакеры?
Но как же тогда вот это:
Цитата
ссесию довольнотаки не сложно подменить


И еще вопрос:
что значит
Цитата
хороший хакер находит куда засунуть xss

Ты имеешь представление, что такое XSS и из-за кого появляется возможность проведения XSS-атак?

Спустя 4 минуты, 37 секунд (10.03.2009 - 12:18) Joker написал(а):
имею) из-за того что автор сайта где то не поставил защиту)

Спустя 1 минута, 31 секунда (10.03.2009 - 12:19) waldicom написал(а):
Цитата (Joker @ 10.03.2009 - 10:18)
имею) из-за того что автор сайта где то не поставил защиту)

Все верно...
Теперь предположим, что автор, нехороший-человек-редиска, прочитал несколько умных книжек и поставил защиту против того-же XSS...
Чуго делать будем?

Спустя 1 минута, 54 секунды (10.03.2009 - 12:21) Joker написал(а):
ой да нету редисок которые ошибок не делаю) хоть где то да напортачут...) и тогда уже ph34r.gif ниньзя вступят за дело)

Спустя 3 минуты, 23 секунды (10.03.2009 - 12:24) waldicom написал(а):
Цитата (Joker @ 10.03.2009 - 10:21)
ой да нету редисок которые ошибок не делаю) хоть где то да напортачут...) и тогда уже ph34r.gif ниньзя вступят за дело)

ну только если "... ниньзя вступят за дело...", тогда ок smile.gif

пысы. А что будет, если гейши вступят в дело - вообще страшно думать user posted image

Спустя 2 минуты, 47 секунд (10.03.2009 - 12:27) Joker написал(а):
ну если гейши вступят то тогда все авторизаацию убрерут и открыют доступ хоть куда...

Спустя 19 минут, 38 секунд (10.03.2009 - 12:47) ApuktaChehov написал(а):
Ребята! Я ничего не понял.
Что с сессией то?

Вообщем так. Я сделал иначе. Немного тупо, но вроде как надежнее.

Имеется файл авторизации. Который проверяет пользователя, и отправляет его на другой файл-обработчки. Этот файл-обработчки в самом начале опять же проверяет пользователя и если все ок продолжает работу.

Смысл простой, при любом действии проверяется логин и пароль хранищийся в сесии. Тупо, потому что, лишняя нагрузка на SQL, но учитывая, что проект не большой и дай бог, что бы одновременно выполнялись хотя бы 100 операций с SQL.

По моей логике взломать такое можно, только если украсть хеш пароля, который храниться в сессии. Но сессию я настроил, так, что она существует пока открыт браузер и никакого автологина.

Но мне всеравно кажется что это по ламерски. mellow.gif

Спустя 16 минут, 31 секунда (10.03.2009 - 13:03) waldicom написал(а):
Боюсь повториться, но все же.
Если ты боишься, что украдут хеш пароля, почему ты хочешь засовывать его в сессию?

Спустя 5 минут, 15 секунд (10.03.2009 - 13:09) ApuktaChehov написал(а):
В данном случае, я его засовываю туда, потому что я так решил. И по этому алгоритму работают скрипты.
Тут же я пытаюсь выяснить, существуют ли еще более безопасные способы.

И я ни в коем случае не "фанат засовывания паролей в сессию" mad.gif
Просто, вот так сейчас все работает.

Но я хочу сделать лучше и надежнее... за этим я тут.

Спустя 10 минут, 58 секунд (10.03.2009 - 13:20) Joker написал(а):
Кстати я тут с ферефорком работал, правил его немного.... дак там вообще фонтам что твориться) зодишь в раздел все пользователи... ну там список пользователей у каждого отоборжаеться "логин - ф.и.о" залезаю в исходники и что я вижу.... когда выводиться эти пользователи дак из базы достаьются все поля... а там их у каждого пользователя штук 50. а из них на вывод попадаеться только 2 поля логи и фио, дак мне интересно зачем некоторые програмеры так мускул насилуют)

Спустя 3 дня, 9 часов, 38 минут, 23 секунды (13.03.2009 - 22:58) villy написал(а):
Помоему взламывать форумы не имея на руках исходных кодов...в принципе не самое легкое занятие, если человек писал с мозгами...да и не благодарное это занятие...для чего его взламывать...чтобы на главной странице написать банальное "Hacked by ****":)))


_____________
Быстрый ответ:

 Графические смайлики |  Показывать подпись
Здесь расположена полная версия этой страницы.
Invision Power Board © 2001-2024 Invision Power Services, Inc.