if (sha1($password) == 'xxxxxxxxxxxxxxxxxxxxx' and $login == 'xxxxxx') {login successful}Делать такую систему авторизации безопасно с точки зрения подбора паролей?
Спустя 4 минуты, 30 секунд (31.08.2011 - 16:06) Nikitian написал(а):
С точки зрения подбора паролей тут нет никакой защиты.
С точки зрения получения пароля, имея исходники или доступ к базе (смотря где хэши хранятся) - достаточно безопасно.
С точки зрения получения пароля, имея исходники или доступ к базе (смотря где хэши хранятся) - достаточно безопасно.
Спустя 14 минут, 20 секунд (31.08.2011 - 16:21) alex455 написал(а):
| Цитата (Nikitian @ 31.08.2011 - 17:06) |
| С точки зрения подбора паролей тут нет никакой защиты. |
Почему? Как в этом случае можно узнать пароль, который требуется для логина?
Подобный способ хранения паролей описан в книге "Веллинг и Томсон", отзываются о ней хорошо.
Спустя 20 минут, 8 секунд (31.08.2011 - 16:41) alex12060 написал(а):
мм...
Если честно, тут реально нет никакой защиты.
Если начать брутить твой сайт, рано или поздно, ответ будет найден.
Для защиты используются:
Вот это более менее решение.
Если честно, тут реально нет никакой защиты.
Если начать брутить твой сайт, рано или поздно, ответ будет найден.
Для защиты используются:
- Соль
- Защита от перебора паролей
Вот это более менее решение.
Спустя 13 секунд (31.08.2011 - 16:41) Nikitian написал(а):
Подбор - это перебор по словарю или полный (брутфорс). Защиты от него бывают следующие:
* Каптча или другой тест Тьюринга сразу или после неудачной попытки
* Ограничение времени между попытками
* Ограничение количества неудачных попыток подряд.
У вас ничего этого нет, поэтому и защиты от подбора нет.
Хранение хэшей пароля защищает от получения исходного пароля и утечке данных (хакер добрался до базы, поломал ftp, залил шелл..).
* Каптча или другой тест Тьюринга сразу или после неудачной попытки
* Ограничение времени между попытками
* Ограничение количества неудачных попыток подряд.
У вас ничего этого нет, поэтому и защиты от подбора нет.
Хранение хэшей пароля защищает от получения исходного пароля и утечке данных (хакер добрался до базы, поломал ftp, залил шелл..).
Спустя 23 минуты, 10 секунд (31.08.2011 - 17:04) alex455 написал(а):
А если есть защита от брутфорса на самом сайте, никто не мешает скачать сам php-файл, взять sha1 и брутфорсить его локально, так?
Спустя 3 часа, 55 минут, 40 секунд (31.08.2011 - 21:00) Nikitian написал(а):
alex455
Не так. Скачать php-файл мешает веб-сервер, который, негодяй, вместо исходника скрипта, выдаёт интерпретированный результат вывода скрипта
Не так. Скачать php-файл мешает веб-сервер, который, негодяй, вместо исходника скрипта, выдаёт интерпретированный результат вывода скрипта
Спустя 29 минут, 13 секунд (31.08.2011 - 21:29) Игорь_Vasinsky написал(а):
добавить соль к sha1(), права на файлы нужные выставить.
Nikitian
был случай - я несколько раз php-файлы сливал - флешгетом
честно. Поэтому с правами 0777 - весь алгоритм может попасть в злые руки.
htaccess - помогает закрыть директории.
Nikitian
был случай - я несколько раз php-файлы сливал - флешгетом
честно. Поэтому с правами 0777 - весь алгоритм может попасть в злые руки.
htaccess - помогает закрыть директории.
Спустя 26 минут, 44 секунды (31.08.2011 - 21:56) Nikitian написал(а):
| Цитата (Игорь_Vasinsky @ 31.08.2011 - 21:29) |
| Nikitian был случай - я несколько раз php-файлы сливал - флешгетом честно. Поэтому с правами 0777 - весь алгоритм может попасть в злые руки. |
Это через анонимный ftp что ли?
Спустя 2 минуты, 52 секунды (31.08.2011 - 21:59) Игорь_Vasinsky написал(а):
обращаясь к странице(файлу в адресной строке) флешгетом...
Спустя 11 часов, 33 минуты, 15 секунд (1.09.2011 - 09:32) alive написал(а):
| Цитата (Игорь_Vasinsky @ 31.08.2011 - 18:59) |
| обращаясь к странице(файлу в адресной строке) флешгетом... |
аналогичный вопрос замучил, пароль для mysql_connect лежит в config.php, это как? так же флешгетом возможно слить?
Спустя 32 минуты, 32 секунды (1.09.2011 - 10:05) Семён написал(а):
Игорь кстати не врёт )
У меня были тоже такие случаи когда TeleportPro качал сорсы)))
У меня были тоже такие случаи когда TeleportPro качал сорсы)))
Спустя 6 минут, 6 секунд (1.09.2011 - 10:11) Игорь_Vasinsky написал(а):
alive
Чтобы запретить обрашение к файлу
используют .htaccess - там есть deny - почитатй про использование этого файла.
Эчень могущественный файл.
Чтобы запретить обрашение к файлу
используют .htaccess - там есть deny - почитатй про использование этого файла.
Эчень могущественный файл.
Спустя 2 часа, 47 минут, 30 секунд (1.09.2011 - 12:58) alex455 написал(а):
А как вообще принято организовывать защиту паролей? htaccess и соль к sha1/md5?
Спустя 58 минут, 55 секунд (1.09.2011 - 13:57) Xes написал(а):
Спасибо я тоже покурил тут
Подскажите я думаю такая защита, в виде одной строки, уже не целесообразана если я поставлю запрет на все (include-ные) файлы в директории строкой " deny from all"
Если славный хацке сможет обойти апач то я думаю узнать значение постоянной для него не проблема.
Ну тоесть сравнить эти степени (варианты) защиты?
Подскажите я думаю такая защита, в виде одной строки, уже не целесообразана если я поставлю запрет на все (include-ные) файлы в директории строкой " deny from all"
<? defined('Моя_постоянная') or die('PROTECTED!'); ?>
Если славный хацке сможет обойти апач то я думаю узнать значение постоянной для него не проблема.
Ну тоесть сравнить эти степени (варианты) защиты?
Спустя 6 часов, 20 минут, 9 секунд (1.09.2011 - 20:17) alive написал(а):
Игорь_Vasinsky
то есть
?
то есть
Option indexпросто скрывает, и елси там же лежит config.php, то для него делаем
<Files config.php>
order allow,deny
deny from all
</Files>
?
Спустя 10 часов, 10 минут, 3 секунды (2.09.2011 - 06:27) Invis1ble написал(а):
Семён
| Цитата |
| Игорь кстати не врёт ) У меня были тоже такие случаи когда TeleportPro качал сорсы))) |
интересно узнать причину... Я так понимаю, дело в криворукости сисадминов?