Спустя 2 минуты, 21 секунда (8.09.2011 - 13:18) Nikitian написал(а):
Куки можно украсть, поэтому к ним предъявляются особые стандарты безопасности.
Хэш пароля можно подобрать.
Сессия имеет время жизни, после которого идентификатор уже ничего не значит.
Хэш пароля можно подобрать.
Сессия имеет время жизни, после которого идентификатор уже ничего не значит.
Спустя 6 минут, 31 секунда (8.09.2011 - 13:25) grant написал(а):
| Цитата (Nikitian @ 8.09.2011 - 10:18) |
| Куки можно украсть, поэтому к ним предъявляются особые стандарты безопасности. Хэш пароля можно подобрать. Сессия имеет время жизни, после которого идентификатор уже ничего не значит. |
по-моему вероятность подобрать сам пасс больше нежели его хэш)
Спустя 2 минуты, 46 секунд (8.09.2011 - 13:28) Winston написал(а):
| Цитата (grant @ 8.09.2011 - 13:25) |
| по-моему вероятность подобрать сам пасс больше нежели его хэш |
А для чего это создается ?
Спустя 4 часа, 6 минут, 32 секунды (8.09.2011 - 17:34) grant написал(а):
| Цитата (Winston @ 8.09.2011 - 10:28) | ||
А для чего это создается ? |
понятно... значит в книгах про то что "всегда храните хэш пароля в базе, т.к. если злоумышленник взломает вашу базу, пароль он не узнает "- бред.
Спустя 5 минут (8.09.2011 - 17:39) Nikitian написал(а):
| Цитата (grant @ 8.09.2011 - 17:34) |
| понятно... значит в книгах про то что "всегда храните хэш пароля в базе, т.к. если злоумышленник взломает вашу базу, пароль он не узнает "- бред. |
Нет, не бред. Хэш надо солить. Но выдавать первому встречному даже хэшированный пароль нельзя. Если подбор на сайте может быть осложнён каптчей или временными задержками между попытками, то выданный хэш спокойно можно брутить со скоростью несколько миллионов в секунду. Идентификатор же сессии ничего не даст в случае утечки кук.