Спустя 55 минут, 47 секунд (13.06.2012 - 22:25) DySprozin написал(а):
Каролина
.htaccess - это экспресс-метод, имеет массу недостатков... ну хотя бы то, что выйти нельзя без выхода из браузера (;
вход через панель всяко лучше (;
.htaccess - это экспресс-метод, имеет массу недостатков... ну хотя бы то, что выйти нельзя без выхода из браузера (;
вход через панель всяко лучше (;
Спустя 7 часов, 50 минут, 57 секунд (14.06.2012 - 06:16) Эли4ка написал(а):
| Цитата |
| через .htaccess |
Спустя 4 минуты, 5 секунд (14.06.2012 - 06:20) medvedeva написал(а):
| Цитата (Каролина @ 13.06.2012 - 18:29) |
| как думайте лучше админку сделать через вход или через .htaccess(что бы в админку моно было залесть с 1 ip адреса) |
Моё авторитетносе нубское мнение - "через вход" с привзякой к IP в сессии и печеньках + .htaccess, а некоторые еще делают привязку к мобиле, чтобы при каждом логине вводить еще и верификационный код, который приходит в виде SMS после попытки авторизации.
Спустя 1 час, 6 минут, 37 секунд (14.06.2012 - 07:27) Tadochi написал(а):
а если ip динамический? 
Спустя 1 минута, 20 секунд (14.06.2012 - 07:28) medvedeva написал(а):
Tadochi очевидно же, что тогда по маске хотя бы.
Спустя 9 секунд (14.06.2012 - 07:28) Каролина написал(а):
medvedeva за эт еще заплатить нуно
Спустя 14 минут, 15 секунд (14.06.2012 - 07:43) medvedeva написал(а):
Каролина Если Вы о верификации через СМС, так можно бесплтано реализовать sendmail'ом, но только при условии, что оператор поддерживает email в вашем тарифе, некий гейт такой. Сейчас не знаю как, а раньше у Киевстар были подобные функции, да и у UMC, если не ошибаюсь, адреса были вроде:
38050XXXXXXXX@sms.umc.com.ua
38067XXXXXXXX@sms2.kyivstar.net
38050XXXXXXXX@sms.umc.com.ua
38067XXXXXXXX@sms2.kyivstar.net
Спустя 9 часов, 21 минута, 22 секунды (14.06.2012 - 17:04) Каролина написал(а):
а на mts есть таке
Спустя 10 часов, 35 минут, 40 секунд (15.06.2012 - 03:40) Эли4ка написал(а):
| Цитата |
| а на mts есть таке |
ну в Google должно же что-то быть..
Спустя 2 часа, 49 минут, 27 секунд (15.06.2012 - 06:29) medvedeva написал(а):
| Цитата (Эли4ка @ 15.06.2012 - 00:40) |
| ну в Google должно же что-то быть.. |
Где-то читала, что по статистике в Рунете женщиины предпочитают Яшку, а мужчины Гугль
Спустя 7 минут, 2 секунды (15.06.2012 - 06:36) phz написал(а):
На мтс бесплатно уже нету такой функции. Раньше была, отключили. В админку входить по смс, вы панель к банку делаете?
Спустя 25 минут, 15 секунд (15.06.2012 - 07:01) Tadochi написал(а):
логин и пароль. Не?
Спустя 28 минут, 10 секунд (15.06.2012 - 07:30) Эли4ка написал(а):
| Цитата |
| а мужчины Гугль |
ну в данном случае это не принципиально,так как Google может найти результаты из-за рубежа,а нередко там результаты есть неплохие,с языком проблем нет..
| Цитата |
| бесплатно уже нету |
а разве была?
| Цитата |
| логин и пароль. Не? |
но это вроде изначально было..
Спустя 10 минут, 33 секунды (15.06.2012 - 07:40) medvedeva написал(а):
| Цитата (Эли4ка @ 15.06.2012 - 04:30) |
| ну в данном случае это не принципиально,так как Google может найти результаты из-за рубежа,а нередко там результаты есть неплохие,с языком проблем нет.. |
Эт само собой разумеется, просто вспомнила смешную статистику, решила флудонуть. Вообще Nigma предпочитаю для поиска.
Спустя 55 минут, 51 секунда (15.06.2012 - 08:36) Каролина написал(а):
холошо сделаю такие поля
логин
пароль
дополнительный пароль
(хотя самой лень будет все писать)
логин
пароль
дополнительный пароль
(хотя самой лень будет все писать)
Спустя 3 минуты, 24 секунды (15.06.2012 - 08:39) Winston написал(а):
| Цитата (Каролина @ 15.06.2012 - 08:36) |
| хотя самой лень будет все писать |
Заплати и тебе все напишут.
Спустя 5 минут, 17 секунд (15.06.2012 - 08:45) Каролина написал(а):
я в том смысле что вписывать в поля
Спустя 7 минут, 37 секунд (15.06.2012 - 08:52) medvedeva написал(а):
Логин:
Пароль:
root и pass
Но! root будет пропускать только если ввести root07 (если сейчас воскресенье), а pass будет считаться верным при pass0913 (если сейчас 9 число месяца и 13:29 на часах)
Спустя 2 минуты, 26 секунд (15.06.2012 - 08:55) Каролина написал(а):
еще б это все осуществить и запомнить все пароли когда что нет лучше мой вариант и кому мой сайт нужен что бы залесть на админку
Спустя 4 минуты, 45 секунд (15.06.2012 - 08:59) Winston написал(а):
| Цитата (Каролина @ 15.06.2012 - 08:55) |
| и кому мой сайт нужен что бы залесть на админку |
Вот именно.
Спустя 6 минут (15.06.2012 - 09:05) Каролина написал(а):
моно поставить пароль 1234567890 кто догадается
Спустя 12 минут, 12 секунд (15.06.2012 - 09:18) Tadochi написал(а):
Каролина
хешируй лучше.
хешируй лучше.
Спустя 19 часов, 47 минут, 13 секунд (16.06.2012 - 05:05) Эли4ка написал(а):
| Цитата |
| Вообще Nigma предпочитаю для поиска. |
А чем Google и Яndex плохи?
Каролина
Вы делаете админку более-менее защищенную?или просто,чтобы для галочки?так в программировании дела не идут..
Спустя 14 минут, 32 секунды (16.06.2012 - 05:19) medvedeva написал(а):
Эли4ка Они неплохи, просто Nigma ищет в обоих + еще в своём каком-то индексе, и выводит результаты в очень удобном виде, структурируя по запросам\темам. Сначала непривычно было, а теперь уже не могу без Нигмочки))
Спустя 3 часа, 14 минут, 50 секунд (16.06.2012 - 08:34) VolDroN написал(а):
Просто логин/пароль. У тебя там же не интернет банкинг.
Ну если параноишь то можно минут на 10 банить по ip, если более 5 раз не правильно пароль вписали. Т.е. защита от брута.
Ну если параноишь то можно минут на 10 банить по ip, если более 5 раз не правильно пароль вписали. Т.е. защита от брута.
Спустя 35 минут, 16 секунд (16.06.2012 - 09:09) Shkiper написал(а):
Само хорошо сделать вход на куках. При авторизации просто сохраняй пароль и логин в отдельной куке и на каждой странице делай выборку пользователя. Тоесть выбери пользователя с логином и пароле как в куках, если он не выбрал то куки подделаны и шли его на***
Спустя 1 час, 42 минуты, 21 секунда (16.06.2012 - 10:52) medvedeva написал(а):
Главное в куках незашифрованный пароль не хранить 
Спустя 4 часа, 43 минуты, 44 секунды (16.06.2012 - 15:36) Эли4ка написал(а):
| Цитата |
| просто Nigma ищет в обоих + еще в своём каком-то индексе |
ну большинство запросов одинаковы.как у Google так и у Yandex'а..и уж тем более у Nigma..
Спустя 5 часов, 30 минут, 50 секунд (16.06.2012 - 21:06) Shkiper написал(а):
| Цитата (medvedeva @ 16.06.2012 - 07:52) |
| Главное в куках незашифрованный пароль не хранить |
Md5 в помощь
Спустя 1 минута, 21 секунда (16.06.2012 - 21:08) Invis1ble написал(а):
в куках вообще не нужно пароль хранить в каком-бы то ни было виде
Спустя 36 минут, 59 секунд (16.06.2012 - 21:45) VolDroN написал(а):
Deert md5 это тоже самое что и в открытую хранить.
Я давно делаю так - генерирую случайный код, при авторизации пользователя, записываю этот код в куки и в бд, а в бд просто вместе с этим кодом записываю логин. Потом сверяю и дабы не теребить БД на каждой странице использую сессии.
Я давно делаю так - генерирую случайный код, при авторизации пользователя, записываю этот код в куки и в бд, а в бд просто вместе с этим кодом записываю логин. Потом сверяю и дабы не теребить БД на каждой странице использую сессии.
Спустя 6 часов, 51 минута, 41 секунда (17.06.2012 - 04:36) Эли4ка написал(а):
| Цитата |
| md5 это тоже самое что и в открытую хранить |
возможно.но можно и реверс применять,и обрезки всякие, и прочее..
Спустя 3 часа, 33 минуты, 14 секунд (17.06.2012 - 08:10) VolDroN написал(а):
Эли4ка а смысл?
я предложил решение, и оно решает проблему с хранением. Даже логин не надо в куки вписывать. Если xss где нибудь будет и куки попадут к другому человеку то он увидит только какой то не понятный для негокод набор символов.
я предложил решение, и оно решает проблему с хранением. Даже логин не надо в куки вписывать. Если xss где нибудь будет и куки попадут к другому человеку то он увидит только какой то не понятный для него
Спустя 4 часа, 48 минут, 40 секунд (17.06.2012 - 12:58) Shkiper написал(а):
VolDroN а ты попробуй сделать по моему методу и далее попробуй взломать 
| Цитата |
| Даже логин не надо в куки вписывать |
Я думаю браузер клиента не перегрузиться от набора нескольких знаков.
Спустя 4 часа, 45 минут, 45 секунд (17.06.2012 - 17:44) VolDroN написал(а):
Deert твой метод это md5?)) не смеши меня. Случайно пропустишь поле какое нибудь на сайте, не напишешь в проверку htmlspecialchars и будет у тебя xss`ка, тут и куки у пользователя сопрут.
Ну или что более вероятнее подхватит пользователь вирус, а вирус куки не заметно отправляет хацкеру.
Или ты может про crackfor.me или другие сайты не слышал? Твой md5 это то же самое что и в открытую хранить. Ну рахве что если пользователь установит пароль типа "a3423m;#!@#^^$" и то шанс то что такой пароль подберут больше 50%.
Какая разница перегрузится не перегрузится? Я вообще не об этом говорю, а о безопасности. В куках хоть всю информацию о пользователе можно хранить. Всё равно это пару килобайт всего. Смысл в том что бы если даже хацкер получит кукисы, то они будут ему бесполезны, потому что не хранят ни пароли ни даже логина. Чем меньше информации, тем сложнее хакеру. Да и код сгенерировать из какого-нибудь там md5(microtime(true) + mt_rand()) и записать в куки и в бд, а потом сверять не сложно, зато безопасность практически 100%
Ну или что более вероятнее подхватит пользователь вирус, а вирус куки не заметно отправляет хацкеру.
Или ты может про crackfor.me или другие сайты не слышал? Твой md5 это то же самое что и в открытую хранить. Ну рахве что если пользователь установит пароль типа "a3423m;#!@#^^$" и то шанс то что такой пароль подберут больше 50%.
Какая разница перегрузится не перегрузится? Я вообще не об этом говорю, а о безопасности. В куках хоть всю информацию о пользователе можно хранить. Всё равно это пару килобайт всего. Смысл в том что бы если даже хацкер получит кукисы, то они будут ему бесполезны, потому что не хранят ни пароли ни даже логина. Чем меньше информации, тем сложнее хакеру. Да и код сгенерировать из какого-нибудь там md5(microtime(true) + mt_rand()) и записать в куки и в бд, а потом сверять не сложно, зато безопасность практически 100%
Спустя 20 часов, 4 минуты, 51 секунда (18.06.2012 - 13:49) Shkiper написал(а):
VolDroN покажи мне свой пример решения проблемы.
| Цитата |
| Да и код сгенерировать из какого-нибудь там md5(microtime(true) + mt_rand()) и записать в куки и в бд, а потом сверять не сложно, зато безопасность практически 100% |
Тут у меня интеллектуальные error`ы пошли
Спустя 6 часов, 37 минут, 2 секунды (18.06.2012 - 20:26) VolDroN написал(а):
Deert я написал:
| Цитата |
| генерирую случайный код, при авторизации пользователя, записываю этот код в куки и в бд, а в бд просто вместе с этим кодом записываю логин. Потом сверяю и дабы не теребить БД на каждой странице использую сессии. |
если не понятно, могу объяснить)
создаёшь в бд таблицу, я называю например cookey, с такими полями: id, cookey, date, user_id
При авторизации пишешь что нибудь типо этого:
$cookey = md5(mictorime().mt_rand()).substr(md5(mt_rand().microtime().$login), 0, 42);
mysqli_query('INSERT INTRO `cookey` (`cookey`, 'date', 'user_id') VALUES ('.$cookey.', '.time().', '.$user_id.')');
setcookie('cookey', $cookey, время и.т.п.)
// и в сессию пишешь айди например:
$_SESSION['user_id'] = $id;
// потом на каждой странице проверяешь:
if(isset($_SESSION['user_id']))
// авторизован
elseif(issest($COOKIE['cookey']))
{
mysqli_query('SELECT `user_id` Where коокей = mysqli_real_escape_string(коокей_из_кукисов)')
если есть такая запись в бд то пользователь авторизован, надо снова в сессию айдишник запихнуть
}
ну и там ещё пару строчек что бы удалить старые cookey, т.е. например кукисы ты ставишь на 3 часа, а если без удаление старых cookey они будут скапливаться в бд, да и нечего не мешает убрать время кукисов в браузере с 3 часов до нескольких лет, тогда можно спокойно всю жизнь авторизоватьсваться. Вообещм надо просто проверять `date` в бд на то меньше ли они текущий даты минус 3 часа например, лень код этот писать)
Спустя 14 часов, 13 минут, 22 секунды (19.06.2012 - 10:39) Эли4ка написал(а):
| Цитата |
| md5(mictorime().mt_rand()).substr(md5(mt_rand().microtime() |
ого..
Спустя 22 часа, 27 минут, 48 секунд (20.06.2012 - 09:07) VolDroN написал(а):
Эли4ка у меня просто хранится 42 символьный код, хз почему выбрал именно столько 
можно просто md5(microtime(true).rand());
можно просто md5(microtime(true).rand()); Спустя 2 часа, 45 минут, 12 секунд (20.06.2012 - 11:52) Эли4ка написал(а):
| Цитата |
| 42 символьный код |
ого..а зачем такой длины?
Спустя 40 минут, 3 секунды (20.06.2012 - 12:32) dron4ik написал(а):
| Цитата (VolDroN @ 18.06.2012 - 17:26) | ||
Deert я написал:
если не понятно, могу объяснить) создаёшь в бд таблицу, я называю например cookey, с такими полями: id, cookey, date, user_id При авторизации пишешь что нибудь типо этого:
ну и там ещё пару строчек что бы удалить старые cookey, т.е. например кукисы ты ставишь на 3 часа, а если без удаление старых cookey они будут скапливаться в бд, да и нечего не мешает убрать время кукисов в браузере с 3 часов до нескольких лет, тогда можно спокойно всю жизнь авторизоватьсваться. Вообещм надо просто проверять `date` в бд на то меньше ли они текущий даты минус 3 часа например, лень код этот писать) |
Ого загнул))) Красавчик)))
Блин, я делал в МД5, потом обрезал первые 5 символов, и снова МД5)))
получался хеш полу хеша)))
Спустя 1 час, 19 минут, 35 секунд (20.06.2012 - 13:52) VolDroN написал(а):
Длину случайно выбрал 
Точнее вот: http://www.google.ru/search?sugexp=chrome,...e&ie=UTF-8&q=42
А так, это для того что бы если хакер и получил кукисы, то не сообразил что этто такое, т.к. в md5 32 символа, если бы даже он и додумался что его надо обрезать до 32, то расшифровав хэш всё равно нечего кроме случайного числа и time() не получит а тогда может и желание дальше сайт ковырять пропадёт)
вообще лучше бд так не занимать, хоть это и не особо много весит, но если пользователей много то ощутимо будет Лучше брать символов так 10 и перед тем как добавлять в бд проверять есть ли там уже такой же хэш, если есть то заного сгенерировать
Точнее вот: http://www.google.ru/search?sugexp=chrome,...e&ie=UTF-8&q=42А так, это для того что бы если хакер и получил кукисы, то не сообразил что этто такое, т.к. в md5 32 символа, если бы даже он и додумался что его надо обрезать до 32, то расшифровав хэш всё равно нечего кроме случайного числа и time() не получит
а тогда может и желание дальше сайт ковырять пропадёт)вообще лучше бд так не занимать, хоть это и не особо много весит, но если пользователей много то ощутимо будет
Лучше брать символов так 10 и перед тем как добавлять в бд проверять есть ли там уже такой же хэш, если есть то заного сгенерировать _____________
wmu (U398141202367)
wmr (R321962242752)[SIZE=7][COLOR=purple]