Полная Версия: Авторизация
| Цитата (AllesKlar @ 17.06.2015 - 15:42) |
| Соль хранят в базе, у каждого юзера она своя, генерится в момент регистрации юзера или смены пароля |
Если не ошибаюсь, если злодей попадает в БД, увидит пароли даже с фиксированной простой солью, все равно уже не подобрать ни по одному словарю?
Добавь к цифре 1 букву а, и получишь совсем другой хэш. и я не знаю как надо извратиться, что снова получить цифру 1, даже зная соль.
Или я чего-то не так понимаю?
_____________
..Работает - не трогай!
| Цитата (maximka787 @ 17.06.2015 - 18:07) | ||
Если не ошибаюсь, если злодей попадает в БД, увидит пароли даже с фиксированной простой солью, все равно уже не подобрать ни по одному словарю? Добавь к цифре 1 букву а, и получишь совсем другой хэш. и я не знаю как надо извратиться, что снова получить цифру 1, даже зная соль. Или я чего-то не так понимаю? |
Стоимость любого взлома определяется ценностью добытой информации.
Если у тебя форум-по-интересам-домохозяек, то максимум, кто украдет базу - это ревнивый муж одной из них, побрутит пароли и бросит.
Подобрать можно всё, что угодно.
Вопрос в стоимости.
Если инфа стОит пару милионов, а стоимость взлома 1,5 , то дело за малым. За мощностями.
Мощности тоже сегодня не проблема, бот-нет из пары сотен тысяч компьютеров справится куда быстрее, чем GPU твоей видюхи
А параноя... это пройдет с возрастом, через это все прошли
Как только понимаешь, что никому, кроме школоло-хулиганья, твой сайт не нужен, ставишь защиту от школоло и спишь спокойно.
_____________
[продано копирайтерам]
| Цитата (AllesKlar @ 17.06.2015 - 16:56) |
| А параноя... это пройдет с возрастом, через это все прошли :) Как только понимаешь, что никому, кроме школоло-хулиганья, твой сайт не нужен, ставишь защиту от школоло и спишь спокойно. |
Да я всегда хранил пароль в md5. Недавно перешел на sha1. Защиту то ставлю по большей части от самого хостера. Знаю, что они посмотрят без труда, но все же, пусть хотя бы поковыряются. Причем в большинстве мануалов стоит соль.
А инфа верно, не стоит миллиона! Лан, буду использовать sha1 без солей. Ну или мою мини соль константу, чтоб хотя б не лысый sh1 был))
Оцените мой скрипт. Нормальная замена сессиям? Можно ли использовать такой метод как грамотный и надежный? Сразу скажу, что-то сократил, но сама суть понятна.
if(!empty($_COOKIE['id']) && !empty($_COOKIE['key']))
{
$query = "SELECT * FROM `cookies` WHERE `user` = '".intval($_COOKIE['id'])."' AND `key` = '".mysql_real_escape_string($_COOKIE['key'])."' AND `ip` = '".mysql_real_escape_string($_SERVER['REMOTE_ADDR'])."' LIMIT 1";
$result = mysql_query($query);
if(mysql_num_rows($result) == 1)
{
echo 'PROFILE ZONE';
exit;
}
else
{
setcookie('id',''); //удадяем куки на всякий случай
setcookie('key',''); //удадяем куки на всякий случай
}
}
$_POST['email'] = 'max@max.ru';
$_POST['pass'] = '123456';
//login
if(isset($_POST['email'], $_POST['pass']))
{
//$pass = sha1('solt1'.$_POST['pass'].'solt2');
$pass = sha1($_POST['pass']);
$query = "SELECT * FROM `users` WHERE `email` = '".mysql_real_escape_string($_POST['email'])."' AND `pass` = '".mysql_real_escape_string($pass)."' LIMIT 1";
$result = mysql_query($query);
if(mysql_num_rows($result) == 1)
{
$key = sha1(md5(rand(1,99999))); //Генерируем случайный ключ
$row = mysql_fetch_array($result);
$life = time() + (3600 * 24);
setcookie('id', $row['id'], $life);
setcookie('key', $key, $life);
$queryINSERT = "INSERT INTO `cookies` (`user`,`key`,`ip`) VALUES ('".intval($row['id'])."', '".mysql_real_escape_string($key)."', '".mysql_real_escape_string($_SERVER['REMOTE_ADDR'])."')";
mysql_query($queryINSERT);
header('location /');
exit;
}
else
{
setcookie('id',''); //удадяем куки на всякий случай
setcookie('key',''); //удадяем куки на всякий случай
}
}
_____________
..Работает - не трогай!
Здесь расположена полная версия этой страницы.