Полная Версия: Варианты авторизации
| Цитата (FatCat @ 6.02.2016 - 16:08) |
| И пусть желающие брутфорсят с задержкой в 10 секунд... пока не состарятся. |
| Цитата (AllesKlar @ 6.02.2016 - 16:27) |
| лютый + Вот этим и отличается здравый разум от горя от ума, коим любят некоторые тыкать, наивно полагая, что оно кому-то будет интересно. |
и действительно, зачем городить сложные механизмы. по любому плюс.
| Цитата (Медведь @ 6.02.2016 - 13:55) |
| Тут нужен ещё механизм отслеживания, сколько раз было неудачных попыток входа под конкретный аккаунт. |
| Цитата (casper - gg @ 6.02.2016 - 15:32) |
| Вот про подсчеты количества подбора к одному и тому же аккаунту - уже какой никакой но толк будет. |
наоборот, в таком случае "толка" будет меньше. так как обычно используя базу паролей, подбирают/пробуют один пароль к разным аккаунтам, а не ищут пароль от конкретного аккаунта.
| Цитата (depp @ 7.02.2016 - 00:09) |
| наоборот, в таком случае "толка" будет меньше. так как обычно используя базу паролей, подбирают/пробуют один пароль к разным аккаунтам |
глупости
| Цитата (depp @ 7.02.2016 - 00:09) |
| а не ищут пароль от конкретного аккаунта |
контрольный в голову
Представляю себе разговор:
з: - мне надо вскрыть страничку одной девахи в одноклассниках
и: - нет проблем 1000 рублей всё удовольствие
прошло три дня...
з: - ну как успехи?
и: - отлично, правда указанную страничку я не вскрыл, но зато вскрыл 5 других, по 200 рублей брать будете?
_____________
Стимулятор ~yoomoney - 41001303250491
целевые атаки по-другому проводятся, так что поддержу depp
_____________
Профессиональная разработка на заказ
Я на GitHub | второй профиль
_____________
Профессиональная разработка на заказ
Я на GitHub | второй профиль
Invis1ble, а оптом брутофорсят если сливают логины и хеши из бд, но в топике как раз речь о другом.
_____________
Стимулятор ~yoomoney - 41001303250491
_____________
Стимулятор ~yoomoney - 41001303250491
| Цитата (depp @ 7.02.2016 - 01:09) |
| наоборот, в таком случае "толка" будет меньше. так как обычно используя базу паролей, подбирают/пробуют один пароль к разным аккаунтам, а не ищут пароль от конкретного аккаунта. |
если есть база паролей, то там же будет и база логинов (или емайлов или еще чего). Тогда уж совсем никакой защитой не спастись, разве что пароли захешировать перед записью.
Если не поставить защиту от "брута", как написал FatCat или другую, то остается возможность этот "брут" применять.
Собственно так и не разобрался, в куках или сесcиях хранить информацию. Сессии нагружают сервер, печеньки можно увести...
_____________
Принимаю заказы, писать в ЛС
_____________
Принимаю заказы, писать в ЛС
| Цитата (Медведь @ 7.02.2016 - 18:46) |
| Собственно так и не разобрался, в куках или сесcиях хранить информацию. Сессии нагружают сервер, печеньки можно увести... |
ни пароль ни хэш ни там ни там. Остальное не принципиально, можно в куках, пусть уводят. Что там уведут - Имя, Логин, Адрес, номер строки в таблице, какие-то личные настройки и т.д. и т.п. пусть уводят, что с этим можно будет сделать, ровным счетом ни чего.
А вот важную инфу - пароли, номера кредиток, какие-либо заказы и все такое хранить только в своих местах (в БД или файлах)
casper - gg Это то понятно, улыбнуло даже, кто пароль так хранить будет... Я про нагрузку, с одной стороны сервер нагружаем, с другой пользователя подставляем, хотя сам виноват будет.
_____________
Принимаю заказы, писать в ЛС
_____________
Принимаю заказы, писать в ЛС
| Цитата (Медведь @ 7.02.2016 - 19:02) |
| Я про нагрузку, с одной стороны сервер нагружаем, с другой пользователя подставляем, хотя сам виноват будет. |
Ну тогда разделить инфу логически на тут которую нельзя другим показывать и безобидную. Безобидную хранить в куках, та что поважнее в сессии. Хотя в современном мире все можно хранить в сессии.
| Цитата (Медведь @ 7.02.2016 - 19:02) |
| casper - gg Это то понятно, улыбнуло даже, кто пароль так хранить будет... |
ни написал бы так, ну так другой кто эту вставку сделает. А так самому интересно кто как хранит
| Цитата (casper - gg @ 7.02.2016 - 19:16) |
| Ну тогда разделить инфу логически на тут которую нельзя другим показывать и безобидную. Безобидную хранить в куках, та что поважнее в сессии. Хотя в современном мире все можно хранить в сессии. |
Тема про авторизацию )) Что мы там хранить можем)
_____________
Принимаю заказы, писать в ЛС
Пароль шифруется и хранится в базе зашифрованный. По мне, md5 достаточно, но кто хочет, может с солью, не принципиально.
Дальше к зашифрованной строке пароля добавляю айпишник, и снова md5 - получаю идентификатор сессии, который пишу в БД в таблицу сессий и в куки. Таким образом, даже если печеньку украли, с другого айпишника она не пустит.
_____________
Бесплатному сыру в дырки не заглядывают...
Дальше к зашифрованной строке пароля добавляю айпишник, и снова md5 - получаю идентификатор сессии, который пишу в БД в таблицу сессий и в куки. Таким образом, даже если печеньку украли, с другого айпишника она не пустит.
_____________
Бесплатному сыру в дырки не заглядывают...
| Цитата (Медведь @ 7.02.2016 - 19:02) |
| Это то понятно, улыбнуло даже, кто пароль так хранить будет... |
mail.ru и chat.ru именно на этом в свое время ловились, было это правда в доисторическую эпоху, когда по просторам модемного интернета бродили динозавры вроде Кевина Митника, но тем не менее. Сегодня такие ошибки делают в основном новички на своих мелких сайтиках.
По теме, используй сессии и не парь мозг.
oAuth
| Цитата (FatCat @ 7.02.2016 - 20:45) |
| Пароль шифруется и хранится в базе зашифрованный. По мне, md5 достаточно, но кто хочет, может с солью, не принципиально. Дальше к зашифрованной строке пароля добавляю айпишник, и снова md5 - получаю идентификатор сессии, который пишу в БД в таблицу сессий и в куки. |
$res = md5(пароль);
$res .= $_SERVER['REMOTE_ADDR'];
$avt = md5($res);
$user_session = session_id();
Записать в таблицу ($avt, $user_session);
Записать в куки($avt);
Как то так?
_____________
Принимаю заказы, писать в ЛС
Здесь расположена полная версия этой страницы.