Полная Версия: Программа (сайт) для хранения паролей
| Цитата (SiteMaster @ 16.07.2019 - 16:04) |
| SorokinFilipp265 Для ссылок тогда стоит сделать 3 колонку, куда можно вставить только URL адрес и ничего более. |
две колонки удобнее тем, что глазам не надо бегать по 3 колонкам, то есть в ширину уменьшается движение, и тем, что меньше становится ячеек, соответственно меньше черноты на экране, и тем, что если мне надо сдвинуть мышь вправо от строки, чтобы кликнуть "изменить строку", то допустим из левого верхнего угла до картинки-кнопки уменьшается пробег мыши
| Цитата (SiteMaster @ 16.07.2019 - 16:04) |
| SorokinFilipp265 Авторизация методом GET - это моветон. |
я не знаком с этим термином, где-то в памяти у меня есть ассоциация "моветон = устаревшее", в любом случае однокликовый вход на сайт - это быстро
SorokinFilipp265
Ну тогда ссылку нужно предусмотреть в первой колонке.
Для заполнения будет доступно название сайта и URL адрес.
Выводить название так
[code]
<a href="адрес">название</a>
[code]
И все данные перед выводом можно будет смело обрабатывать htmlspecialchars
Ну тогда ссылку нужно предусмотреть в первой колонке.
Для заполнения будет доступно название сайта и URL адрес.
Выводить название так
[code]
<a href="адрес">название</a>
[code]
И все данные перед выводом можно будет смело обрабатывать htmlspecialchars
Реквестирую фичу шифрования базы.
Чтобы иметь список паролей всегда под рукой, очевидно, что эту программу нужно либо размещать на хостинге, либо делать сервер из нашего домашнего ПК, где она крутится...
Если хакеры взломают сервер и база с паролями попадет в руки к злоумышленникам -- то они узнают все мои пароли. А если база будет зашифрована -- то обломаются.
Как по мне -- нужная фича.
Еще подумал пару моментов:
1) А почему в качестве хранилища используется MySQL? Ведь существуют более лучшие СУБД, например, Oracle. Думаю в ней хранить пароли будет вообще чудесно.
2) Как-то неудачно (как по мне) выбран формат для импорта/экспорта. Вот бы была возможность импортировать/экспортировать из/в Excel.
_____________
Чатик в телеге
Чтобы иметь список паролей всегда под рукой, очевидно, что эту программу нужно либо размещать на хостинге, либо делать сервер из нашего домашнего ПК, где она крутится...
Если хакеры взломают сервер и база с паролями попадет в руки к злоумышленникам -- то они узнают все мои пароли. А если база будет зашифрована -- то обломаются.
Как по мне -- нужная фича.
Еще подумал пару моментов:
1) А почему в качестве хранилища используется MySQL? Ведь существуют более лучшие СУБД, например, Oracle. Думаю в ней хранить пароли будет вообще чудесно.
2) Как-то неудачно (как по мне) выбран формат для импорта/экспорта. Вот бы была возможность импортировать/экспортировать из/в Excel.
_____________
Чатик в телеге
В новом архиве добавлен htaccess, который проверяет, что если к сайту происходит доступ с другого сайта (передаётся шапочный параметр Referer), то страница не загружается
https://dropmefiles.com/FF7l2
SiteMaster
вам это нужно? будете пользоваться программой?
я спрашиваю потому что у меня например в первой колонке может быть наоборот пароль, а не сайт, либо слово, а не сайт
brevis
программа не написана для размещения на хостинге, то есть только для веб-сервера установленного на пк, поэтому "всегда под рукой" не получится, вряд ли стоит тратить время на установку веб-сервера на андроид и таскание флешки "переставить из пк в андроид и назад"
если хакер взломает сервер, то вряд ли он скачает лишь базу данных, а скорее всего и файлы, поэтому шифрование бд - это рекламный ход
майскл используется так как он стандартный
библиотека phpexcel занимает 8 мб, а программа в первой версии 109 кб, поэтому включать её в программу нет смысла, к тому же экспортировать эксель-таблицу можно и в html формат
https://dropmefiles.com/FF7l2
SiteMaster
вам это нужно? будете пользоваться программой?
я спрашиваю потому что у меня например в первой колонке может быть наоборот пароль, а не сайт, либо слово, а не сайт
brevis
программа не написана для размещения на хостинге, то есть только для веб-сервера установленного на пк, поэтому "всегда под рукой" не получится, вряд ли стоит тратить время на установку веб-сервера на андроид и таскание флешки "переставить из пк в андроид и назад"
если хакер взломает сервер, то вряд ли он скачает лишь базу данных, а скорее всего и файлы, поэтому шифрование бд - это рекламный ход
майскл используется так как он стандартный
библиотека phpexcel занимает 8 мб, а программа в первой версии 109 кб, поэтому включать её в программу нет смысла, к тому же экспортировать эксель-таблицу можно и в html формат
| Цитата (SorokinFilipp265 @ 18.07.2019 - 14:57) |
| если хакер взломает сервер, то вряд ли он скачает лишь базу данных, а скорее всего и файлы, поэтому шифрование бд - это рекламный ход |
Зависит от того, как зашифровать.
А вообще зря я наверное написал предыдущее сообщение.
Этой программой я пользоваться не буду (надеюсь по понятным причинам). Хотелось больше поговорить
Так что не бери в голову.
_____________
Чатик в телеге
| Цитата (brevis @ 18.07.2019 - 15:07) |
| Зависит от того, как зашифровать. |
не зависит, если это веб-сайт
| Цитата (brevis @ 18.07.2019 - 15:07) |
| пользоваться не буду (надеюсь по понятным причинам). |
вам нужно веб-хранилище паролей
| Цитата |
| если хакер взломает сервер, то вряд ли он скачает лишь базу данных, а скорее всего и файлы |
Чаще всего ломают именно базу, а до файлов как-раз добраться не могут.
Поэтому шифровать пароли стоит однозначно. Причем не каким-нибудь md5 или sha1, а отнестись к этому вопросу вполне серьезно.
>не зависит
Ты просто не знаешь.
Расшифруй:
>пользоваться не буду (надеюсь по понятным причинам)
>вам нужно веб-хранилище паролей
Горячо :)
_____________
Чатик в телеге
Ты просто не знаешь.
Расшифруй:
// mocks
function getEncryptedStringFromDatabase() {
return 'luBBHeht+Z6WHIczNAav1EcTFGWOfSEEtGCSU3yk/+HxH1aru6H/'
. 'i+0rGJOueVhLW8bqfdifgvXbBoOHwfDO7SoZXO1FUD2vZNrHDWLM7xpF8rH6tnm6X6iEjL8x1/'
. 'fwxK5t7FKf7GHc5NalqUqVmonMrnVPnMMTJtRHNl9/2riKBjBMTSuNrcdtISaqxafTgfWx+yGa+QXCfm3s+PutW5Ciey9I26/'
. 'Wmm05Iur+BPWUajm2FUMgqNmi52mL+ag5yVvfCt5cpRmPlWyQzRftoq3JcuuwwS2mQ/'
. 'KVlFElyG235SDM/XsHAfcxyDTCxxYfHvnX9+qmKF549dhhjowgCLox7E0s4iba6nvlC/'
. '0p8syiR9ea2Qh1uZO+f75DH8YKmA946NETRd38gw9DoQ901nEyoJNG524D3/IJgVkmHWgvZ1z++Wk3cj/'
. 'PXw0aY9d3+6dSv6OTmhiDY4M30ci2gUszLGmPLoOIZvQ0tlAK13FhmKO2MuhL7ZR+mg/'
. 'TYjLqTgeUXWnx89Q6LMaik2QyYQ==';
}
function getUserKeyFromCookie() {
return $_COOKIE['key'];
}
// decryption
$decryptedString = openssl_decrypt(
getEncryptedStringFromDatabase(),
"AES-128-ECB",
getUserKeyFromCookie()
);
echo $decryptedString;
>пользоваться не буду (надеюсь по понятным причинам)
>вам нужно веб-хранилище паролей
Горячо :)
_____________
Чатик в телеге
| Цитата (SiteMaster @ 18.07.2019 - 16:02) |
| Чаще всего ломают именно базу |
может быть ломали, может быть лет 8 назад, когда программисты забывали экранировать параметры в sql запросах, но сейчас увы
| Цитата (SorokinFilipp265 @ 18.07.2019 - 16:17) |
| может быть ломали, может быть лет 8 назад, когда программисты забывали экранировать параметры в sql запросах, но сейчас увы |
уязвимости были, есть и будут всегда
brevis
если этот код расположен на веб-сервере и хакер имеет доступ к фтп либо эсэсаш либо к файловому менеджеру в панели управления хостингом, то он просто добавит в код отправку кукис к себе, и как только владелец сайта зайдёт на сайт, хакер получит ключ расшифровки
поэтому единственный случай, когда шифрование может дать хоть какую-то непубличность, это расположение сайта с шифрованием данных на личном пк, при этом бд можно расположить в интернет
если этот код расположен на веб-сервере и хакер имеет доступ к фтп либо эсэсаш либо к файловому менеджеру в панели управления хостингом, то он просто добавит в код отправку кукис к себе, и как только владелец сайта зайдёт на сайт, хакер получит ключ расшифровки
поэтому единственный случай, когда шифрование может дать хоть какую-то непубличность, это расположение сайта с шифрованием данных на личном пк, при этом бд можно расположить в интернет
| Цитата |
| если этот код расположен на веб-сервере и хакер имеет доступ к фтп либо эсэсаш либо к файловому менеджеру в панели управления хостингом |
Ну если уж настолько сойдутся звезды...
Из той же области что и "а если в серверной возникнет пожар, как отреагирует ваше приложение"?
Но справедливости ради надо сказать, что подобная ситуация очень даже реальна, например, в WordPress-мире
_____________
Чатик в телеге
brevis
на античате продаются шеллы, фтп-доступы, но доступы к mysql я там что-то не увидел, на этом основании я делаю вывод - если кто-то будет ломать сайт, то он получит шелл
а вы утверждаете, что получение шелла происходит в (условно) тысячу раз реже, чем получение доступа к mysql
на античате продаются шеллы, фтп-доступы, но доступы к mysql я там что-то не увидел, на этом основании я делаю вывод - если кто-то будет ломать сайт, то он получит шелл
а вы утверждаете, что получение шелла происходит в (условно) тысячу раз реже, чем получение доступа к mysql
| Цитата (brevis @ 21.07.2019 - 20:07) |
| Это называется "Эффект Даннинга — Крюгера". |
то есть вы не передумали
Здесь расположена полная версия этой страницы.