Re: подскажите начинающему php- программисту
А мне кажется будет достаточно md5( пароль+ время регистрации ), на пример. Тогда надо хранить и получать время регистрации для проверки пароля. Я бы советовал типа такого, паранойя пароль_хеш = base64_encode(sha1(пароль) . md5(пароль) . crc32(пароль)); -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
Можно ли сделать для пущей надежности, чтобы pass уже на сервер отправлялся не в открытом виде, а в зашифрованном ? Чтобы по пути не перехватил кто-нибудь ;) Т.е. шифровать, соединение или пароль? Если пароль, яваскриптом что ли? ) -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php-программисту 2
Ломанул я вашу базу, знаю ваш хеш. Мне достаточно будет его в таком случае просто передать authorize.php. Не секьюрно оно как-то. 06.08.2010, 14:58, maxyer max...@mail.ru: В продолжение начатой темы ;) Ну допустим написал я нечто подобное form method=post action=authorize.php input type=text name=login input type=password name=pass input type=submit value=OK /form По поводу authorize.php все ясно. А теперь вопрос. Можно ли сделать для пущей надежности, чтобы pass уже на сервер отправлялся не в открытом виде, а в зашифрованном ? Чтобы по пути не перехватил кто-нибудь ;) -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
В данном случае можно получать от сервера соль и считать md5(соль+md5(пароль)) потом в скрипте авторизации берем сохраненную в базе md5(пароль), добавляем к ней нашу соль и считаем md5 от полученного. Результат сравниваем с тем, что пришло от клиента. Соль желательно периодически менять... например, случайно генерировать для каждой сессии -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
6 августа 2010 г. 15:52 пользователь maxyer max...@mail.ru написал: 06.08.2010 19:07, Ivan Surzhenko пишет: В данном случае можно получать от сервера соль и считать md5(соль+md5(пароль)) Сорри, что-то я не понял ;( Что за соль такая ? Избыточная информация, которая не дает расшифровать/подобрать значение (даже подбором по хеш-таблицам). И где считать md5(соль+md5(пароль)) ? На стороне клиента ? На клиенте вы имеете пароль. 1. Получаете с сервера соль. 2. Шифруете пароль по md5. 3. Добавляете к хешу соль. 4. От того, что получили на этапе №3 берете еще раз md5 5. Отправляете результат пункта №5 на сервер. На сервере у вас в базе хранится хеш от пароля. 1. Вы берете соль (ту, что отправляли клиенту) и прибавляете ее к значению из базы данных. 2. берете от всего этого добра md5. 3. Результат пункта 2 сравниваете с тем, что пришло с клиента Фишка в том, что переданный с клиента на сервер хеш ничего не дает злоумышленнику :) Он не сможет войти с тем же хешом, если для каждой сессии (или просто часто) создается новая соль :) -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
6 августа 2010 г. 16:43 пользователь Sergey Poulikov script...@gmail.com написал: злоумышленник не будет перехватывать и отправлять все это дело в ручную. с клиента посылается уже сфоримрованный хеш с примесью salt и если перехватить этот уже сформированный хеш, и отправить серверу то получим пользовательскую сессию, вся эта операция может осуществляться программно и занимать доли секунды. Если мы отправим этот хеш серверу, то сервер должен нарисовать болт на 18 (резьба метрическая), так как пользователь уже отправлял запрос авторизации в рамках данной сессии с данной солью. И вообще такую ситуацию надо как-то отлавливать и анально наказывать подсовывающего хеши. salt не защищает от перехвата данных, для безопасного обмена данными надо использовать https он именно для этого и создан. Мы ж вроде пароль защищаем? не? Если нужно шифровать все данные и наш сервер в состоянии выдержать прирост нагрузки из-за постоянного шифрования/дешифрования (кстати, насколько велик этот прирост?), то да - проще гонять по https. -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php-программисту 2
Пишем страничку авторизации для пентагона? :) В Птн, 06/08/2010 в 17:09 +0300, Ivan Surzhenko пишет: 6 августа 2010 г. 16:43 пользователь Sergey Poulikov script...@gmail.com написал: злоумышленник не будет перехватывать и отправлять все это дело в ручную. с клиента посылается уже сфоримрованный хеш с примесью salt и если перехватить этот уже сформированный хеш, и отправить серверу то получим пользовательскую сессию, вся эта операция может осуществляться программно и занимать доли секунды. Если мы отправим этот хеш серверу, то сервер должен нарисовать болт на 18 (резьба метрическая), так как пользователь уже отправлял запрос авторизации в рамках данной сессии с данной солью. И вообще такую ситуацию надо как-то отлавливать и анально наказывать подсовывающего хеши. salt не защищает от перехвата данных, для безопасного обмена данными надо использовать https он именно для этого и создан. Мы ж вроде пароль защищаем? не? Если нужно шифровать все данные и наш сервер в состоянии выдержать прирост нагрузки из-за постоянного шифрования/дешифрования (кстати, насколько велик этот прирост?), то да - проще гонять по https. -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
6 августа 2010 г. 17:23 пользователь Владимир Бажанов a...@ukrpost.net написал: Пишем страничку авторизации для пентагона? :) А у них уже есть http://pentagon.in.ua/index.php?do=login -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
2010/8/6 Sergey Poulikov script...@gmail.com: Шифровать все данные и уж тем более постоянно не обязательно. Да, именно так и делают все нормальные сервисы - показывают форму авторизации и принимают данные формы авторизации по https, после чего честно продолжают работать по http без всякого шифрования, т.к. дальше оно не нужно. -- Serge Matveenko jabber:se...@matveenko.ru microblog:http://identi.ca/lig profile:http://ru.linkedin.com/in/sergematveenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту
Писать свою процедуру шифрования-расшифровки, думаю, несеръезно. Как это обычно делается ? Обычно делается хэш от пароля (md5 и др.) и в последствии используется только хэш, хранится в БД. Если нужно проверить соответствие, то от кандидата делается соответствующий хэш и сравнивается. Если очень волнует, чтоб не подобрали слово с таким же хэшом, то можно сделать объединенный хэш разными алгоритмами -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту
А науке известны случаи подбора строк по известному md5-хэшу ? Вроде как известны открытые базы соответствий, причем пароли 12345 и qwerty там есть наверняка -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту
5 августа 2010 г. 19:58 пользователь ASLok aslok...@gmail.com написал: А науке известны случаи подбора строк по известному md5-хэшу ? Вроде как известны открытые базы соответствий, причем пароли 12345 и qwerty там есть наверняка Ага, вот оно: http://www.google.com/search?q=md5+rainbow+table -- Alexey Smirnov alsmirn.moikrug.ru [ru] linkedin.com/in/alsmirn [en] -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту
можно придумать какой-нибудь изврат в духе md5(md5(password)+md5(password+some_custom_text)+another_custom_text) :) P.S.: Плюсы поменяйте на PHPшное соединение строк. Давно не педалил на нем, забыл, как делается. -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php-программисту
В Чтв, 05/08/2010 в 22:44 +0700, std_out пишет: Hi all ! Пришло время делать в моем веб-приложеньице раздельный доступ для разных категорий пользователей. Посоветуйте, как организовать авторизацию. Не в смысле, что там кукисы-сессии, а где и в каком виде наиболее удобно/безопасно хранить пароли. Т.е. хранить наверное все-таки в базе данных приложения (в моем случае MySQL), а вот в какой форме - вопрос ... В виде простого текста наверное будет неправильно, видимо надо их как-нибудь шифровать/расшифровывать. Писать свою процедуру шифрования-расшифровки, думаю, несеръезно. Как это обычно делается ? Во-первых, вопрос имеет слабое отношение к теме этой рассылки. Во-вторых, неужели при миллиардах страниц манов по ПХП и миллионах форумов, если остались такие фундаментальные проблемы? В-третьих, (во мне проснулся DjangoRoR девелопер) а что, ДО СИХ ПОР это надо в пхпх делать руками? Пока весь мир пользуется готовыми решениями, с salt-примесями? Ужас. Автор, поучите Ruby On Rails, он в стотыщ раз умнее и удобнее. А пхп оставьте школьникам. Он устарел давно. P.S. Фух, выговорился:) -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту
5 августа 2010 г. 19:58 пользователь Владимир Бажанов a...@ukrpost.net написал: Во-первых, вопрос имеет слабое отношение к теме этой рассылки. Во-вторых, неужели при миллиардах страниц манов по ПХП и миллионах форумов, если остались такие фундаментальные проблемы? В-третьих, (во мне проснулся DjangoRoR девелопер) а что, ДО СИХ ПОР это надо в пхпх делать руками? Пока весь мир пользуется готовыми решениями, с salt-примесями? Ужас. Автор, поучите Ruby On Rails, он в стотыщ раз умнее и удобнее. А пхп оставьте школьникам. Он устарел давно. P.S. Фух, выговорился:) Ну, зачем на человека напали? Он похоже желает покопаться с PHP без каких-либо надстроек идт итп... Основы учит... Я бы похвалил за это. -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту
5 августа 2010 г. 20:04 пользователь Ivan Surzhenko i.surzhe...@gmail.com написал: 5 августа 2010 г. 19:58 пользователь Владимир Бажанов a...@ukrpost.net написал: Во-первых, вопрос имеет слабое отношение к теме этой рассылки. Во-вторых, неужели при миллиардах страниц манов по ПХП и миллионах форумов, если остались такие фундаментальные проблемы? В-третьих, (во мне проснулся DjangoRoR девелопер) а что, ДО СИХ ПОР это надо в пхпх делать руками? Пока весь мир пользуется готовыми решениями, с salt-примесями? Ужас. Автор, поучите Ruby On Rails, он в стотыщ раз умнее и удобнее. А пхп оставьте школьникам. Он устарел давно. P.S. Фух, выговорился:) Ну, зачем на человека напали? Он похоже желает покопаться с PHP без каких-либо надстроек идт итп... Основы учит... Я бы похвалил за это. -- With best regards, Ivan Surzhenko Маленькая ремарка: моё предыдущее письмо относилось только к третьему пункту -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php-программисту
+1 и вспомните себя, когда начинали. Сразу грызли Руби или Питон? Или же, всё-таки, начинали с основ? А то, что немного не по теме, тут немного автора понимаю, ибо это самая вменяемая рассылка по linux like системам, нежели форумы, хабры и т. д. 05.08.2010, 21:04, Ivan Surzhenko i.surzhe...@gmail.com: 5 августа 2010 г. 19:58 пользователь Владимир Бажанов a...@ukrpost.net написал: Во-первых, вопрос имеет слабое отношение к теме этой рассылки. Во-вторых, неужели при миллиардах страниц манов по ПХП и миллионах форумов, если остались такие фундаментальные проблемы? В-третьих, (во мне проснулся DjangoRoR девелопер) а что, ДО СИХ ПОР это надо в пхпх делать руками? Пока весь мир пользуется готовыми решениями, с salt-примесями? Ужас. Автор, поучите Ruby On Rails, он в стотыщ раз умнее и удобнее. А пхп оставьте школьникам. Он устарел давно. P.S. Фух, выговорился:) Ну, зачем на человека напали? Он похоже желает покопаться с PHP без каких-либо надстроек идт итп... Основы учит... Я бы похвалил за это. -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php-программисту
А я с Python начинал :) Тут надо решить. Если хотеть учить именно язык - надо учить php. Если хотеть учится делать сайты - надо учить рельсы. Ибо это быстрее и мощнее. А насчёт фейсбука и пр. пхпшных сайтов - ну что сказать, студентов небось нанимали индусов и вот получили. Или просто переписывать на новых платформах дорого и нерационально. Я собственно почему рельсы советую: это придумал не я, но в интернетах есть мнение что это наиболее перспективный фреймворк. -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php-программисту
Начинающий грамотного кода может вообще не понять. Сам разбирался с кодом на Ruby... В Чтв, 05/08/2010 в 20:26 +0300, Alexander пишет: Вообще ковырять чужой код, если он грамотно написан, полезная практика. Как узнать _НАЧИНАЮЩЕМУ_ программисту, что код грамотно написан? -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php-программисту (О Ruby)
Если Вам именно документацию то: http://rubyonrails.org/documentation Но это уже после того, как книжку прочтёте. Как ни смешно, а книжка тоже начинается сразу с описания, как сделать интернет-магазин. Но зато вторая половина книжки именно про то, как это вобще работает. Книжка, примерно 900 страницы (называется что то вроде быстрая (да, да, 900 страниц:)) разработка на Rails.) в оригинале звучит как Agile Web Development with Rails. Перевод 2го издания на варезниках гуглится легко. Есть уже третье, про самые современные версии, но и второе сойдет, чтобы оценить суть. А где можно взять хорошую документацию на эту тему, не просто чеканки мол вот вам такой компонент, а вот вам такой, а полностью описание всего процесса разработки чего-либо. Возможные варианты программного обеспечения, выбор компонент и модулей, их установка, сравнение. Короче говоря, когда я купил книгу, там во вступлении сказано: мы не будем рассказывать вам о том, что это вообще такое, давайте лучше программировать сразу. То есть, рассчитанную на либо опытного пользователя либо телепата. Я вот ошиваюсь на официальных ресурсах по этому поводу, но там сложновато понять, то к чему. Если это перспективный фреймворк, как правильно его изучать? -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту (О Ruby)
2010/8/5 Jill Smitt jillsm...@linuxcenter.kz: Если это перспективный фреймворк, как правильно его изучать? http://diveintopython.org/toc/index.html http://docs.djangoproject.com/en/1.2/intro/tutorial01/ -- Serge Matveenko jabber:se...@matveenko.ru microblog:http://identi.ca/lig profile:http://ru.linkedin.com/in/sergematveenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту
А мне кажется будет достаточно md5( пароль+ время регистрации ), на пример. -- С уважением, Киреев Александр Петрович. тел: +7-906-971-37-71 JID: stl.3...@gmail.com, add...@jabber.ru ICQ: 332999383 -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru