В продолжение начатой темы ;)
Ну допустим написал я нечто подобное
form method=post action=authorize.php
input type=text name=login
input type=password name=pass
input type=submit value=OK
/form
По поводу authorize.php все ясно.
А теперь вопрос.
Можно ли сделать для пущей надежности,
06.08.2010 14:58, maxyer пишет:
В продолжение начатой темы ;)
Ну допустим написал я нечто подобное
form method=post action=authorize.php
input type=text name=login
input type=password name=pass
input type=submit value=OK
/form
По поводу authorize.php все ясно.
А теперь вопрос.
06.08.2010 15:24, Сергей Блохин пишет:
Ломанул я вашу базу, знаю ваш хеш. Мне достаточно будет его в таком случае
просто передать authorize.php.
зачем? зачем передавать authorize.php? если вы уже ломанули базу, что
еще вы хотите оттуда извлечь, или вам принципиально авторизоваться надо? :)
Можно ли сделать для пущей надежности, чтобы pass уже на сервер
отправлялся не в открытом виде, а в зашифрованном ?
Чтобы по пути не перехватил кто-нибудь ;)
https?
Возможно ...
К сожалению все, что я знаю о https, это то, что это защищенный протокол
http.
Я понимаю, что это обширная тема,
06.08.2010 18:12, ASLok пишет:
Т.е. шифровать, соединение или пароль? Если пароль, яваскриптом что ли? )
А в JavaScript нет функций шифрования типа md5 или sha1 ?
--
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
06.08.2010 19:07, Ivan Surzhenko пишет:
В данном случае можно получать от сервера соль и считать
md5(соль+md5(пароль))
Сорри, что-то я не понял ;(
Что за соль такая ?
И где считать md5(соль+md5(пароль)) ?
На стороне клиента ?
--
ubuntu-ru mailing list
ubuntu-ru@lists.ubuntu.com
06.08.2010 16:47, maxyer пишет:
Можно ли сделать для пущей надежности, чтобы pass уже на сервер
отправлялся не в открытом виде, а в зашифрованном ?
Чтобы по пути не перехватил кто-нибудь ;)
https?
Возможно ...
К сожалению все, что я знаю о https, это то, что это защищенный
06.08.2010 18:09, Ivan Surzhenko пишет:
6 августа 2010 г. 16:43 пользователь Sergey Poulikov
script...@gmail.com написал:
злоумышленник не будет перехватывать и отправлять все это дело в ручную.
с клиента посылается уже сфоримрованный хеш с примесью salt и если
перехватить этот уже
06.08.2010 18:23, Владимир Бажанов пишет:
Пишем страничку авторизации для пентагона? :)
Пентагон совсем непричем. Для некоторых видов деятельности существуют
определенные правила и их несоблюдение наказуемо и в некоторых случаях
очень жестко.
--
/Regards,
Sergey Poulikov/
--
ubuntu-ru
Обычно делается хэш от пароля (md5 и др.) и в последствии используется
только хэш, хранится в БД. Если нужно проверить соответствие, то от
кандидата делается соответствующий хэш и сравнивается. Если очень
волнует, чтоб не подобрали слово с таким же хэшом, то можно сделать
объединенный хэш
05.08.2010 20:58, Владимир Бажанов пишет:
В-третьих, (во мне проснулся DjangoRoR девелопер) а что, ДО СИХ ПОР это
надо в пхпх делать руками? Пока весь мир пользуется готовыми решениями,
с salt-примесями? Ужас.
Вы путаете фреймворк и язык программирования. Если делать веб приложение
на
05.08.2010 19:49, ASLok пишет:
Писать свою процедуру шифрования-расшифровки, думаю, несеръезно.
Как это обычно делается ?
Обычно делается хэш от пароля (md5 и др.) и в последствии используется
только хэш, хранится в БД. Если нужно проверить соответствие, то от
кандидата делается
хеши обычно хранить смысла нет. юзеры будут делать пароли типа 123 или
йцукен. как не крути, а БУДУТ. даже если ты говнокодер и самсебеадмин и
базу твоего сайтика сольют в первый же день, то мд5 все равно очень
быстро сломается по причине лени самого юзера. практика показывает, что
сами сайты
05.08.2010 21:35, Владимир Бажанов пишет:
Начинающий грамотного кода может вообще не понять. Сам разбирался с
кодом на Ruby...
В Чтв, 05/08/2010 в 20:26 +0300, Alexander пишет:
Вообще ковырять чужой код, если он
грамотно написан, полезная практика.
Как узнать _НАЧИНАЮЩЕМУ_
05.08.2010 21:21, Владимир Бажанов пишет:
А я с Python начинал :)
Python кстати как язык для начала очень хорош, я сам считаю что для
обучения он один из лучших. Не только конечно для обучения.
А насчёт фейсбука и пр. пхпшных сайтов - ну что сказать, студентов
небось нанимали индусов и вот
не люблю когда сайт делает пароли за меня. регистрацию на таком ресурсе
я сделаю только если уж вообще припрет и больше никуда не сунуться.
On 08/06/2010 12:41 AM, Alexander wrote:
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
On 08/05/2010 08:36 PM, Vladimir Smagin wrote:
хеши обычно
06.08.2010 0:36, Vladimir Smagin пишет:
хеши обычно хранить смысла нет. юзеры будут делать пароли типа 123 или
йцукен. как не крути, а БУДУТ. даже если ты говнокодер и самсебеадмин и
базу твоего сайтика сольют в первый же день, то мд5 все равно очень
быстро сломается по причине лени самого
17 matches
Mail list logo
