Autor | Zpráva | ||
---|---|---|---|
DoubleThink Profil * |
#1 · Zasláno: 1. 11. 2005, 10:21:44
MiniBB, jak známo, nepoužívá sessions - pak tady vidíme problémy typu "přihlášení nevydrží při přechodu na jinou stránku".
Používá totiž cookies. Je tedy jasné, že tento cookie bude obsahovat jednak uživatelské jméno ale taky heslo - což vidím jako problém. Tvar cookie je následující: userName|md5(userPass)|userExpTime Tímto je popřen význam kryptování hesel - kdokoliv, kdo se dostane k hashům, se může lehce (pomocí cookies) přihlásit na kohokoliv z této diskuse - včetně hlavního admina. |
||
Leo Profil |
#2 · Zasláno: 1. 11. 2005, 11:49:38
Fuckt dobry :-) Leo
|
||
Yuhů Profil |
#3 · Zasláno: 3. 11. 2005, 02:47:22
co s tím provedeme?
|
||
DoubleThink Profil * |
#4 · Zasláno: 3. 11. 2005, 12:44:26
No nevím - teď jsem se díval na phpBB a je to tam taky takto:
a:2:{s:11:\"autologinid\";s:32:\"md5(heslo)\";s:6:\"userid\";i:3;} Žádný schůdný způsob asi nebude. |
||
DoubleThink Profil * |
#5 · Zasláno: 3. 11. 2005, 12:51:11
Řešením by možná bylo hesla neukládat do cookie kryptovaná, ale kódovaná (třeba base64).
Při loginu by se pak dekódovalo a poslalo k zakryptování a porovnání. Heslo v cookie mi příjde docela bezpečně uloženo (v rámci internetu jako takového). V rámci samotného PC už ne, ale to už je stejně jedno (stejnou práci mi dá vytáhnout hesla z password manageru). |
||
Yuhů Profil |
#6 · Zasláno: 4. 11. 2005, 11:21:12
Já bych to asi nehrotil. Konec konců je tohle jenom nezávazná diskuse, žádné enterprise řešení nepotřebujeme.
|
||
Časová prodleva: 18 let
|
Toto téma je uzamčeno. Odpověď nelze zaslat.
0