Autor Zpráva
DoubleThink
Profil *
MiniBB, jak známo, nepoužívá sessions - pak tady vidíme problémy typu "přihlášení nevydrží při přechodu na jinou stránku".
Používá totiž cookies. Je tedy jasné, že tento cookie bude obsahovat jednak uživatelské jméno ale taky heslo - což vidím jako problém.
Tvar cookie je následující: userName|md5(userPass)|userExpTime

Tímto je popřen význam kryptování hesel - kdokoliv, kdo se dostane k hashům, se může lehce (pomocí cookies) přihlásit na kohokoliv z této diskuse - včetně hlavního admina.
Leo
Profil
Fuckt dobry :-) Leo
Yuhů
Profil
co s tím provedeme?
DoubleThink
Profil *
No nevím - teď jsem se díval na phpBB a je to tam taky takto:

a:2:{s:11:\"autologinid\";s:32:\"md5(heslo)\";s:6:\"userid\";i:3;}

Žádný schůdný způsob asi nebude.
DoubleThink
Profil *
Řešením by možná bylo hesla neukládat do cookie kryptovaná, ale kódovaná (třeba base64).
Při loginu by se pak dekódovalo a poslalo k zakryptování a porovnání.

Heslo v cookie mi příjde docela bezpečně uloženo (v rámci internetu jako takového). V rámci samotného PC už ne, ale to už je stejně jedno (stejnou práci mi dá vytáhnout hesla z password manageru).
Yuhů
Profil
Já bych to asi nehrotil. Konec konců je tohle jenom nezávazná diskuse, žádné enterprise řešení nepotřebujeme.
Toto téma je uzamčeno. Odpověď nelze zaslat.

0