| Autor | Zpráva | ||
|---|---|---|---|
| john Profil * |
#1 · Zasláno: 23. 11. 2011, 20:37:21
Chci se zeptat je bezpečné přihlášení takové že se v db zjistí zdali existuje jemno spolu s heslem ktere uzivatel zadal a nasledovne kdyz souhlasi tak zaregistrovat session login="ok" ??
nebo existují nějaké online registratory session ci tak neco.? nebo pokud znáte efektivnější způsob tak napište název. Předem dííky ! |
||
| Dixie Profil * |
#2 · Zasláno: 23. 11. 2011, 20:41:02
Já používám tenhle způsob.
Ale radši používej: $SESSION['logged'] == true |
||
| okolojdouci Profil * |
#3 · Zasláno: 23. 11. 2011, 20:42:08
john:
„Chci se zeptat je bezpečné přihlášení takové že se v db zjistí zdali existuje jemno spolu s heslem ktere uzivatel zadal a nasledovne kdyz souhlasi tak zaregistrovat session login="ok" ??“ Ano. Jen s tím, že v databázi neuchováváš heslo, ale jeho hash. |
||
| john Profil * |
#4 · Zasláno: 23. 11. 2011, 20:45:56
HASH..?
|
||
| okolojdouci Profil * |
#5 · Zasláno: 23. 11. 2011, 21:18:36
john:
„HASH..?“ Google je kamarád. Hash je řetězec, který dostaneš z libovolného textu hashovací funkcí. Opačný postup není možný, tzn. z hashe nelze získat heslo. V databázi skladuješ hash a při loginu ho porovnáváš s hashem toho, co člověk zadal jako heslo. Smyslem je, že v databázi neskladuješ hesla, takže případnému úspěšnému útočníkovi nestačí k tomu, aby se přihlásil. Tolik jakýsi zjednodušený princip. Praktická bezpečnost hashe tak jednoznačná není, ale bezpečnost ukládání hashe versus ukládání hesla je nesrovnatelná. Jo a implementace je asi tak 10x jednodušší, než tenhle můj popis. Hledej md5 (jedna z hashovacích funkcí, běžně používaná) |
||
| Dixie Profil |
#6 · Zasláno: 23. 11. 2011, 21:46:35
Prostě je to zakódování hesla tak, že bude mnohem těžší pro kohokoliv to heslo ukrást.
normálně by šlo například vložit neviditelný rám nic netušícímu uživateli, ve ketrém by byl skript odesílající vyplněná data ve formuláři mailem atd... S hashem se tomuhle vyhneš, jestli to chápu dobře. Nějak moc podrobně jsem to nestudoval. |
||
| Han Profil |
#7 · Zasláno: 23. 11. 2011, 21:50:52
okolojdouci:
Samozrejme a na md5 nájdeš ešte aj online decrypter, ale súhlasím že stále lepšie ako ukladať heslá "len tak" :) |
||
| john Profil * |
#8 · Zasláno: 23. 11. 2011, 22:19:05
jo takhle :) samozrejme ze ukladam hesla do md5
takze staci pro bezpecne prihlaseni uzivatele pouzivat $_SESSION['login']="ok" :) děkuju všem |
||
| helpik.JPW Profil |
#9 · Zasláno: 24. 11. 2011, 13:21:35 · Upravil/a: helpik.JPW
john:
„ $_SESSION['login']="ok" - stačí, ale spávnější je jako psal Dixie $SESSION['logged'] == true Nemusíš pak security stránkách to "ok" v "login", ale stačí pravdu "logged". |
||
|
Časová prodleva: 3 měsíce
|
|||
| steev77 Profil * |
#10 · Zasláno: 27. 2. 2012, 15:26:01
Ještě je tu otázka bezpečnosti samotného session http://www.security-portal.cz/clanky/advanced-session-stealing-cast-1. html
|
||
|
Časová prodleva: 12 let
|
|||
0