1. asked86 - 18 Октября, 2008 - 20:22:06 - перейти к сообщению
Как решаются проблемы при выдаче пароля и логина пользователям системы. Но, так чтобы о пароле даже сам админ не знал (т.е чтобы его модуль сам сгенерил пароль, и в БД как хэш был сохранен, но выдавая ключик пользователю админ все равно его узнает как решить проблему). Шифрование с ключом, функции известны все понятно, просто хотелось узнать как на практике это все решается ?
2. valenok - 18 Октября, 2008 - 20:29:40 - перейти к сообщению
Выдавая ключик вы имеете в виду конфирмационный ключ отсылаемый на почту ?
Обычно пользователи сами себе пароли выбирают, а базу записывается их контрольная сумма
Обычно пользователи сами себе пароли выбирают, а базу записывается их контрольная сумма
3. asked86 - 18 Октября, 2008 - 20:37:33 - перейти к сообщению
Просто объяснте как на практике это все решается, ато в голове бум не пойму !
4. valenok - 18 Октября, 2008 - 20:38:49 - перейти к сообщению
Обычно пользователи сами себе пароли выбирают, а базу записывается их контрольная сумма
5. asked86 - 18 Октября, 2008 - 20:43:09 - перейти к сообщению
Т.е в моей системе тогда если я правильно понял user сам себе выбирает:
пароль , логин - а ключ генерится сам системой, и по email на его адрес.
А когда user захочет войти в систему, как это будет происходить, объясните, Please!
пароль , логин - а ключ генерится сам системой, и по email на его адрес.
А когда user захочет войти в систему, как это будет происходить, объясните, Please!
6. valenok - 18 Октября, 2008 - 20:46:17 - перейти к сообщению
Он заходит на сайт, вводит логин и пароль, и он в системе.
Вы когда нибудь где нибудь регистрировались ?
Ключ на имейл это в основном для проверки того что имейл введен настоящий.
Вы когда нибудь где нибудь регистрировались ?
Ключ на имейл это в основном для проверки того что имейл введен настоящий.
7. asked86 - 18 Октября, 2008 - 20:53:06 - перейти к сообщению
И в чем же тогда смысл нашего шифрования, если только правилность email, проверять.
Извините, я вас немного не пойму, я хочу так чтобы этот пароль даже сам админ незнал.
Извините, я вас немного не пойму, я хочу так чтобы этот пароль даже сам админ незнал.
8. valenok - 18 Октября, 2008 - 22:07:42 - перейти к сообщению
Я не знаю в чём смысла вашего там шифрования.
Пользователь выбирает пароль, в базу записывается его md5 (ака контрольная сумма)
потом при авторизации проверяется if(md5($_POST['pass']) == запись в БД)
то пропускаем пользователя. Иначе - не пропускаем.
Даже если он заглянет в бд, то увидит там не пароли, а их хэши.
Только если он имеет возможность заглянуть в БД, то я уверен возможность поправить скрипт он тоже имеет.
А если не имеет доступа к бд, то как он вообще чтото может узнать ?
Пользователь выбирает пароль, в базу записывается его md5 (ака контрольная сумма)
потом при авторизации проверяется if(md5($_POST['pass']) == запись в БД)
то пропускаем пользователя. Иначе - не пропускаем.
Даже если он заглянет в бд, то увидит там не пароли, а их хэши.
Только если он имеет возможность заглянуть в БД, то я уверен возможность поправить скрипт он тоже имеет.
А если не имеет доступа к бд, то как он вообще чтото может узнать ?
9. asked86 - 19 Октября, 2008 - 12:36:54 - перейти к сообщению
Ваш предложенный вариант с хэшами меня устраивает, нормально в БД хранятся хэши а пароль у пользоваетля !
Спасибо !
Спасибо !
10. Champion - 19 Октября, 2008 - 13:36:23 - перейти к сообщению
asked86 пишет:
Мда)) Веселая дискуссия) Почти везде так и делают. Это общеизвестный сп-б
Ваш предложенный вариант с хэшами меня устраивает, нормально в БД хранятся хэши а пароль у пользоваетля !
11. Ыыы - 19 Октября, 2008 - 16:17:03 - перейти к сообщению
Заверните, я возьму 
12. asked86 - 20 Октября, 2008 - 14:40:52 - перейти к сообщению
insert into `table` values('null',md5(`field`))
- и все сохраняется в виде ХЭША!
- и все сохраняется в виде ХЭША!
13. Champion - 22 Октября, 2008 - 12:35:56 - перейти к сообщению
Кстати, в виде мд5 лучше сохранять не пароль, а пару логин+пароль.
Иначе у человека, имеющего доступ к бд и права на выборку, вставку будет возможность зайти под любым логином следующим способом:
скопировал мд5 "подопытного", вставил в блокнотик
на его место вставил свой мд5
зашел с логином "подопытного" и своим паролем
посмотрел, что было интересно
вернул мд5 на место
...
Иначе у человека, имеющего доступ к бд и права на выборку, вставку будет возможность зайти под любым логином следующим способом:
скопировал мд5 "подопытного", вставил в блокнотик
на его место вставил свой мд5
зашел с логином "подопытного" и своим паролем
посмотрел, что было интересно
вернул мд5 на место
...
14. valenok - 22 Октября, 2008 - 13:00:34 - перейти к сообщению
Там обычно хранится связка типа
pass = md5(md5(pass) + "asdfht;bj*(^*&^T%)(*UXFgb; ba4;jgtgbgf nb" + sha1(pass))
pass = md5(md5(pass) + "asdfht;bj*(^*&^T%)(*UXFgb; ba4;jgtgbgf nb" + sha1(pass))
15. asked86 - 25 Октября, 2008 - 18:00:15 - перейти к сообщению
Спасибо !