Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Форумы портала PHP.SU :: Версия для печати :: md5 js
Форумы портала PHP.SU » » Вопросы новичков » md5 js

Страниц (3): [1] 2 3 »
 

1. Tox - 09 Августа, 2012 - 14:19:34 - перейти к сообщению
Как известно, с помощью бессмертного wireshark можно спокойно отфильтровать нужные пакетики и узреть в них email и пасс юзера в чистом виде, если, конечно, они не шифруются.
Поскольку на ssl денег нет, то единственный видимый выход - это отсылать пассы постом уже в md5 с помощью js. (или есть другие способы?) например,
PHP:
скопировать код в буфер обмена
  1. // $pass - уже в md5 из js
  2. // $salt - соль, которую храним в бд
  3. $pass = md5($pass . $salt);

У меня не глубокие знания js, поэтому сам проверить не могу , можно ли доверять алгоритмам, предложенным здесь? Ведь с точки зрения клиента - js исполняется-то на его стороне, код виден, можно "подправить".
Тема на самом деле занятная и интересная, на моей памяти только вк (может и фб) использует хэширование пароля перед отправкой.
2. Мелкий - 09 Августа, 2012 - 14:28:02 - перейти к сообщению
На нешифрованном соединении куда проще утянуть сразу сессионную куку и делать с ней что понравится.
3. Tox - 09 Августа, 2012 - 14:36:22 - перейти к сообщению
Да, я читал, тут
PHP:
скопировать код в буфер обмена
  1.  if($_POST['session_id'] != session_id())
  2.   {
  3.     exit("Попытка передачи данных с другого хоста. Скрипт остановлен.");
  4.   }

Это понятно, а если передавать $_SESSION["session_id"], то это приемлемо? Хранить в куках, да и вообще в куках не вижу смысла - это зло
4. Viper - 11 Августа, 2012 - 08:21:15 - перейти к сообщению
Tox пишет:
только вк (может и фб) использует хэширование пароля перед отправкой
не только.

Кстати с точки зрения клиента, если перехватили хеш и каким-то способом взломали аккаунт илил ещё чего там, то это имхо проблема юзера.
5. Tox - 11 Августа, 2012 - 10:54:57 - перейти к сообщению
Viper, но все-таки надо обеспечить максимально доступную безопасность, чтобы потом стыдно не было Улыбка
6. Viper - 11 Августа, 2012 - 12:05:33 - перейти к сообщению
Tox используйте. Хуже не будет.
7. armancho7777777 - 11 Августа, 2012 - 14:24:46 - перейти к сообщению
Tox пишет:
У меня не глубокие знания js, поэтому сам проверить не могу , можно ли доверять алгоритмам, предложенным здесь?

Почитайте:
http://javascript[dot]ru/php/md5
И комментарии тоже. До конца.
8. Viper - 11 Августа, 2012 - 15:17:04 - перейти к сообщению
armancho7777777 http://code[dot]google[dot]com/p/crypto-js/
9. Tox - 11 Августа, 2012 - 16:07:49 - перейти к сообщению
И чтобы передать через submit js-переменную (методом пост) скрипту, надо сделать скрытую форму?
10. Viper - 11 Августа, 2012 - 16:25:46 - перейти к сообщению
Tox зачем?
11. Tox - 11 Августа, 2012 - 16:29:12 - перейти к сообщению
Viper, чтобы скрипту передать md5 от js
12. Viper - 11 Августа, 2012 - 17:39:18 - перейти к сообщению
Tox вы сами то поняли что сказали. Юзер у вас что пароль в скрытое поле вводить будет?
13. Tox - 11 Августа, 2012 - 17:47:18 - перейти к сообщению
Viper,
0. Юзер вводит пасс
1. md5(пасс) с помощью js
2. В скрытое поле кидаем (1)
3. Отправляем всю инфу постом.
Что не так?
14. armancho7777777 - 11 Августа, 2012 - 18:24:07 - перейти к сообщению
Viper, спасибо за ссылочку ))
Там с юникодом решён вопрос ? Не проверяли ?
15. Viper - 11 Августа, 2012 - 18:58:59 - перейти к сообщению
Tox зачем кидать в скрытое поле?
Отправляется все как и любая другая форма через js

armancho7777777 у меня в 2 проектах с utf8 проблем не было.

 

Powered by ExBB FM 1.0 RC1