В том-то и фишка - если файл с паролем скопировать на любой другой ПК, расшифровать уже будет проблематично.
А зачем мне файл с паролем? Я уже буду целить сразу на ввод логина и пароля, с помощью кейлогера, ну да вы скажите, что пароли вводятся автоматом, но можно и удалить файлик с паролями, заставив пользователя вводить пароли заново!
Цитата:
Винда поддерживает шифрование пользовательских данных, только не все этим пользуются. Даже если сбросить пароль - пользовательские файлы окажутся недоступными (в т.ч. вся папка %appdata%, где хром хранит пароли)
Ой ну да, мы говорим про среднестатистического пользователя, там врядли вообще будет стоять пароль на учетную запись в домашнем пк... Я уже молчу про шифрование!
Цитата:
Но не стоит забывать и про обычных пользователей, которые хоть в какой-то мере ценят свои аккаунты.
а не кто их и не забывает!
Мы же уже выяснили, что сохранность паролей, в большей степени, зависит от самого пользователя! Так зачем урезать юзабилити одних пользователей, для призрачной защиты других? Первые просто уйдут, вторые даже после маловероятного взлома, скорей всего останутся.
В таком случае "режим параноик ON" - сохранять пароли только у себя в голове, т.к. как бы ни был зашифрован файл - если надо, его в большинстве случаев расшифруют, это только дело времени.
так-так-так, не надо с меня делать параноика, и перебрасывать на другую сторону спора! Я полностью со всем согласен, если вдруг кому то разбирающемуся будет дан доступ к ПК, то взломать что-либо не составит особого труда, троян в исключения антивируса, и немного подождать!
Про хром, я ввел к тому что увести пароли может почти любой, кто знает куда заходить, что бы их посмотреть! Для этого не нужно вообще владеть какими то познаниями в хищении паролей! Пароль учетной записи тоже легко обходиться, я помню еще в школе, умел пользоваться всякими программами типо windows password recovery! Для таких манипуляций не нужно уметь кидать на ПК троянов всяких, которые еще нужно и уметь настраивать, что бы сливать инфу куда надо, не надо познания в перехвате пакетов, умения их расшифровывать, не нужно быть админом в wi-fi кафешке... Просто быть среднестатистическим пользователем ПК....
Цитата:
Вообще-то спрашивает, по крайней мере "из коробки", если в настройках ничего не менять.
Вроде не спрашивает... может не помню спорить не буду!
И да есть еще куча разных способов увести пароли! Вот я и говорю стоит ли сильно заморачиваться с защитой, в ущерб юзабилити, в таких проектах, где аккаунт не составляет материальной ценности?
Открою секрет у меня есть ряд сайтов, на вход в которых стоит один и тот же не большой легко запоминающийся логин и пароль! Аккаунты на этих сайтах для меня абсолютно никакого значения не имеют, регистрация только по причине доступа к большим возможностям сайта, к этим сайтам в основном относятся различные торрент трекеры, форумы на которых нужно задать один вопрос, файлообменники, где вдруг понадобилось что то скачать! Что имеем сильное пренебрежение защиты, зато какое юзабилити, я легко получаю доступ к нужным мне ресурсам с любого не своего ПК! Бывает очень удобно! Большинства этих сайтов я даже не помню, но бывает очень приятно, когда заходишь на какой то сайт с поисковика, а тебе там говорят, Здравствуйте уважаемый, последний раз вы у нас были ..... Я даже последнее время прежде чем регистрироваться где то, ввожу этот свой логин и пароль, так как уже стал часто попадать на те сайты, где уже зарегистрирован... (Добавление)
Мне вот так вот удобно! Между прочим, еще не разу не было, что бы взломали... Да и нафиг оно кому то надо, взламывание аккаунтов форумов или трекеров всяких, что бы отзыв оставить? Или в теме кому то нагадить? Разве что для фана...
Вот у одного знакомого не так давно аккаунт в соц. сети взломали, и что? Восстановил доступ, изменил пароль… Так несколько раз, понравился он кому то… Поставил вход по мобильнику, вот и все….
Alessanderrr ну так я привел ваш скрипт, к более нормальному, обычному виду
хотя до нормального ему еще очень далеко!
и тогда еще одно, библиотека mysql_* уже давно устарела, а в следующей версии php будет удалена http://php.net/manual/ru/functio...ysql-connect.php , так что не тратьте время на ее изучения, приступайте сразу к mysqli или pdo
касательно того , что я не понял, как они работают - вполне таки не исключено, хотя имеющиеся примеры я вроде разобрал
не изучайте php по попову, да вообще ничего по нему не изучайте, он мало того что даже самые основы дает в каком то дико перевернутом виде! Так еще и учит именно так, как делать не надо!
Ничего не огромная, нечего пускать всяких за свой компьютер.
Огромная-огромная зашел сосед, знакомый, друг, подруга, девушка, еще кто то... и все плакали ваши пароли от различных соц. сетей, конечно если это близкие люди, то это будет просто возможность порыться в вашем личном, и обернется скорей всего шуткой!
А что если к вам пришел, какой то посторонний человек, ну бывает такое... Далеко не все в наше время разбираются в ПК, и есть такие, которые ни антивирус не установят, ни от вирусов сами не избавятся, ни почистить ПК не смогут, притер там установить, сеть настроить, и т.д. Отвернулся хозяин где то и все пароли тютю!
Или же комп на работе стоит, где не только у вас доступ есть!
Или же живете не сами, снимаете квартиру с кем то, или же вообще в общаге! Где кто хочет может зайти, когда вас нет!
Понятно, что с таким доступом, не сложно и троян какой то кинуть, или шпиона, но вот для этого нужно хоть какие то познания иметь в этой области! А в случаи с хромом, так любой может пароли посмотреть! Не нужно иметь никаких специальных знаний! Соответственно количество людей могущих вас взломать сильно увеличивается!
А вообще плохо даже не то, что пароли в хроме без защиты в свободном доступе лежат, а то что об этом не сообщают пользователю, когда предлагают сохранить пароль! Например, так и так свой пароль, можете удалить, изменить пройдя вот по этой ссылке! А должны были бы! Средне-статистический пользователь даже не подозревает, что так легко можно получить доступ к его паролям! (Добавление)
Цитата:
Вы серьезно думаете, что все пользователи имеют хотя бы минимальное представление о политике безопасности? Открою страшную тайну, нифига подобного! Понятное дело что человек может отойти/уйти даже с открытым аккаунтом на вашем сайте и его могут грохнуть. Но есть варианты. Сайт может быть закрыт, а почта открыта. Ещё раз, не все имеют хотя бы минимальное представление о безопасности и не всегда и не все пользуются компьютерами в надежной среде. У некоторых может вообще дома не быть компа/интернета/провайдер сломался
Я так не думаю! Я абсолютно с вами согласен по поводу, что подавляющее большинство пользователей, даже базового понятия не имеют о том как там все происходит!
Цитата:
Или вы ещё и думаете, что все люди идеальны?
скорей всего наоборот думаю)
Цитата:
Для продвинутых пользователей - да, как уже говорил, можно дать выбор в том случае, если выбор между удобством и безопасностью колеблется. Но по дефолту ставить высокий уровень защиты.
вот здесь, я придерживаюсь другого мнения, безопасность конечно обязательна, но не в ущерб удобности! Вот даже хром сюда в пример привел, там вроде как профи его разрабатывают, но вот безопасность хранения паролей там очень низкая! Из чего делаем вывод, что они выбрали удобность во вред безопасности... хотя их эта реализация, мне тоже не нравиться!
И еще раз добавлю, вот лично для меня, если на сайте нет доступа к моим сбережениям, то меня не сильно заботит возможность взлома, и я бы отдал предпочтение именно удобству использования! Все-равно в большинстве случаев, я смогу восстановить доступ, ну или же на крайний случай создать новый аккаунт! Конечно не приятно, но не критично!
На сколько мне известно в FireFox пароли хранятся в зашифрованном виде, и еще есть мастер-пароля, где можно поставить пароль на все хранящиеся пароли. Не знаю на сколько их от туда трудно достать, не разу не страдал этим, но это уже вызывает трудности при взломе...
А вот в хроме просто зашел в настройки, и все пароли в открытом доступе, бери себе на здоровье, что тебе надо!
Цитата:
Я не рассматриваю случай "сел за чужой компьютер". Это, правда, не имеет смысла. Это абсолютно то же самое, что ты только что написал про разбрасывание паролей.
Ну и я об этом же, если юзер лопух, то что тут поделаешь... У меня все важные пароли хранятся в надежном месте!
dcc0 а кто виноват, что этот журналист не следит за сохранностью своих логинов и паролей? и раскидуется ими везде, где не лень... В общем спорный вопрос!
И отличное решение предоставить функционал, по изменению политики безопасности, самому пользователю!
Цитата:
Браузеры по-прежнему предлагают сохранять пароли.
В хроме так вообще ужас, там ничего даже взламывать не надо, сел за чей то ком и все пароли, сохраненные в хроме, у тебя на ладони.... Вот к стати яркий пример того, как относятся разработчики гугла к вопросу о безопасности!
На мое мнение сильное пренебрежение удобством, в пользу безопасности актуально, только в том случаи, если проект связан с денежными манипуляциями! Например сервисы различных интернет банков, покер румы, etc...
В случаи с форумами, различными блогами, интернет магазинами, соц. сетями безопасность стоит не на первом месте, и далеко не критична...
Конечно хорошо, когда у пользователя есть выбор различных дополнительных параметров для увеличения сохранности пароля, и увеличения сложности входа. Такие как двойной пароль, пароль и пин-код, ввод пароля с виртуальной клавиатуры, с постоянно меняющимся расположением букв, подтверждение входа через почту, вошедшие в моду подтверждение через мобильник, завершение сеанса при бездействии пользователя определенное время, и т.д....
Но также очень плохо, когда этого выбора лишают, и делают сильный уклон в сторону безопасности!
Я пользуюсь одним сайтом, где решили за меня, что безопасность прежде всего! Там нет опции - "запомнить меня за данным пк", и приходиться каждый раз вводить свои логин и пароль, и при бездействии 10 мин. обрывают сеанс, и приходиться заново входить, ОЧЕНЬ НЕ УДОБНО! Я бы давно забил и не пользовался этим сайтом, если бы это был не мой интернет-провайдер, с вполне устраиваемыми для меня тарифами! И в связи с таким затруднением при входе, пароль я на него поставил очень простой(что на мой взгляд наоборот ослабило защиту), что бы можно было легко и быстро зайти... А самое интересное, что у них есть опция, при включении которой, можно делать какие то действия только по адресу, по которому мне предоставляется доступ к сети.... И вот спрашивается, почему нет возможности автоматического входа, и нафиг мне нужен постоянный обрыв сеанса, при бездействии! Даже в поддержку писал - что очень не удобно они сделали, на что мне ответили - безопасность для них прежде всего - это если вкратце, а так там была целая петиция, о том как у меня, на их мнение, могут увести пароль!
Подвожу к тому(чисто со стороны пользователя), что если бы для меня стоял выбор между, аналогичными по содержимому сайтами: один с повышенной защитой, и ужасной не удобностью, другой с плохой защитой, но зато удобный в использовании, я бы точно выбрал второй вариант! Я бы точно не задержался на форуме, если бы мне приходилось авторизоваться там, каждые 10 мин... Или же подтверждать свой вход, например через мобильник! Но все же хорошо, когда по выбору пользователя, можно усилить уровень защиты!
И на мое мнение, со стороны разработчика, пользователь должен сам позаботиться о сохранности своих логина и пароля! Если пользователь лопух и у него стырили логины и пароли, или как то вошли на его мыло, после того как он решил менять пароль за чужим пк, или же не нажал кнопочку выйти, когда находился не дома, то в чем тут, может быть вина разработчика? На мое мнение разработчик прежде всего отвечает, за сохранность логинов и паролей на своей серверной стороне, что бы не увели базу данных с логинами и паролями, а если и увели, то что бы не могли ею воспользоваться! Даже в он-лайн играх, куда некоторые вкладывают не маленькие деньги, пишут что администрация не несет ответственность при взломе аккаунта...
DonQuijote там все описано, и подано с хорошими примерами!
Или же вы мне предлагаете вам переписать то же, что уже там и так написано? (Добавление)
и при чем здесь рассчитывание полной процентной ставки к "Экономической теорию" или Учению Маркса.
Я вам не предлагал, читать теорию программирования, или там теорию алгоритмов! (Добавление)
совсем не тоже самое!
Главная
Помощь
Поиск
Пользователи
Найдено сообщений: 425
