Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770
Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737 Форумы портала PHP.SU :: Проблемы с шифрованием ?
Покинул форум
Сообщений всего: 82
Дата рег-ции: Окт. 2008
Помог: 0 раз(а)
[+][+]
Как решаются проблемы при выдаче пароля и логина пользователям системы. Но, так чтобы о пароле даже сам админ не знал (т.е чтобы его модуль сам сгенерил пароль, и в БД как хэш был сохранен, но выдавая ключик пользователю админ все равно его узнает как решить проблему). Шифрование с ключом, функции известны все понятно, просто хотелось узнать как на практике это все решается ?
valenok
Отправлено: 18 Октября, 2008 - 20:29:40
Здесь могла бы быть ваша реклама
Покинул форум
Сообщений всего: 4574
Дата рег-ции: Июль 2006 Откуда: Israel
Помог: 3 раз(а)
Выдавая ключик вы имеете в виду конфирмационный ключ отсылаемый на почту ?
Обычно пользователи сами себе пароли выбирают, а базу записывается их контрольная сумма
----- Truly yours, Sasha.
asked86
Отправлено: 18 Октября, 2008 - 20:37:33
Гость
Покинул форум
Сообщений всего: 82
Дата рег-ции: Окт. 2008
Помог: 0 раз(а)
[+][+]
Просто объяснте как на практике это все решается, ато в голове бум не пойму !
valenok
Отправлено: 18 Октября, 2008 - 20:38:49
Здесь могла бы быть ваша реклама
Покинул форум
Сообщений всего: 4574
Дата рег-ции: Июль 2006 Откуда: Israel
Помог: 3 раз(а)
Обычно пользователи сами себе пароли выбирают, а базу записывается их контрольная сумма
----- Truly yours, Sasha.
asked86
Отправлено: 18 Октября, 2008 - 20:43:09
Гость
Покинул форум
Сообщений всего: 82
Дата рег-ции: Окт. 2008
Помог: 0 раз(а)
[+][+]
Т.е в моей системе тогда если я правильно понял user сам себе выбирает:
пароль , логин - а ключ генерится сам системой, и по email на его адрес.
А когда user захочет войти в систему, как это будет происходить, объясните, Please!
valenok
Отправлено: 18 Октября, 2008 - 20:46:17
Здесь могла бы быть ваша реклама
Покинул форум
Сообщений всего: 4574
Дата рег-ции: Июль 2006 Откуда: Israel
Помог: 3 раз(а)
Он заходит на сайт, вводит логин и пароль, и он в системе.
Вы когда нибудь где нибудь регистрировались ?
Ключ на имейл это в основном для проверки того что имейл введен настоящий.
----- Truly yours, Sasha.
asked86
Отправлено: 18 Октября, 2008 - 20:53:06
Гость
Покинул форум
Сообщений всего: 82
Дата рег-ции: Окт. 2008
Помог: 0 раз(а)
[+][+]
И в чем же тогда смысл нашего шифрования, если только правилность email, проверять.
Извините, я вас немного не пойму, я хочу так чтобы этот пароль даже сам админ незнал.
valenok
Отправлено: 18 Октября, 2008 - 22:07:42
Здесь могла бы быть ваша реклама
Покинул форум
Сообщений всего: 4574
Дата рег-ции: Июль 2006 Откуда: Israel
Помог: 3 раз(а)
Я не знаю в чём смысла вашего там шифрования.
Пользователь выбирает пароль, в базу записывается его md5 (ака контрольная сумма)
потом при авторизации проверяется if(md5($_POST['pass']) == запись в БД)
то пропускаем пользователя. Иначе - не пропускаем.
Даже если он заглянет в бд, то увидит там не пароли, а их хэши.
Только если он имеет возможность заглянуть в БД, то я уверен возможность поправить скрипт он тоже имеет.
А если не имеет доступа к бд, то как он вообще чтото может узнать ?
----- Truly yours, Sasha.
asked86
Отправлено: 19 Октября, 2008 - 12:36:54
Гость
Покинул форум
Сообщений всего: 82
Дата рег-ции: Окт. 2008
Помог: 0 раз(а)
[+][+]
Ваш предложенный вариант с хэшами меня устраивает, нормально в БД хранятся хэши а пароль у пользоваетля !
Спасибо !
Champion
Отправлено: 19 Октября, 2008 - 13:36:23
Активный участник
Покинул форум
Сообщений всего: 4350
Дата рег-ции: Авг. 2008 Откуда: Москва
Помог: 57 раз(а)
asked86 пишет:
Ваш предложенный вариант с хэшами меня устраивает, нормально в БД хранятся хэши а пароль у пользоваетля !
Мда)) Веселая дискуссия) Почти везде так и делают. Это общеизвестный сп-б
Ыыы
Отправлено: 19 Октября, 2008 - 16:17:03
Частый гость
Покинул форум
Сообщений всего: 169
Дата рег-ции: Июль 2008 Откуда: Россия, Хабаровск
Помог: 0 раз(а)
Заверните, я возьму
asked86
Отправлено: 20 Октября, 2008 - 14:40:52
Гость
Покинул форум
Сообщений всего: 82
Дата рег-ции: Окт. 2008
Помог: 0 раз(а)
[+][+]
insert into `table` values('null',md5(`field`))
- и все сохраняется в виде ХЭША!
Champion
Отправлено: 22 Октября, 2008 - 12:35:56
Активный участник
Покинул форум
Сообщений всего: 4350
Дата рег-ции: Авг. 2008 Откуда: Москва
Помог: 57 раз(а)
Кстати, в виде мд5 лучше сохранять не пароль, а пару логин+пароль.
Иначе у человека, имеющего доступ к бд и права на выборку, вставку будет возможность зайти под любым логином следующим способом:
скопировал мд5 "подопытного", вставил в блокнотик
на его место вставил свой мд5
зашел с логином "подопытного" и своим паролем
посмотрел, что было интересно
вернул мд5 на место
...
valenok
Отправлено: 22 Октября, 2008 - 13:00:34
Здесь могла бы быть ваша реклама
Покинул форум
Сообщений всего: 4574
Дата рег-ции: Июль 2006 Откуда: Israel
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.