Покинул форум
Сообщений всего: 9
Дата рег-ции: Февр. 2021
Помог: 0 раз(а)
Есть несколько вариантов на сколько они эффективны
1может создать своего рода электронный ключ который будет генерироваться случайно и при заходе проверять его (тогда прийдётся отдельную бд что ли делать если я правильно понимаю) ?
2привязывать сессию к пользователю (например к ip ну такое себе)- как по мне глупый вариант ?
3 Как вы защищаете свой сайт хотя бы расскажите логику
4 Читал на хабре про соль(Salt) так и не понял. может у кого есть отличная статья где, куда, что солить и применение на реальном примере для (тугих )
dcc0
Отправлено: 16 Февраля, 2021 - 17:44:48
Участник
Покинул форум
Сообщений всего: 1043
Дата рег-ции: Июль 2014
Помог: 10 раз(а)
Доброго! Разве недостаточно для защиты протокола https?
----- Март 2021. Бросил программирование
kull
Отправлено: 17 Февраля, 2021 - 20:38:04
Новичок
Покинул форум
Сообщений всего: 2
Дата рег-ции: Февр. 2021
Помог: 0 раз(а)
Соль - это набор букв, чисел, символов которые подставляются к паролю
Почему популярные хеширующие функции, такие как md5() и sha1() не подходят для паролей?
Такие хеширующие алгоритмы как MD5, SHA1 и SHA256 были спроектированы очень быстрыми и эффективными.
При наличии современных технологий и оборудования, стало довольно просто выяснить результат
этих алгоритмов методом "грубой силы" для определения оригинальных вводимых данных.
Из-за той скорости, с которой современные компьютеры могут "обратить" эти хеширующие алгоритмы,
многие профессионалы компьютерной безопасности строго не рекомендуют использовать
их для хеширования паролей.
Покинул форум
Сообщений всего: 1043
Дата рег-ции: Июль 2014
Помог: 10 раз(а)
Vladimir Kheifets,
Доброго! Спасибо за ответ.
Я читал о возможности генерировать коллизии в md5 и sha1.
Видел базы с популярными md5
Однако, показалось, что нахождение коллизий крайне ресурсоёмкая задача.
Слышал про радужные таблицы, но не наблюдал воочию ни одной рабочей программы
для взлома md5 с помощью RainbowCrack.
По идее, если я не ошибаюсь, механизм работы с сайтом по https дополнительно шифрует
передаваемые данные от пользователя к серверу.
Перехватывать данные аткой man-in-the-middle уже смысла особенно нет. Т.е. id сессии и данные в целом будут дополнительно зашифрованы при передаче.
Случай полной утраты копии базы данных сайта со всей информацией не рассматриваю.
(Так как уже неизвестно в такой ситуации, какие данные являются действительно важными).
Я написал подробно для понимания того, из чего я исхожу. Мне кажется, что стоит оценивать реальные риски при применении нестандартных средств защиты.
Покинул форум
Сообщений всего: 1580
Дата рег-ции: Февр. 2014 Откуда: Украина
Помог: 73 раз(а)
Lolya, не хамите!
Vladimir Kheifets
Отправлено: 21 Февраля, 2021 - 18:14:25
Частый посетитель
Покинул форум
Сообщений всего: 879
Дата рег-ции: Март 2017 Откуда: Германия, Бавария
Помог: 37 раз(а)
dcc0 пишет:
...Мне кажется, что стоит оценивать реальные риски при применении нестандартных средств защиты.
Вернёмся, к заданному вопросу о защите сессии. Если зломышленник доберётся до сервера, т.е взламает адмим-логин, то ничего не поможет ни соль, не сахар.
Как бы Вы не шифровали пароли Ваших пользователей сайта, установленного на этом сервере.
Про md5 и sha1 и т.д. - "отцы основатели" советуют использовать для шифрования функции crypt и password_hash, а для проверки паролей password_verify.
Про https, да это важно для безопасности, особенно при работе с платёжными сервисами через cUrl.
Конечно, защита должна быть адекватна возможному ущербу от взлома.
Между прочим, начиная с января этого год действует новый стандарт 3D Secure 2 (3DS2).
Это действительно серьёзно, т.к. придётся переделывать существущие интерфейсы.
Покинул форум
Сообщений всего: 69
Дата рег-ции: Май 2018
Помог: 2 раз(а)
Vladimir Kheifets пишет:
Мда.. не грубовато ли?
Строитель пишет:
Lolya, не хамите!
А где вы оскорбление увидели? Или то что человек не думая выдает глупые мысли это нормально? Не смешите. HTTPS не спасает от воровства, от слова никак. Читать надо прежде чем ерунду писать.
Vladimir Kheifets
Отправлено: 22 Февраля, 2021 - 14:09:50
Частый посетитель
Покинул форум
Сообщений всего: 879
Дата рег-ции: Март 2017 Откуда: Германия, Бавария
Помог: 37 раз(а)
Lolya пишет:
Vladimir Kheifets пишет:
Мда.. не грубовато ли?
Строитель пишет:
Lolya, не хамите!
А где вы оскорбление увидели? Или то что человек не думая выдает глупые мысли это нормально? Не смешите. HTTPS не спасает от воровства, от слова никак. Читать надо прежде чем ерунду писать.
Добрый день!
Объяснять и переубеждать в некоторых случаях бесполезно.
Попробуйте сказать кому-то, глядя в глаза, то что Вы пишите и не считаете грубостью.
Желательно, выбрать собеседника поздоровее.
Удачи!
Lolya
Отправлено: 22 Февраля, 2021 - 18:20:47
Гость
Покинул форум
Сообщений всего: 69
Дата рег-ции: Май 2018
Помог: 2 раз(а)
Vladimir Kheifets пишет:
Желательно, выбрать собеседника поздоровее.
Я на самбо и техвандо ходила, хоть и слабая девушка, но выдать могу неглядя кому надо пилюлей.
Все гости форума могут просматривать этот раздел. Только зарегистрированные пользователи могут создавать новые темы в этом разделе. Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.