Warning: Cannot use a scalar value as an array in /home/admin/public_html/forum/include/fm.class.php on line 757

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/include/fm.class.php on line 770

Warning: Invalid argument supplied for foreach() in /home/admin/public_html/forum/topic.php on line 737
Форумы портала PHP.SU :: md5 js

 PHP.SU

 Программирование на PHP, MySQL и другие веб-технологии
PHP.SU Портал     На главную страницу форума Главная     Помощь Помощь     Поиск Поиск     Поиск Яндекс Поиск Яндекс     Вакансии  Пользователи Пользователи


 Страниц (3): [1] 2 3 »   

> Без описания
Поиск в теме | Версия для печати
Tox
Отправлено: 09 Августа, 2012 - 14:19:34
Post Id



Посетитель


Покинул форум
Сообщений всего: 314
Дата рег-ции: Нояб. 2011  
Откуда: Россия


Помог: 0 раз(а)
Как известно, с помощью бессмертного wireshark можно спокойно отфильтровать нужные пакетики и узреть в них email и пасс юзера в чистом виде, если, конечно, они не шифруются.
Поскольку на ssl денег нет, то единственный видимый выход - это отсылать пассы постом уже в md5 с помощью js. (или есть другие способы?) например,
PHP:
скопировать код в буфер обмена
  1. // $pass - уже в md5 из js
  2. // $salt - соль, которую храним в бд
  3. $pass = md5($pass . $salt);

У меня не глубокие знания js, поэтому сам проверить не могу , можно ли доверять алгоритмам, предложенным здесь? Ведь с точки зрения клиента - js исполняется-то на его стороне, код виден, можно "подправить".
Тема на самом деле занятная и интересная, на моей памяти только вк (может и фб) использует хэширование пароля перед отправкой.

(Отредактировано автором: 09 Августа, 2012 - 14:19:53)



-----
In Console We Trust. Code hard. Or die.
 
 Top
Мелкий Супермодератор
Отправлено: 09 Августа, 2012 - 14:28:02
Post Id



Активный участник


Покинул форум
Сообщений всего: 11926
Дата рег-ции: Июль 2009  
Откуда: Россия, Санкт-Петербург


Помог: 618 раз(а)
На нешифрованном соединении куда проще утянуть сразу сессионную куку и делать с ней что понравится.


-----
PostgreSQL DBA
 
 Top
Tox
Отправлено: 09 Августа, 2012 - 14:36:22
Post Id



Посетитель


Покинул форум
Сообщений всего: 314
Дата рег-ции: Нояб. 2011  
Откуда: Россия


Помог: 0 раз(а)
Да, я читал, тут
PHP:
скопировать код в буфер обмена
  1.  if($_POST['session_id'] != session_id())
  2.   {
  3.     exit("Попытка передачи данных с другого хоста. Скрипт остановлен.");
  4.   }

Это понятно, а если передавать $_SESSION["session_id"], то это приемлемо? Хранить в куках, да и вообще в куках не вижу смысла - это зло


-----
In Console We Trust. Code hard. Or die.
 
 Top
Viper
Отправлено: 11 Августа, 2012 - 08:21:15
Post Id



Активный участник


Покинул форум
Сообщений всего: 4555
Дата рег-ции: Февр. 2007  
Откуда: Симферополь


Помог: 98 раз(а)
Tox пишет:
только вк (может и фб) использует хэширование пароля перед отправкой
не только.

Кстати с точки зрения клиента, если перехватили хеш и каким-то способом взломали аккаунт илил ещё чего там, то это имхо проблема юзера.


-----
Список фильмов с описанием, блекджеком и... для Joomla? -> https://киноархив[dot]com
Демо нового движка для сайта php.su -> php[dot]su, проект на гитхабе
 
 Top
Tox
Отправлено: 11 Августа, 2012 - 10:54:57
Post Id



Посетитель


Покинул форум
Сообщений всего: 314
Дата рег-ции: Нояб. 2011  
Откуда: Россия


Помог: 0 раз(а)
Viper, но все-таки надо обеспечить максимально доступную безопасность, чтобы потом стыдно не было Улыбка


-----
In Console We Trust. Code hard. Or die.
 
 Top
Viper
Отправлено: 11 Августа, 2012 - 12:05:33
Post Id



Активный участник


Покинул форум
Сообщений всего: 4555
Дата рег-ции: Февр. 2007  
Откуда: Симферополь


Помог: 98 раз(а)
Tox используйте. Хуже не будет.


-----
Список фильмов с описанием, блекджеком и... для Joomla? -> https://киноархив[dot]com
Демо нового движка для сайта php.su -> php[dot]su, проект на гитхабе
 
 Top
armancho7777777 Супермодератор
Отправлено: 11 Августа, 2012 - 14:24:46
Post Id



Активный участник


Покинул форум
Сообщений всего: 4526
Дата рег-ции: Февр. 2011  
Откуда: Москва


Помог: 221 раз(а)
Tox пишет:
У меня не глубокие знания js, поэтому сам проверить не могу , можно ли доверять алгоритмам, предложенным здесь?

Почитайте:
http://javascript[dot]ru/php/md5
И комментарии тоже. До конца.

(Отредактировано автором: 11 Августа, 2012 - 14:25:09)

 
 Top
Viper
Отправлено: 11 Августа, 2012 - 15:17:04
Post Id



Активный участник


Покинул форум
Сообщений всего: 4555
Дата рег-ции: Февр. 2007  
Откуда: Симферополь


Помог: 98 раз(а)


-----
Список фильмов с описанием, блекджеком и... для Joomla? -> https://киноархив[dot]com
Демо нового движка для сайта php.su -> php[dot]su, проект на гитхабе
 
 Top
Tox
Отправлено: 11 Августа, 2012 - 16:07:49
Post Id



Посетитель


Покинул форум
Сообщений всего: 314
Дата рег-ции: Нояб. 2011  
Откуда: Россия


Помог: 0 раз(а)
И чтобы передать через submit js-переменную (методом пост) скрипту, надо сделать скрытую форму?


-----
In Console We Trust. Code hard. Or die.
 
 Top
Viper
Отправлено: 11 Августа, 2012 - 16:25:46
Post Id



Активный участник


Покинул форум
Сообщений всего: 4555
Дата рег-ции: Февр. 2007  
Откуда: Симферополь


Помог: 98 раз(а)
Tox зачем?


-----
Список фильмов с описанием, блекджеком и... для Joomla? -> https://киноархив[dot]com
Демо нового движка для сайта php.su -> php[dot]su, проект на гитхабе
 
 Top
Tox
Отправлено: 11 Августа, 2012 - 16:29:12
Post Id



Посетитель


Покинул форум
Сообщений всего: 314
Дата рег-ции: Нояб. 2011  
Откуда: Россия


Помог: 0 раз(а)
Viper, чтобы скрипту передать md5 от js


-----
In Console We Trust. Code hard. Or die.
 
 Top
Viper
Отправлено: 11 Августа, 2012 - 17:39:18
Post Id



Активный участник


Покинул форум
Сообщений всего: 4555
Дата рег-ции: Февр. 2007  
Откуда: Симферополь


Помог: 98 раз(а)
Tox вы сами то поняли что сказали. Юзер у вас что пароль в скрытое поле вводить будет?


-----
Список фильмов с описанием, блекджеком и... для Joomla? -> https://киноархив[dot]com
Демо нового движка для сайта php.su -> php[dot]su, проект на гитхабе
 
 Top
Tox
Отправлено: 11 Августа, 2012 - 17:47:18
Post Id



Посетитель


Покинул форум
Сообщений всего: 314
Дата рег-ции: Нояб. 2011  
Откуда: Россия


Помог: 0 раз(а)
Viper,
0. Юзер вводит пасс
1. md5(пасс) с помощью js
2. В скрытое поле кидаем (1)
3. Отправляем всю инфу постом.
Что не так?


-----
In Console We Trust. Code hard. Or die.
 
 Top
armancho7777777 Супермодератор
Отправлено: 11 Августа, 2012 - 18:24:07
Post Id



Активный участник


Покинул форум
Сообщений всего: 4526
Дата рег-ции: Февр. 2011  
Откуда: Москва


Помог: 221 раз(а)
Viper, спасибо за ссылочку ))
Там с юникодом решён вопрос ? Не проверяли ?
 
 Top
Viper
Отправлено: 11 Августа, 2012 - 18:58:59
Post Id



Активный участник


Покинул форум
Сообщений всего: 4555
Дата рег-ции: Февр. 2007  
Откуда: Симферополь


Помог: 98 раз(а)
Tox зачем кидать в скрытое поле?
Отправляется все как и любая другая форма через js

armancho7777777 у меня в 2 проектах с utf8 проблем не было.


-----
Список фильмов с описанием, блекджеком и... для Joomla? -> https://киноархив[dot]com
Демо нового движка для сайта php.su -> php[dot]su, проект на гитхабе
 
 Top
Поиск в теме | Версия для печати
Страниц (3): [1] 2 3 »
Сейчас эту тему просматривают: 0 (гостей: 0, зарегистрированных: 0)
« Вопросы новичков »


Все гости форума могут просматривать этот раздел.
Только зарегистрированные пользователи могут создавать новые темы в этом разделе.
Только зарегистрированные пользователи могут отвечать на сообщения в этом разделе.
  



Powered by PHP  Powered By MySQL  Powered by Nginx  Valid CSS  RSS

 
Powered by ExBB FM 1.0 RC1. InvisionExBB