| | |
| Stránka: 1 z 1
| [ Príspevkov: 18 ] | |
Autor | Správa |
---|
Registrovaný: 21.02.07 Prihlásený: 21.02.10 Príspevky: 3984 Témy: 96 |
Mám otázku:
myslíte si že cookie ktoré by obsahovalo tieto parametre:
Nick (použivateľa)
Heslo (použivateľa) zaheslované (lepšie zaheslované)
je bezpečné?
|
|
Registrovaný: 11.08.07 Príspevky: 4088 Témy: 34 Bydlisko: Brno | Napísal Ďuri: 24.10.2008 18:46 | |
|
Pockaj, ako konkretne to chces pouzit? Nejak mi nedochadza, naco ukladat heslo do cookies
|
|
Registrovaný: 24.01.08 Prihlásený: 13.09.17 Príspevky: 14572 Témy: 66 Bydlisko: Žilina |
no to nedochádza ani mne jediný dôvod, prečo dávať do cookies heslo efektivita práce jak delo...
_________________ C#, PHP, ... |
|
Registrovaný: 21.02.07 Prihlásený: 21.02.10 Príspevky: 3984 Témy: 96 | Napísal autor témy Tominator: 24.10.2008 20:02 | |
|
keď prídeš na stránku aby ťa prihlásilo automaticky
|
|
Registrovaný: 24.01.08 Prihlásený: 13.09.17 Príspevky: 14572 Témy: 66 Bydlisko: Žilina |
ale preto tam chceš ukladať jeho heslo ??? to sa predsa nerobí takto že uložíš do cookie jeho osobné údaje...
_________________ C#, PHP, ... |
|
Registrovaný: 21.02.07 Prihlásený: 21.02.10 Príspevky: 3984 Témy: 96 | Napísal autor témy Tominator: 24.10.2008 20:39 | |
|
a ako sa to robí? - nemám s tým skúsenosti zatiaľ ...
|
|
Registrovaný: 24.01.08 Prihlásený: 13.09.17 Príspevky: 14572 Témy: 66 Bydlisko: Žilina |
nepozeral som to podrobne, ale skús kuknúť sem..
http://www.devshed.com/c/a/PHP/Creating ... in-Script/
našiel som na nete riešenia aj s tým, že uložíš aj to heslo jak si spomínal, ale nepripadá mi to vôbec bezpečné, neviem.. možno sa mýlim, nikto nie je neomylný
_________________ C#, PHP, ... |
|
Registrovaný: 20.11.07 Prihlásený: 18.01.09 Príspevky: 2929 Témy: 116 | Napísal dadmtb: 24.10.2008 20:52 | |
|
no ja to aspon riesim tak ze so session ulozim iba nick a potom kontrolujem ci existuje to session takze tam to heslo vobec nemusi byt pretoze heslo sa kontroluje uz hned vlastne session sa so zlym heslom nevytvori takze tak
//
http://www.phpeasystep.com/workshopview.php?id=6
osobne si myslim ze tato stranka jeeste lepsie teda lahsia na pochopenie
|
|
Registrovaný: 21.02.07 Prihlásený: 21.02.10 Príspevky: 3984 Témy: 96 | Napísal autor témy Tominator: 24.10.2008 22:21 | |
|
no ja by som uložil nick a istým spôsobom zakódované MD5 ... teda nech by sa snažili "hackeri" akokoľvek tak by museli zistiť algoritmus a následne získajú MD5 ...
tým pádom by to bolo "nezraniteľné"
ale aj napriek tomu si idem pozrieť tie linky lebo ma to zaujíma ...
takže el mariachi - zaujímavý článok ale dosť obšírny ... (dik za snahu)
dadmtb - nerieši to môj problém
|
|
Registrovaný: 26.12.06 Prihlásený: 16.11.19 Príspevky: 3971 Témy: 181 Bydlisko: Nitra / Bra... | Napísal emer: 24.10.2008 22:31 | |
|
ja so mbol dopletený, čo vlastne chceš, keď som začal čítať príspevok od dadmtb
takže, ty vlastne chceš automatické prihlásenie, nie?
Ja som to robil tak, že do tabuľky som si k userovi dal stĺpec last. Tam som vždy pri prihlásení uložil md5 náhodne vygenerovaného reťazca a uložil ho do DB (stĺpec last ). Užívateľovi som odoslal cookies s md5 toho reťazca a nickom. Keď prišiel na stránku, kontroloval som či má cookies, ak áno skontroloval som podľa nicku ten reťazec v md5. Ak sa zhodoval, príhlásil som ho a vygeneroval nový reťazec, ktorý som odoslal v cookies.
Neviem či som na dačo zabudol, ale toto by ti malo dať nejakú predstavu o tom čo chceš robiť - ak to vlastne potrebuješ, lebo mám z toho vážne guláš
_________________ Sorry za prelkepy |
|
Registrovaný: 17.10.06 Prihlásený: 08.01.11 Príspevky: 1752 Témy: 17 | Napísal suchy: 24.10.2008 22:34 | |
|
Citácia: tým pádom by to bolo "nezraniteľné"
a uz si pocul o rainbow tables?
_________________ A Real Programmer might or might not know his wife's name. He does, however, know the entire ASCII code table. |
|
Registrovaný: 21.02.07 Prihlásený: 21.02.10 Príspevky: 3984 Témy: 96 | Napísal autor témy Tominator: 24.10.2008 22:38 | |
|
Pre všetkých na emerov podnet:
Robím automatické prihlásenie na stránku ... teda uživateľ príde na stránku prihlási sa, odíde a keď príde druhý krát, je automaticky prihlásený.
Ako som to chcel riešiť: chcel som poslať nick aj so algoritmom upraveným heslom do cookies
Čo som sa pýtal: Či je takýto zápis bezpečný -> myslím si, že je ale nebol som si istý
emer: áno to práve riešim, trafil si , dik za spôsob, pouvažujem (ešte ma zaujímajú ostatný)
|
|
Registrovaný: 09.09.07 Prihlásený: 07.11.16 Príspevky: 3114 Témy: 233 Bydlisko: Nové Zámky |
niesom expert, ale potom staci ukradnut cookies, a mam uzivatelove meno a heslo.. spravim si vlastne cookies a viem sa pod nim prihlasovat, (heslo nemusim vediet, staci ked ma to prihlasi) a potom si uz v uzivatelskom nejakom panely, zmenim heslo na ake chcem a ucet je moj....
(faza: ako ukradnut cookie a ako ho nahodit k sebe - netusim, ale mozno je to mozne )
Ja by som navrhoval emerov sposob, mozno by som porovnaval aj IP adresy a browser.. (vacsina userov pouziva 1 browser) akurat problem je dynamicka IP adresa.. samozrejme, menia sa len posledne cislice, mozes porovnavat ich zaciatok...
Ale ja len nahlas uvazujem
_________________ "It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 29.10.07 Prihlásený: 27.10.23 Príspevky: 1395 Témy: 30 Bydlisko: Bratislava |
ze sa po ukradnuti cookie dokazes prihlasit je jedna vec a pravda. heslo ale bez znalosti hesla nezmenis hadam nikde.
_________________ PC: OS: Windows 11 (64bit) CPU: AMD Ryzen 5 3600 GPU: ASUS TUF RTX3060Ti 8GB RAM: 16GB DDR4-3200MHz Kingston Fury MB: ASUS TUF Gaming B550M WIFI SSD: 1000GB PCIe M.2 NVME Mobil: Xiaomi POCO F2 PRO |
|
Registrovaný: 09.09.07 Prihlásený: 07.11.16 Príspevky: 3114 Témy: 233 Bydlisko: Nové Zámky |
su portaly, kde vies v poho zmenit emailovu adresu a potom pomocou Zabudol som heslo, vyziadat si nove ..... neviem jak to ma Tominator riesene...
_________________ "It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 21.02.07 Prihlásený: 21.02.10 Príspevky: 3984 Témy: 96 | Napísal autor témy Tominator: 25.10.2008 11:15 | |
|
suchy: nie nepočul som, pozeral som stručne na wikipedií ale vôbec som nepochopil
BS: áno viem že sa dá napr. cez XSS útok získať COOKIES avšak dám príklad:
tvoje heslo v MD5 rozdelím na polovicu k druhej polovice pridám pár svojích znakov a znova zakódujem do MD5, keby som chcel ešte môžem prirátať prvú polovicu pôvodného kľúča.
mám tvoj nick a "heslo" v 48 znakoch ...
keby si prišiel na stránku tak podla nicku prerátom heswlo a skontrolujem s tým čo máš v session ak sedia tak ťa prihlási ...
|
|
Registrovaný: 09.09.07 Prihlásený: 07.11.16 Príspevky: 3114 Témy: 233 Bydlisko: Nové Zámky |
ked pridem na stranku, session nemam ziadne, tak s cim to porovnavas vlastne?
_________________ "It took a lot of work, but this latest Linux patch enables support for machines with 4096 CPUs, up from the old limit of 1024." "Do you have support for smooth full-screen flash video yet?" "No, but who uses that?"
- ak dlho neodpisujem do témy, zabudol som na ňu, takže ma upozornite SS, ak chcete moju odpoveď |
|
Registrovaný: 21.02.07 Prihlásený: 21.02.10 Príspevky: 3984 Témy: 96 | Napísal autor témy Tominator: 25.10.2008 14:02 | |
|
sorry s cookies ...
|
|
| Stránka: 1 z 1
| [ Príspevkov: 18 ] | |
| Nemôžete zakladať nové témy v tomto fóre Nemôžete odpovedať na témy v tomto fóre Nemôžete upravovať svoje príspevky v tomto fóre Nemôžete mazať svoje príspevky v tomto fóre
|
|