DevProTalk

Forumi IT profesionalaca
web development, web design, e-business, SEO


Idite nazad   DevProTalk > Web development i web aplikacije > PHP
Želite da se reklamirate ekskluzivno na ovoj poziciji? Javite se

PHP PHP aplikacije, Smarty, PEAR

Odgovori
 
Alati teme Način prikaza
Staro 26. 02. 2007.   #11
oliver78
profesionalac
Professional
 
Avatar oliver78
 
Datum učlanjenja: 04.09.2005
Lokacija: Glogonj, Pančevo
Poruke: 250
Hvala: 2
2 "Hvala" u 2 poruka
oliver78 is on a distinguished road
Pošaljite ICQ poruku za oliver78
Default

Nesto o aktivaciji i aktivacionom kodu.

Jel tu ima neka fora. Pravila koja su proistekla iz iskustava?

Kako uglavnom generisete kodove, passworde?
__________________
http://oliver.glogonj.net
oliver78 je offline   Odgovorite uz citat
Staro 26. 02. 2007.   #12
Dušan Dželebdžić
Nekad bio ddz
Expert
 
Avatar Dušan Dželebdžić
 
Datum učlanjenja: 09.06.2005
Poruke: 590
Hvala: 88
402 "Hvala" u 51 poruka
Dušan Dželebdžić će postati "faca" uskoroDušan Dželebdžić će postati "faca" uskoroDušan Dželebdžić će postati "faca" uskoroDušan Dželebdžić će postati "faca" uskoroDušan Dželebdžić će postati "faca" uskoro
Pošaljite poruku preko MSN za Dušan Dželebdžić Pošaljite poruku preko Skype™ za Dušan Dželebdžić
Default

Citat:
Originalno napisao bluesman
Jedno prakticno pitanje: zasto drzite encrypt-ovane sifre u bazi? Ako je neka "zastita" onda je sifra korisnika tvoj najmanji problem ako je neko uspeo da ti udje u bazu.
Drugim pasusom si odgovorio na prvi - ako ti provale u sajt, poslednje što želiš je da cracker dođe do plaintext šifara svih tvojih korisnika. Ne zbog sigurnosti tvog sajta, već zbog svih tvojih korisnika koji tu istu šifru verovatno koriste na još 30ak sajtova.
__________________
Converting dead links into hyperlinks since 1996.
Dušan Dželebdžić je offline   Odgovorite uz citat
Staro 26. 02. 2007.   #13
bluesman
Goran Pilipović
Sir Write-a-Lot
 
Avatar bluesman
 
Datum učlanjenja: 18.05.2005
Lokacija: Beograd
Poruke: 5.450
Hvala: 288
1.247 "Hvala" u 446 poruka
bluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušatibluesman je osoba koju treba slušati
Pošaljite ICQ poruku za bluesman
Default

Pa ako ti provali u bazu onda nemas vise ni sajt ni bazu ni bilo sta Sta bi on sa tim siframa? Da se uloguje u bazu u koju ionako ima full pristup A ako neko zna da ti udje u bazu, nije mu frka ni da provali sve sifre, koliko god one encrypt-ovane bile, neke brze neke sporije. To je cisto zaludjivanje.

Ako ti je usao u bazu a ti encryptovao sifre, ako ne zna nista drugo moze bar da uradi: DROP TABLE users... ili ako je neki dobar cika "UPDATE users set sifra je 'moja sifra'"
__________________
Goran Pilipović a.k.a. Ugly Fingers Bradley f.k.a. bluesman
I don't always know what I'm talking about but I know I'm right!
bluesman je offline   Odgovorite uz citat
Staro 26. 02. 2007.   #14
Petar Marić
Python Ambassador
Master
 
Avatar Petar Marić
 
Datum učlanjenja: 06.06.2005
Lokacija: Novi Sad
Poruke: 602
Hvala: 28
27 "Hvala" u 17 poruka
Petar Marić će postati "faca" uskoro
Pošaljite ICQ poruku za Petar Marić
Talking

Hehe, voleo bih da vidim junaka koji će da dekriptuje ovakav password hash u doglednom vremenu:
Kôd:
algo$salt$hsh
gde je:
Kôd:
algo = 'sha1'
salt = sha.new(str(random.random())).hexdigest()[:5]
hsh = sha.new(salt+raw_password).hexdigest()
Što se tiče menjanja podataka u bazi - čemu služi backup?
__________________
Python Ambassador of Serbia
Petar Marić je offline   Odgovorite uz citat
Staro 26. 02. 2007.   #15
zextra
Boris
Grand Master
 
Avatar zextra
 
Datum učlanjenja: 01.12.2005
Lokacija: Novi Sad
Poruke: 775
Hvala: 5
156 "Hvala" u 2 poruka
zextra is on a distinguished roadzextra is on a distinguished road
Default

Pa, ili generises sifru i saljes je korisniku na mail, pa trazis od njega da sam stavi sifru koju hoce, ili ga pustis da odma unese sifru koju hoce, pa mu trazis redovnu aktivaciju (click na link) da bi aktivirao postojeci nalog (ili nastavio sa procesom registracije).
__________________
"It’s important to have goals when you pet. Otherwise you’re just rubbing another mammal for no reason." - Scott Adams
zextra je offline   Odgovorite uz citat
Staro 26. 02. 2007.   #16
zextra
Boris
Grand Master
 
Avatar zextra
 
Datum učlanjenja: 01.12.2005
Lokacija: Novi Sad
Poruke: 775
Hvala: 5
156 "Hvala" u 2 poruka
zextra is on a distinguished roadzextra is on a distinguished road
Default

@bluesman: pa, recimo da neko upadne u bazu gde imas usere koji stite vredne informacije onim "jacim" siframa, koje takodje koriste za druge vredne informacije - citanjem plain text sifara, email adresa i jos nekih podataka, vrlo je lako pogoditi puno toga o korisnicima.

I, Petre... ne psuj
__________________
"It’s important to have goals when you pet. Otherwise you’re just rubbing another mammal for no reason." - Scott Adams
zextra je offline   Odgovorite uz citat
Staro 26. 02. 2007.   #17
ivanhoe
Ivan Dilber
Sir Write-a-Lot
 
Avatar ivanhoe
 
Datum učlanjenja: 18.10.2005
Lokacija: Bgd
Poruke: 5.320
Hvala: 104
2.344 "Hvala" u 583 poruka
ivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svima
Pošaljite poruku preko Skype™ za ivanhoe
Default

ako enkriptujes sifre one-way-hashom tesko ce provaliti sve sifre, mozda par slabijih, ali ce to trajati, pa si kupujes neko vreme (da obavestis ljude da promene passworde ili da juris napadaca ili da emigriras na Novi Zeland pod laznim imenom )

A takodje daleko su manje sanse da neko bas preuzme sajt skroz, pre ce usled nekog propusta/baga haker da dobije priliku da izvrsi neki upit koji ne bi smeo, pa da tako dodje do poneke sifre. U takvoj varijanti on nema pojma kako tacno tvoj kod za enkriptovanje radi, plus ima limitirano vreme dok ga ne prvalis, tako da ukoliko malkice izkomplikujes hashovanje (XOR-ujes password sa usernameom i nekom tajnom reci npr.) nece imati nikakve sanse da provali ukradenu sifru, sem ako je iz CIA-e..

Velika mana cuvanja one-way hashovanih passworda je sto korisnici non-stop zaboravljaju passworde i onda moras stalno da im generises nove, sto ih dodatno zbunjuje, pa onda jos vise zaboravljaju i tako u krug... Iz tog razloga ja sam pre sklon da cuvam sve passworde u plain textu pa kud puklo da puklo.... ili akome ne mrzi eventualno da ih enkriptujem nekim 2-way algoritmom (blowfish ili nesto slicno), mada je to diskutabilno posto moras da imas key negde na serveru, tako da bas i nije neka sigurnost...cisto dimna zavesa za script-kiddies..
__________________
Leadership is the art of getting people to want to do what you know must be done.
ivanhoe je offline   Odgovorite uz citat
Staro 26. 02. 2007.   #18
Ivan
Psychedelictrance freak
Wrote a book
 
Avatar Ivan
 
Datum učlanjenja: 04.06.2006
Lokacija: Srbija, Beograd
Poruke: 1.008
Hvala: 325
933 "Hvala" u 34 poruka
Ivan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoro
Pošaljite poruku preko Skype™ za Ivan
Default

Uglavnom, bilo kakva enkripcija je dobro dosla zbog sigurnosti korisnika na drugim sajtovima/forumima/email nalozima/ i slicno ... jer vecina taj isti koristi i na tim drugim mestima.
Ivan je offline   Odgovorite uz citat
Staro 26. 02. 2007.   #19
Ilija Studen
Direktor Kombinata
Invented the damn thing
 
Avatar Ilija Studen
 
Datum učlanjenja: 07.06.2005
Poruke: 2.669
Hvala: 44
119 "Hvala" u 64 poruka
Ilija Studen će postati "faca" uskoroIlija Studen će postati "faca" uskoro
Default

Citat:
Originalno napisao ivanhoe
Velika mana cuvanja one-way hashovanih passworda je sto korisnici non-stop zaboravljaju passworde i onda moras stalno da im generises nove, sto ih dodatno zbunjuje, pa onda jos vise zaboravljaju i tako u krug...
Onda možda malo da ukomplikuješ Lost password sistem. Kada čovek ode na lost password stranicu ponudiš mu formu gde će da unese novu šifru i objašnjenje da će kod za aktivaciju biti poslat na njegovu email adresu. Zapamtiš privremenu lozinku, pošalješ mail i nakon klika na aktivacioni link pregaziš postojeću.

Što se čuvanja plain šifre u bazi tiče - zavisi šta praviš. Ako je tvoj projekat zanimljiv napadačima (popularni open source prozivodi, sistemi koji barataju sa potencijalno vrednim podacima itd) onda definitivno uloži sve da bi zaštitio šifre svojih korisnika, čak i po cenu cimanja da se resetuje lozinka. U ostalim situacijama može da prođe i plain varijanta, ali je definitivno ne bih preporučio... Radi sve do jednom (to "do jednom" ne mora nikad da se desi, ali je otovrena opcija).
Ilija Studen je offline   Odgovorite uz citat
Staro 26. 02. 2007.   #20
Dušan Dželebdžić
Nekad bio ddz
Expert
 
Avatar Dušan Dželebdžić
 
Datum učlanjenja: 09.06.2005
Poruke: 590
Hvala: 88
402 "Hvala" u 51 poruka
Dušan Dželebdžić će postati "faca" uskoroDušan Dželebdžić će postati "faca" uskoroDušan Dželebdžić će postati "faca" uskoroDušan Dželebdžić će postati "faca" uskoroDušan Dželebdžić će postati "faca" uskoro
Pošaljite poruku preko MSN za Dušan Dželebdžić Pošaljite poruku preko Skype™ za Dušan Dželebdžić
Default

Citat:
Originalno napisao bluesman
Ako ti je usao u bazu a ti encryptovao sifre, ako ne zna nista drugo moze bar da uradi: DROP TABLE users... ili ako je neki dobar cika "UPDATE users set sifra je 'moja sifra'"
Zato što je ogromna razlika između:

"Dragi korisnici, izvinite zbog downtimea, imali smo hakerski napad, vraćamo backup"

i:

"Dragi korisnici, izvinite zbog downtimea, imali smo hakerski napad, vraćamo backup. Ah da, sve vaše lozinke su pokradene, ako ih koristite na više sajtova trk da ih menjate"

Okreni-obrni, sajt ti je srušen. Stvar je tvoje politike da li će korisnici samo malo gunđati zbog downtime-a, ili će brže-bolje pozatvarati naloge kad vide da njihove šifre kod tebe nisu sigurne.
__________________
Converting dead links into hyperlinks since 1996.
Dušan Dželebdžić je offline   Odgovorite uz citat
Odgovori


Alati teme
Način prikaza

Pravila pisanja
Možete ne započinjati nove teme
Možete ne slati odgovore
Možete ne slati priloge
Možete ne izmeniti svoje poruke
vB kôd je Uključen
Smajliji su Uključen
[IMG] kod je Uključen
HTML kôd je Isključen
Pogledajte forum

Slične teme
Tema Početna poruka teme Forum Odgovori Poslednja poruka
Registracija .co.uk domena Captain Sva početnička pitanja 2 28. 02. 2010. 22:28
Registracija .de domena artur_dent Domain Name Service (DNS) 3 18. 06. 2009. 00:42
Registracija .si hr mk ba hu bg ru? pcigre Domain Name Service (DNS) 3 30. 01. 2009. 04:15
.me registracija torbica Web Hosting, web serveri i operativni sistemi 16 19. 08. 2008. 01:32


Vreme je GMT +2. Trenutno vreme je 01:40.


Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.
Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.
Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.