Pełna wersja: Hasło przerobione na md5
Zastanawiam się, po co się koduje hasła na kod MD5. Może mi ktoś wytłumaczyć?
Żeby ktoś wchodząc w posiadanie hasha (zakodowanego hasła) nie był w stanie odgadnąć jakie to było hasło.
hmmm... hasło za zwyczaj nie jest ogólnie dostępną informacjom i żeby tak zostało używa się MD5.
Ale czy tak łatwo, żeby te hasła wpadły w niepowołane ręce? Czy wysyłanie danych metodą POST też nie chroni haseł?
Chodzi raczej o przechwycenie bazy danych.
Piszesz aplikację, mogą pojawić się błędy, zawsze tak jest, a im większa aplikacja tym większe prawdopodobieństwo wystąpienia poważniejszych błędów. Błędy można w różny sposób wykorzystać w zależności od "poziomu zaawansowania" samego błędu. Jeśli mamy ten poważniejszy błąd, możliwe że atakujący uzyska dane, których uzyskać nie powinien (np. w/w hasła do bazy danych).
Najważniejsze jest to, że jak już taki błąd wystąpi, nie został wyświetlony publicznie. Wyświetlenie komunikatu błędu związanego z bazą danych jest równie tożsame z wyświetleniem hasła, które zostało użyte do połączenia, a to już napewno jest tragiczne w skutkach.
Najważniejsze jest to, że jak już taki błąd wystąpi, nie został wyświetlony publicznie. Wyświetlenie komunikatu błędu związanego z bazą danych jest równie tożsame z wyświetleniem hasła, które zostało użyte do połączenia, a to już napewno jest tragiczne w skutkach.
Cytat
Ale czy tak łatwo, żeby te hasła wpadły w niepowołane ręce?
W przypadku jakichkolwiek haseł użytkowników, ręce samych administratorów są niepowołane - Ty też nie musisz tego ich znać, a nie hashując ich prędzej czy poźniej siłą rzeczy (chociażby przeglądając bazę w phpmyadminie) je poznasz.
Witajcie
Ja jeszcze dodam, że wydaje mi się, że takie beztroskie podejście do pisania aplikacji jest bardzo niewłaściwe. Nie można pisać aplikacji lekceważąc sprawy bezpieczeństwa i myślę, że wszędzie, gdzie się da trzeba starać się zabezpieczyć skrypt (czy to przez hashowanie haseł, czy wrzucanie danych dla bazy do mysql_real_escape_string(), czy chociażby ukrywanie strony logowania do administracji tak, aby nie była dostępna z poziomu głównej strony index.php).
Ludzie rejestrując się na naszej stronie powierzają nam swoje dane (niech to będzie chociażby adres e-mail), dane prywatne i zwykła uczciwość wymaga, aby je chronić... i tak jak napisał crozin - nawet przed samym sobą
Pozdrawiam!
PS. To tylko wypociny średnio (jeśli nie mało) doświadczonego programisty... Pozdro!
Ja jeszcze dodam, że wydaje mi się, że takie beztroskie podejście do pisania aplikacji jest bardzo niewłaściwe. Nie można pisać aplikacji lekceważąc sprawy bezpieczeństwa i myślę, że wszędzie, gdzie się da trzeba starać się zabezpieczyć skrypt (czy to przez hashowanie haseł, czy wrzucanie danych dla bazy do mysql_real_escape_string(), czy chociażby ukrywanie strony logowania do administracji tak, aby nie była dostępna z poziomu głównej strony index.php).
Ludzie rejestrując się na naszej stronie powierzają nam swoje dane (niech to będzie chociażby adres e-mail), dane prywatne i zwykła uczciwość wymaga, aby je chronić... i tak jak napisał crozin - nawet przed samym sobą
Pozdrawiam!
PS. To tylko wypociny średnio (jeśli nie mało) doświadczonego programisty... Pozdro!
Jeśli tak, to hashować też loginy?
P.S.: Właśnie piszę taką małą stronkę, z możliwością rejestracji użytkowników, dlatego się pytam
P.S.: Właśnie piszę taką małą stronkę, z możliwością rejestracji użytkowników, dlatego się pytam
Nie ma powodu żeby haszować loginy, przecież i tak są jawne (np. popatrz na to forum).
Poza tym haszując login za pomocą md5() masz problem bo go nie odhaszujesz a chyba nie chcesz
w swoim serwisie wyświetlać "Witaj f3r2rf34r2320fdsf32"
Poza tym haszując login za pomocą md5() masz problem bo go nie odhaszujesz a chyba nie chcesz
w swoim serwisie wyświetlać "Witaj f3r2rf34r2320fdsf32"
czyli hasła koduje się dla bezpieczeństwa Odpowiednie zabezpieczenia skryptu to podstawa... jakby skrypt nie był bezpieczny to mozna szybko stracic taki skrypt i wszystkie dane razem z nim. Napewno jest tu ktos na tym forum kto cos o tym wie
Cytat z innego forum:
Jak wiadomo nie każdy umie rywalizować uczciwie. Dziś włamał mi się dwa razy <-cenzura-> do mojej gry. Najpierw rozsyłając wiadomosci z linkiem do swojej gry a następnie skasował wszystkie konta.
Odpowiednie zabezpieczenia skryptu to podstawa... jakby skrypt nie był bezpieczny to mozna szybko stracic taki skrypt i wszystkie dane razem z nim. Napewno jest tu ktos na tym forum kto cos o tym wie Cytat z innego forum:
Jak wiadomo nie każdy umie rywalizować uczciwie. Dziś włamał mi się dwa razy <-cenzura-> do mojej gry. Najpierw rozsyłając wiadomosci z linkiem do swojej gry a następnie skasował wszystkie konta.
Jest przyklejony temat o bezpieczeństwie skryptów PHP.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.