Re: подскажите начинающему php- программисту 2
2010/8/6 Sergey Poulikov : > Шифровать все данные и уж тем более постоянно не обязательно. Да, именно так и делают все нормальные сервисы - показывают форму авторизации и принимают данные формы авторизации по https, после чего честно продолжают работать по http без всякого шифрования, т.к. дальше оно не нужно. -- Serge Matveenko jabber:se...@matveenko.ru microblog:http://identi.ca/lig profile:http://ru.linkedin.com/in/sergematveenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
6 августа 2010 г. 17:23 пользователь Владимир Бажанов написал: > Пишем страничку авторизации для пентагона? :) А у них уже есть http://pentagon.in.ua/index.php?do=login -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php-программисту 2
Пишем страничку авторизации для пентагона? :) В Птн, 06/08/2010 в 17:09 +0300, Ivan Surzhenko пишет: > 6 августа 2010 г. 16:43 пользователь Sergey Poulikov > написал: > > злоумышленник не будет перехватывать и отправлять все это дело в ручную. > > с клиента посылается уже сфоримрованный хеш с примесью salt и если > > перехватить этот уже сформированный хеш, и отправить серверу то получим > > пользовательскую сессию, вся эта операция может осуществляться программно и > > занимать доли секунды. > Если мы отправим этот хеш серверу, то сервер должен нарисовать болт на > 18 (резьба метрическая), так как пользователь уже отправлял запрос > авторизации в рамках данной сессии с данной солью. И вообще такую > ситуацию надо как-то отлавливать и анально наказывать подсовывающего > хеши. > > > salt не защищает от перехвата данных, для безопасного обмена данными надо > > использовать https он именно для этого и создан. > Мы ж вроде пароль защищаем? не? Если нужно шифровать все данные и наш > сервер в состоянии выдержать прирост нагрузки из-за постоянного > шифрования/дешифрования (кстати, насколько велик этот прирост?), то да > - проще гонять по https. > > -- > > With best regards, > Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
6 августа 2010 г. 16:43 пользователь Sergey Poulikov написал: > злоумышленник не будет перехватывать и отправлять все это дело в ручную. > с клиента посылается уже сфоримрованный хеш с примесью salt и если > перехватить этот уже сформированный хеш, и отправить серверу то получим > пользовательскую сессию, вся эта операция может осуществляться программно и > занимать доли секунды. Если мы отправим этот хеш серверу, то сервер должен нарисовать болт на 18 (резьба метрическая), так как пользователь уже отправлял запрос авторизации в рамках данной сессии с данной солью. И вообще такую ситуацию надо как-то отлавливать и анально наказывать подсовывающего хеши. > salt не защищает от перехвата данных, для безопасного обмена данными надо > использовать https он именно для этого и создан. Мы ж вроде пароль защищаем? не? Если нужно шифровать все данные и наш сервер в состоянии выдержать прирост нагрузки из-за постоянного шифрования/дешифрования (кстати, насколько велик этот прирост?), то да - проще гонять по https. -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
6 августа 2010 г. 15:52 пользователь maxyer написал: > 06.08.2010 19:07, Ivan Surzhenko пишет: >> В данном случае можно получать от сервера "соль" и считать >> md5(соль+md5(пароль)) > Сорри, что-то я не понял ;( > Что за соль такая ? Избыточная информация, которая не дает расшифровать/подобрать значение (даже подбором по хеш-таблицам). > И где "считать md5(соль+md5(пароль))" ? > На стороне клиента ? На клиенте вы имеете пароль. 1. Получаете с сервера соль. 2. Шифруете пароль по md5. 3. Добавляете к хешу соль. 4. От того, что получили на этапе №3 берете еще раз md5 5. Отправляете результат пункта №5 на сервер. На сервере у вас в базе хранится хеш от пароля. 1. Вы берете соль (ту, что отправляли клиенту) и прибавляете ее к значению из базы данных. 2. берете от всего этого добра md5. 3. Результат пункта 2 сравниваете с тем, что пришло с клиента Фишка в том, что переданный с клиента на сервер хеш ничего не дает злоумышленнику :) Он не сможет войти с тем же хешом, если для каждой сессии (или просто часто) создается новая соль :) -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
В данном случае можно получать от сервера "соль" и считать md5(соль+md5(пароль)) потом в скрипте авторизации берем сохраненную в базе md5(пароль), добавляем к ней нашу соль и считаем md5 от полученного. Результат сравниваем с тем, что пришло от клиента. Соль желательно периодически менять... например, случайно генерировать для каждой сессии -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php-программисту 2
Ломанул я вашу базу, знаю ваш хеш. Мне достаточно будет его в таком случае просто передать authorize.php. Не секьюрно оно как-то. 06.08.2010, 14:58, "maxyer" : > В продолжение начатой темы ;) > Ну допустим написал я нечто подобное > > > > > > > По поводу authorize.php все ясно. > А теперь вопрос. > Можно ли сделать для пущей надежности, чтобы pass уже на сервер > отправлялся не в открытом виде, а в зашифрованном ? > Чтобы по пути не перехватил кто-нибудь ;) > > -- > ubuntu-ru mailing list > ubuntu-ru@lists.ubuntu.com > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту 2
> Можно ли сделать для пущей надежности, чтобы pass уже на сервер > отправлялся не в открытом виде, а в зашифрованном ? > Чтобы по пути не перехватил кто-нибудь ;) Т.е. шифровать, соединение или пароль? Если пароль, яваскриптом что ли? ) -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту
> А мне кажется будет достаточно md5( пароль+ время регистрации ), на пример. Тогда надо хранить и получать время регистрации для проверки пароля. Я бы советовал типа такого, паранойя пароль_хеш = base64_encode(sha1(пароль) . md5(пароль) . crc32(пароль)); -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту
А мне кажется будет достаточно md5( пароль+ время регистрации ), на пример. -- С уважением, Киреев Александр Петрович. тел: +7-906-971-37-71 JID: stl.3...@gmail.com, add...@jabber.ru ICQ: 332999383 -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту (О Ruby)
2010/8/5 Jill Smitt : > Если это перспективный фреймворк, как правильно его изучать? http://diveintopython.org/toc/index.html http://docs.djangoproject.com/en/1.2/intro/tutorial01/ -- Serge Matveenko jabber:se...@matveenko.ru microblog:http://identi.ca/lig profile:http://ru.linkedin.com/in/sergematveenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php-программисту (О Ruby)
Если Вам именно документацию то: http://rubyonrails.org/documentation Но это уже после того, как книжку прочтёте. Как ни смешно, а книжка тоже начинается сразу с описания, как сделать интернет-магазин. Но зато вторая половина книжки именно про то, как это вобще работает. Книжка, примерно 900 страницы (называется что то вроде быстрая (да, да, 900 страниц:)) разработка на Rails.) в оригинале звучит как Agile Web Development with Rails. Перевод 2го издания на варезниках гуглится легко. Есть уже третье, про самые современные версии, но и второе сойдет, чтобы оценить суть. > А где можно взять хорошую документацию на эту тему, не просто чеканки > мол вот вам такой компонент, а вот вам такой, а полностью описание всего > процесса разработки чего-либо. Возможные варианты программного > обеспечения, выбор компонент и модулей, их установка, сравнение. Короче > говоря, когда я купил книгу, там во вступлении сказано: мы не будем > рассказывать вам о том, что это вообще такое, давайте лучше > программировать сразу. То есть, рассчитанную на либо опытного > пользователя либо телепата. Я вот ошиваюсь на официальных ресурсах по > этому поводу, но там сложновато понять, то к чему. > > Если это перспективный фреймворк, как правильно его изучать? -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php-программисту
Начинающий грамотного кода может вообще не понять. Сам разбирался с кодом на Ruby... В Чтв, 05/08/2010 в 20:26 +0300, Alexander пишет: > > Вообще ковырять чужой код, если он > > грамотно написан, полезная практика. > Как узнать _НАЧИНАЮЩЕМУ_ программисту, что код "грамотно написан"? -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php-программисту
А я с Python начинал :) Тут надо решить. Если хотеть учить именно язык - надо учить php. Если хотеть учится делать сайты - надо учить рельсы. Ибо это быстрее и мощнее. А насчёт фейсбука и пр. пхпшных сайтов - ну что сказать, студентов небось нанимали индусов и вот получили. Или просто переписывать на новых платформах дорого и нерационально. Я собственно почему рельсы советую: это придумал не я, но в интернетах есть мнение что это наиболее перспективный фреймворк. -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php-программисту
+1 и вспомните себя, когда начинали. Сразу грызли Руби или Питон? Или же, всё-таки, начинали с основ? А то, что немного не по теме, тут немного автора понимаю, ибо это самая вменяемая рассылка по linux like системам, нежели форумы, хабры и т. д. 05.08.2010, 21:04, "Ivan Surzhenko" : > 5 августа 2010 г. 19:58 пользователь Владимир Бажанов > написал: > >> Во-первых, вопрос имеет слабое отношение к теме этой рассылки. >> Во-вторых, неужели при миллиардах страниц манов по ПХП и миллионах >> форумов, если остались такие фундаментальные проблемы? >> В-третьих, (во мне проснулся Django&RoR девелопер) а что, ДО СИХ ПОР это >> надо в пхпх делать руками? Пока весь мир пользуется готовыми решениями, >> с salt-примесями? Ужас. >> >> Автор, поучите Ruby On Rails, он в стотыщ раз умнее и удобнее. А пхп >> оставьте школьникам. Он устарел давно. >> >> P.S. Фух, выговорился:) > > Ну, зачем на человека напали? Он похоже желает покопаться с PHP без > каких-либо надстроек идт итп... Основы учит... Я бы похвалил за это. > > -- > > With best regards, > Ivan Surzhenko > -- > ubuntu-ru mailing list > ubuntu-ru@lists.ubuntu.com > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту
5 августа 2010 г. 20:04 пользователь Ivan Surzhenko написал: > 5 августа 2010 г. 19:58 пользователь Владимир Бажанов > написал: >> Во-первых, вопрос имеет слабое отношение к теме этой рассылки. >> Во-вторых, неужели при миллиардах страниц манов по ПХП и миллионах >> форумов, если остались такие фундаментальные проблемы? >> В-третьих, (во мне проснулся Django&RoR девелопер) а что, ДО СИХ ПОР это >> надо в пхпх делать руками? Пока весь мир пользуется готовыми решениями, >> с salt-примесями? Ужас. >> >> Автор, поучите Ruby On Rails, он в стотыщ раз умнее и удобнее. А пхп >> оставьте школьникам. Он устарел давно. >> >> P.S. Фух, выговорился:) > > Ну, зачем на человека напали? Он похоже желает покопаться с PHP без > каких-либо надстроек идт итп... Основы учит... Я бы похвалил за это. > > -- > > With best regards, > Ivan Surzhenko > Маленькая ремарка: моё предыдущее письмо относилось только к третьему пункту -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту
5 августа 2010 г. 19:58 пользователь Владимир Бажанов написал: > Во-первых, вопрос имеет слабое отношение к теме этой рассылки. > Во-вторых, неужели при миллиардах страниц манов по ПХП и миллионах > форумов, если остались такие фундаментальные проблемы? > В-третьих, (во мне проснулся Django&RoR девелопер) а что, ДО СИХ ПОР это > надо в пхпх делать руками? Пока весь мир пользуется готовыми решениями, > с salt-примесями? Ужас. > > Автор, поучите Ruby On Rails, он в стотыщ раз умнее и удобнее. А пхп > оставьте школьникам. Он устарел давно. > > P.S. Фух, выговорился:) Ну, зачем на человека напали? Он похоже желает покопаться с PHP без каких-либо надстроек идт итп... Основы учит... Я бы похвалил за это. -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php-программисту
В Чтв, 05/08/2010 в 22:44 +0700, std_out пишет: > Hi all ! > Пришло время делать в моем веб-приложеньице раздельный доступ для разных > категорий пользователей. > Посоветуйте, как организовать авторизацию. > Не в смысле, что там кукисы-сессии, а где и в каком виде наиболее > удобно/безопасно хранить пароли. > Т.е. хранить наверное все-таки в базе данных приложения (в моем случае > MySQL), а вот в какой форме - вопрос ... > В виде простого текста наверное будет неправильно, видимо надо их > как-нибудь шифровать/расшифровывать. > Писать свою процедуру шифрования-расшифровки, думаю, несеръезно. > Как это обычно делается ? > > Во-первых, вопрос имеет слабое отношение к теме этой рассылки. Во-вторых, неужели при миллиардах страниц манов по ПХП и миллионах форумов, если остались такие фундаментальные проблемы? В-третьих, (во мне проснулся Django&RoR девелопер) а что, ДО СИХ ПОР это надо в пхпх делать руками? Пока весь мир пользуется готовыми решениями, с salt-примесями? Ужас. Автор, поучите Ruby On Rails, он в стотыщ раз умнее и удобнее. А пхп оставьте школьникам. Он устарел давно. P.S. Фух, выговорился:) -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту
можно придумать какой-нибудь изврат в духе md5(md5(password)+md5(password+"some_custom_text")+"another_custom_text") :) P.S.: Плюсы поменяйте на PHPшное соединение строк. Давно не педалил на нем, забыл, как делается. -- With best regards, Ivan Surzhenko -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту
5 августа 2010 г. 19:58 пользователь ASLok написал: >> А науке известны случаи подбора строк по известному md5-хэшу ? > Вроде как известны открытые базы соответствий, причем пароли 12345 и > qwerty там есть наверняка Ага, вот оно: http://www.google.com/search?&q=md5+rainbow+table -- Alexey Smirnov alsmirn.moikrug.ru [ru] linkedin.com/in/alsmirn [en] -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту
> А науке известны случаи подбора строк по известному md5-хэшу ? Вроде как известны открытые базы соответствий, причем пароли 12345 и qwerty там есть наверняка -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru
Re: подскажите начинающему php- программисту
> Писать свою процедуру шифрования-расшифровки, думаю, несеръезно. > Как это обычно делается ? Обычно делается хэш от пароля (md5 и др.) и в последствии используется только хэш, хранится в БД. Если нужно проверить соответствие, то от кандидата делается соответствующий хэш и сравнивается. Если очень волнует, чтоб не подобрали слово с таким же хэшом, то можно сделать объединенный хэш разными алгоритмами -- ubuntu-ru mailing list ubuntu-ru@lists.ubuntu.com https://lists.ubuntu.com/mailman/listinfo/ubuntu-ru