Widmo - 08-01-2006, 13:48
no nie... bo mozesz w skrypcie przed linia
dać mail()'a i masz hasła Rogacz - 08-01-2006, 13:48 ale w tym przypadku algorytm jest znany a trudne hasla ma moze kilkanasice procent administratorow i kilka procent userow i wracamy do tego ze ty chcesz zmuszac userow do posiadania trudnych hasel a oni tego nie chca Paszczak000 - 08-01-2006, 13:52 Rogacz, ja Cię chce zmuciś nauczyć pływać........ bo nie zawsze masz kapok pod ręką... szkoda, że utoniesz 
Rogacz - 08-01-2006, 13:56 nie dawaj porownani ktore nie pasuja pozatym tu nie o mnie chodzi ja mam bezpieczne hasla no moze nie wszedzie poprostu zaleznie od poziomu bezpieczenistwa ktory potrzebuje Paszczak000 - 08-01-2006, 14:05 to był przykład 
a widzisz. sam o siebie dbasz a nie piszesz miala do admina.
Lepiej ludzi uczyć, uświadamiać niż mają żyć w niewiedzy. Rogacz - 08-01-2006, 14:09
 )
tylko jak powiedziales uczyc a nie zmuszac odrazu do robienia hasel 8 znakowych tylko z cyferek i krzaczkow zreszta hasla ogolnie to kiepski pomysl ale innego wyjscia nie ma (przynajmniej narazie) Paszczak000 - 08-01-2006, 14:11 Jak ich nie wrzucisz to się nigdy nie nauczą :] Czemu? Bo z definicji usera, user jest leń, user jest głupi, user psuje, user nie czyta FAQ, user, nie szuka i klika tam gdzie nie wolno. (poza wyjątkami ) Taka prawda. Zakładasz konto w banku i musisz mieć trudne hasło.
Rogacz - 08-01-2006, 14:13
ale w banku masz tokeny szyfrowanie polaczenia i hasla jednorazowe wiec nie mow mi ze sie bank nie troszczy o bezpieczenistwo [ Dodano: 08-01-2006, 14:15 ]
ci co sa nowi w swiecie komputerow nie wiedza co to jest faq nie wiedza gdzie wolno i jak sie szuka a nawet jak wiedza to zazwyczaj robia to zle i nie znajduja tego co trzeba Paszczak000 - 08-01-2006, 14:20 tak. banki troszczą się o bezpieczeństwo, ale jak masz hasło aaa to token możesz na ścianie powiesić. jak pisze się program to zakłada się zawsze, że odbiorca jest debilem (jak najbardziej pesymistycznie) by ktoś mógł sobie z tym poradzić.
i trzeba ich uczyć. nie dotykaj po gorące mówi mama a nie wysypuje lód na piekarnik by dziecko się nie oparzyło
Rogacz - 08-01-2006, 14:24
a dziecko i tak dotknie, sie sparzy i bedzie pamietalo (przez jakis czas) troche odbiegamy od tematu wiec mysle ze starczy juz tych przypowiastek
Gaw - 08-01-2006, 14:31 zdaje mi sie, ze najlepszym rozwiazaniem bylo by uswiadomienie userom, ze maja niebezpieczne hasla (mozna by bylo zrobic skrypt w javascript, ktory pokazywal by poziom bezpieczenstwa hasla podczas jego wpisywania w formularz rejestracji opierajac sie na jego dlugosci i tego czy zawiera cyfry i duze litery), bo jak ktos chce zeby mu sie wlamali na konto to i tak sie wlamia nawet jak by mial 100000000 x md5 Paszczak000 - 08-01-2006, 14:43 Gaw, dobry pomysł  I ja jestem za tym! Przemo do dzieła
djoxide - 08-01-2006, 14:47 Czy nie lepszym rozwiazaniem byłoby opublikowanie 1.12 a z kolejnymi, sporymi zmianami zaczekanie do 1.13 albo pozniej? Bo w ten sposob nigdy sie nie doczekamy finalnej wersji. chelloPL - 08-01-2006, 14:58 Właśnie zrobiłem jeden test... i włosy mi się zjeżyły. PS: w niektórych miejscach już wymusiłem hasła 6 znakowe. A co do mojego zdania: 1. hasła minimum 6 znaków. 2. jeśli już mamy rezygnować z kompatybilności, to doklejanie jakiegoś ciągu alfanumerycznego (ze znakami specjalnymi). 3. przesyłanie haszy md5 a nie haseł (zamiana hasła na md5 odbywa się po stronie klienta (javascript) - to jest apropos pytania Widma. Modyfikować sobie kod forum możesz do woli, ale hasła i tak nie poznasz w postaci jawnej (nawet snifując połączenie) 4. problem z pkt 3 pojawia się, jeśli korzystamy z przeglądarki w której javascript jest wyłączony lub przeglądarka js nie obsługuje (np: links). Takich przypadków nie powinno być dużo, ale wówczas warto do formularza dodawać jakąś sygnaturę, że hasło leci plaintextem i wówczas (niestety) kodować je po stronie serwera. Graffi - 08-01-2006, 15:11 Temat postu: modstawa to myślenie :D no więc tak sobie to czytam i czytam... (p.s. od dłuższego czasu to forum oglądam ale dopiero dziś sie zarejestrowałem  )
i widzę że... kodowanie w bazie to OK, ale... ale to ma sens na potrezby włamań na serwer, bo sam ostatnoi u siebie zrobiłem mały "przekręt" i se snifera na pare dób (z pewnymi częściami ciała nie pomylić )zapuściłem i jak przejrzałem logi to wyłapał pięknie wszytkie hasła z forum - wiec admin (zakładając że a troche prawa na serwerze) ma co chce i kodowanie nie pomoże bo poziom tych haseł mnie przeraził...
dalej idąc to skoro mamy być kompatybilni z phpBB to md5() zostaje chyba... :-> a zakodowanie lepsze hasła na wypadek włamania i kradzieży bazy danych to OK, ale wielokrotne samo md5() to nie wiem, może pomyślec nad poprzelataniem tego jakimiś innymi algorytmami???? ale bez przesady, myśle że jak dla zabawy ktoś chce łamać hasło to czas paru godzin przy haśle 4znakowym to juz jest sporo, do tego przecież jak komuś zależy to poczeka tydzień i nawet 5 znakowe pozpyka 
tak wieć koniec z końcem... żadne kodowanie nie zapewni bezpieczeństwa takiego jak sobie marzymy
użytkowników trzeba namawiać (czyt. nekać ustawieniami forum) aby mieli bezpieczne hasła, jak komuś na obecności na forum zależy to se hasło będzie umiał "wyprodukować" EDIT
|
||||||||||||||||||||||||||||
