Рейтинг темы:
  • 0 Голос(ов) - 0 в среднем
  • 1
  • 2
  • 3
  • 4
  • 5
Личный кабинет. От чего защищаться?
#11
HastemaNS Написал:
О рекапче

А так, да, ее использовать буду, но в единичных случаях, по две капчи, все же, не очень будет.

Кстати, на счет хэша пароля, если добавить соль, сделать двойное хэширование разными алгоритмами + несколько тысяч раз перехешировать, будет ли возможность этот хэш вскрыть? Допустим, если мы узнаем соль и способы хэширования?

если знать соль и способ хеширования то можно. В php 5.5 появилась нативная функция для хеширования, вроде неплохая.
ice node
Ответ
#12
Нужно будет посмотреть функцию. Впрочем, способ хэша не так легко будет узнать, ведь для этого скрипт нужно будет вытянуть, а, насколько понимаю, должным образом защищенный php скрипт на веб сервере никаким образом вытянуть невозможно?
Ответ
#13
HastemaNS Написал:Нужно будет посмотреть функцию. Впрочем, способ хэша не так легко будет узнать, ведь для этого скрипт нужно будет вытянуть, а, насколько понимаю, должным образом защищенный php скрипт на веб сервере никаким образом вытянуть невозможно?

его можно вытянуть только если зайти туда по ftp/ssh или веб панель хостинга если есть и скачать
ice node
Ответ
#14
SmokeeLow Написал:его можно вытянуть только если зайти туда по ftp/ssh или веб панель хостинга если есть и скачать

Ну, таких возможностей я не оставлю. Значит, можно спать, более менее, спокойно, за свою соль.:redlol:

Хотелось бы еще узнать уязвимости и типичные ошибки при построении лк. На счет инжектов начитался, надеюсь, что их прикрою более менее.

Так же хотелось бы узнать о примитивной ддос защите, про которую читал, мол, сначала открываем одну страничку, потом уже основную. Я так понимаю, что эти страницы должны быть на разных машинах? И как вообще это помогает?
Ответ
#15
HastemaNS Написал:
О рекапче

А так, да, ее использовать буду, но в единичных случаях, по две капчи, все же, не очень будет.

Кстати, на счет хэша пароля, если добавить соль, сделать двойное хэширование разными алгоритмами + несколько тысяч раз перехешировать, будет ли возможность этот хэш вскрыть? Допустим, если мы узнаем соль и способы хэширования?
Несколько тысяч раз? Smile Нагрузон будет не слабый
P.s возможности не будет. Ибо никто не знает, сколько раз был перехэширован пароль
Ответ
#16
Twinker Написал:Несколько тысяч раз? Smile Нагрузон будет не слабый
P.s возможности не будет. Ибо никто не знает, сколько раз был перехэширован пароль

Нагрузка будет не слабая, согласен. В таком случае придется еще и думать, как обезопасить себя от папок ддосеров. Они, я думаю, если прохавают это, то будут вполне рады.:redlol: Но, выходит, можно и десяток раз сделать, тогда ничего особо не изменится? Хотя, как я читал, чем больше раз берется хэш, тем дольше искать коллизии в столько же раз?
Ответ
#17
HastemaNS Написал:Ну, таких возможностей я не оставлю. Значит, можно спать, более менее, спокойно, за свою соль.:redlol:

Хотелось бы еще узнать уязвимости и типичные ошибки при построении лк. На счет инжектов начитался, надеюсь, что их прикрою более менее.

Так же хотелось бы узнать о примитивной ддос защите, про которую читал, мол, сначала открываем одну страничку, потом уже основную. Я так понимаю, что эти страницы должны быть на разных машинах? И как вообще это помогает?

от ддоса на php защита это так... пыль в глаза, этим должны заниматся фаерволы/всякие роутеры и тд. которые для этого и предназначены.

Вообще лучше взять какой то фреймворк например yii/symfony и не парится о всяких sql inj/xss и прочих мелочах.
Но если это все ради опыта то лучше конечно свое велосипедитьSmile

Добавлено через 2 минуты
HastemaNS Написал:Нагрузка будет не слабая, согласен. В таком случае придется еще и думать, как обезопасить себя от папок ддосеров. Они, я думаю, если прохавают это, то будут вполне рады.:redlol: Но, выходит, можно и десяток раз сделать, тогда ничего особо не изменится? Хотя, как я читал, чем больше раз берется хэш, тем дольше искать коллизии в столько же раз?

много раз хешить пароль не очень хорошоSmile одного-трех раз хватит я думаю(на своих проектах так и делаю, пока не ломали)
ice node
Ответ
#18
SmokeeLow Написал:от ддоса на php защита это так... пыль в глаза, этим должны заниматся фаерволы/всякие роутеры и тд. которые для этого и предназначены.

Вообще лучше взять какой то фреймворк например yii/symfony и не парится о всяких sql inj/xss и прочих мелочах.
Но если для это все ради опыта то лучше конечно свое велосипедитьSmile

Добавлено через 2 минуты


много раз хешить пароль не очень хорошоSmile одного-трех раз хватит я думаю(на своих проектах так и делаю)

Большей частью преследую, как раз, цель получения опыта. Его трудно переоценить, особенно в наше время, когда сплошь и рядом нужны люди с таким опытом.

Понял на счет ддос защиты, догадывался, что это очень глупый способ.

С хэшем, тоже, думаю, буду не столь прилежен, как хотел.:redlol:
Ответ


Возможно похожие темы ...
Тема Автор Ответы Просмотры Последний пост
  Личный кабинет на стрес веб 13 kostin 5 2,582 04-14-2016, 01:13 AM
Последний пост: Rayso
  Личный кабинет white7777x 28 3,989 06-24-2013, 11:07 AM
Последний пост: xolseg
  Личный кабинет типа 6.0 Sensation 8 2,765 02-09-2013, 12:27 PM
Последний пост: Sensation
  Личный Кабинет Landver 5 2,449 10-18-2012, 02:52 PM
Последний пост: uzola
  Личный кабинет GotMilk 4 1,893 01-15-2012, 11:18 AM
Последний пост: GotMilk
  Личный Кабинет FeatJem 11 3,741 01-06-2012, 11:35 AM
Последний пост: FeatJem
  Личный кабинет lolpwnz 13 4,355 11-30-2011, 05:51 PM
Последний пост: JR.dev
  Личный кабинет для серверов Lineage 2 Interlude CollHacker 0 4,570 04-22-2010, 09:14 AM
Последний пост: CollHacker
  Личный Кобинет - Регистрация Deron 1 2,702 07-21-2009, 12:21 AM
Последний пост: singer
  Web обвязки+ личный кабинет piratik 0 2,756 09-30-2008, 09:06 AM
Последний пост: piratik

Перейти к форуму:


Пользователи, просматривающие эту тему: 1 Гость(ей)