Личный кабинет. От чего защищаться?

[SmokeeLow]

Цитата:

Сообщение от HastemaNS

О рекапче:

Свернуть ↑ Да, ее, может, не так легко обойти, но и просто пройти игроку тоже не легче

Свернуть ↑Развернуть ↓

А так, да, ее использовать буду, но в единичных случаях, по две капчи, все же, не очень будет.

Кстати, на счет хэша пароля, если добавить соль, сделать двойное хэширование разными алгоритмами + несколько тысяч раз перехешировать, будет ли возможность этот хэш вскрыть? Допустим, если мы узнаем соль и способы хэширования?

если знать соль и способ хеширования то можно. В php 5.5 появилась нативная функция для хеширования, вроде неплохая.

[HastemaNS]

Нужно будет посмотреть функцию. Впрочем, способ хэша не так легко будет узнать, ведь для этого скрипт нужно будет вытянуть, а, насколько понимаю, должным образом защищенный php скрипт на веб сервере никаким образом вытянуть невозможно?

[SmokeeLow]

Цитата:

Сообщение от HastemaNS

Нужно будет посмотреть функцию. Впрочем, способ хэша не так легко будет узнать, ведь для этого скрипт нужно будет вытянуть, а, насколько понимаю, должным образом защищенный php скрипт на веб сервере никаким образом вытянуть невозможно?

его можно вытянуть только если зайти туда по ftp/ssh или веб панель хостинга если есть и скачать

[HastemaNS]

Цитата:

Сообщение от SmokeeLow

его можно вытянуть только если зайти туда по ftp/ssh или веб панель хостинга если есть и скачать

Ну, таких возможностей я не оставлю. Значит, можно спать, более менее, спокойно, за свою соль.

Хотелось бы еще узнать уязвимости и типичные ошибки при построении лк. На счет инжектов начитался, надеюсь, что их прикрою более менее.

Так же хотелось бы узнать о примитивной ддос защите, про которую читал, мол, сначала открываем одну страничку, потом уже основную. Я так понимаю, что эти страницы должны быть на разных машинах? И как вообще это помогает?

[Twinker]

Цитата:

Сообщение от HastemaNS

О рекапче:

Свернуть ↑ Да, ее, может, не так легко обойти, но и просто пройти игроку тоже не легче

Свернуть ↑Развернуть ↓

А так, да, ее использовать буду, но в единичных случаях, по две капчи, все же, не очень будет.

Кстати, на счет хэша пароля, если добавить соль, сделать двойное хэширование разными алгоритмами + несколько тысяч раз перехешировать, будет ли возможность этот хэш вскрыть? Допустим, если мы узнаем соль и способы хэширования?

Несколько тысяч раз? Нагрузон будет не слабый
P.s возможности не будет. Ибо никто не знает, сколько раз был перехэширован пароль

[HastemaNS]

Цитата:

Сообщение от Twinker

Несколько тысяч раз? Нагрузон будет не слабый
P.s возможности не будет. Ибо никто не знает, сколько раз был перехэширован пароль

Нагрузка будет не слабая, согласен. В таком случае придется еще и думать, как обезопасить себя от папок ддосеров. Они, я думаю, если прохавают это, то будут вполне рады. Но, выходит, можно и десяток раз сделать, тогда ничего особо не изменится? Хотя, как я читал, чем больше раз берется хэш, тем дольше искать коллизии в столько же раз?

[SmokeeLow]

Цитата:

Сообщение от HastemaNS

Ну, таких возможностей я не оставлю. Значит, можно спать, более менее, спокойно, за свою соль.

Хотелось бы еще узнать уязвимости и типичные ошибки при построении лк. На счет инжектов начитался, надеюсь, что их прикрою более менее.

Так же хотелось бы узнать о примитивной ддос защите, про которую читал, мол, сначала открываем одну страничку, потом уже основную. Я так понимаю, что эти страницы должны быть на разных машинах? И как вообще это помогает?

от ддоса на php защита это так... пыль в глаза, этим должны заниматся фаерволы/всякие роутеры и тд. которые для этого и предназначены.

Вообще лучше взять какой то фреймворк например yii/symfony и не парится о всяких sql inj/xss и прочих мелочах.
Но если это все ради опыта то лучше конечно свое велосипедить

Добавлено через 2 минуты

Цитата:

Сообщение от HastemaNS

Нагрузка будет не слабая, согласен. В таком случае придется еще и думать, как обезопасить себя от папок ддосеров. Они, я думаю, если прохавают это, то будут вполне рады. Но, выходит, можно и десяток раз сделать, тогда ничего особо не изменится? Хотя, как я читал, чем больше раз берется хэш, тем дольше искать коллизии в столько же раз?

много раз хешить пароль не очень хорошо одного-трех раз хватит я думаю(на своих проектах так и делаю, пока не ломали)

[HastemaNS]

Цитата:

Сообщение от SmokeeLow

от ддоса на php защита это так... пыль в глаза, этим должны заниматся фаерволы/всякие роутеры и тд. которые для этого и предназначены.

Вообще лучше взять какой то фреймворк например yii/symfony и не парится о всяких sql inj/xss и прочих мелочах.
Но если для это все ради опыта то лучше конечно свое велосипедить

Добавлено через 2 минуты


много раз хешить пароль не очень хорошо одного-трех раз хватит я думаю(на своих проектах так и делаю)

Большей частью преследую, как раз, цель получения опыта. Его трудно переоценить, особенно в наше время, когда сплошь и рядом нужны люди с таким опытом.

Понял на счет ддос защиты, догадывался, что это очень глупый способ.

С хэшем, тоже, думаю, буду не столь прилежен, как хотел.