Аутентификация, куки, md5
md5, того, ёк, поломали его, используй что-нить покруче 
лучше названием кука не имя пользователя, а пару логин-пароль в значении кука хранить, а название постоянное.
лучше названием кука не имя пользователя, а пару логин-пароль в значении кука хранить, а название постоянное.
>нормально ли сделано так, как описано ниже, или это изврат
Стандартная аутентификация.
Стандартная аутентификация.
ну и хрен с ним, что поломали. А кто мешает взять пароль, сделать из него md5, потом взять пароль наоборот, сделать из него md5, а потом две строки склеить Или что-нибудь еще такое:)
да и вообще, хрен с ним, что поломали. Гостевуха - не столь важное дело, чтобы заморачиваться по поводу передовой мысли хака.
благодарю за комменты...
>Гостевуха - не столь важное дело, чтобы заморачиваться по поводу передовой мысли хака.
Вообще-то, если не продумать даже гостевуху, то за пару-тройку стандартных приемов руткит может влить на машину даже какой-нибудь дефейсер типа 'а.
Вообще-то, если не продумать даже гостевуху, то за пару-тройку стандартных приемов руткит может влить на машину даже какой-нибудь дефейсер типа 'а.
это как? казалось бы самое страшное, что можно сделать -- написать из-под другого юзера. или нет?
Дело не в куках, а в криворукости программера, который может оставить другие дырки в скриптах.
это как?Коротко - через XSS инжектится шел, а потом через дыры в тулзах делается эскалейшен. И п%здец.
Если каким-либо образом будет украдена cookie (например, через внедрение JavaScript-а то можно будет логиниться под другим пользователем.
md5, того, ёк, поломали его, используй что-нить покручеткните меня носом в ссылку плиз....
Все, не надо - зашел в H&S
Оставить комментарий
Elina74
Пишу я свою гостевуху и решил сделать возможность логиниться, разлогиниваться с помощью cookie. Прошу оценить, нормально ли сделано так, как описано ниже, или это изврат. И второй вопрос, нужно липостоянно помнить имя залогиненого юзера, или его можно тоже записать в cookie?
Юзера регистрируются и их пароли шифруются так:
и записываются в некий файл паролей.
Так, если у меня юзера зовут "" и его пароль: "1", то зашифрованный пароль будет
:$1$976134.2$A1z4KxHk68SCJNXNGXqmp1
Для того, чтобы залогиниться устанавливаются куки так: берем из пароля то, что после двоеточия, и шифруем его с помощью md5_hex. Полученную строку (bc06acdb475513d1e6963e71938a1186) пишем в значение cookie. Названием cookie является имя юзера ().
Для того, чтобы проверить, залогинен ли юзер , смотрим нет ли такой cookie, если есть, получаем его значение. Далее лезем в наш файл паролей на сервере, получаем то, что после двоеточия и шифруем md5_hex. После этого сравниваем две строки получившихся после md5_hex. Если они равны - юзер залогинен.