X   Сообщение сайта
(Сообщение закроется через 3 секунды)



 

Здравствуйте, гость (

| Вход | Регистрация )

Открыть тему
Тема закрыта
> captcha
Bartle96
Bartle96
Topic Starter сообщение 9.7.2013, 1:43; Ответить: Bartle96
Сообщение #1


Всем привет!

Вот сидел и делал капчу для авторизации на сайте
При неудачной авторизации более 3 раз пользователю предлагается обязательно вводить капчу
И она проверяется на сервере
Но вот в чем вопрос

При удачной авторизации
id пользователя и мд5 пароля сохраняется в coockie
То есть кто то может перебирать мд5 пароля и авторизоваться на сайте без каких либо капч
Скажите как можно уберечься от этого?
Заранее спасибо!
0
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
alexdrob
alexdrob
сообщение 9.7.2013, 3:27; Ответить: alexdrob
Сообщение #2


Не хранить пароль в кукисах? :)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Bartle96
Bartle96
Topic Starter сообщение 9.7.2013, 12:14; Ответить: Bartle96
Сообщение #3


alexdrob, А где их хранить на стороне клиента?
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
alexdrob
alexdrob
сообщение 9.7.2013, 12:34; Ответить: alexdrob
Сообщение #4


Их вообще не стоит хранить на стороне клиента. Более того, пароль то вообще зачем хранить )
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
Bartle96
Bartle96
Topic Starter сообщение 9.7.2013, 20:32; Ответить: Bartle96
Сообщение #5


А как сервер будет понимать что эта за пользователь?
После авторизации в coocie попадает id пользователя
А пароль чтобы кто то просто в куки не поставил любой id
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
alexdrob
alexdrob
сообщение 9.7.2013, 21:51; Ответить: alexdrob
Сообщение #6


в сессиях храните.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
NoDrum
NoDrum
сообщение 11.7.2013, 13:42; Ответить: NoDrum
Сообщение #7


есть такой суперглобальный массив $_SESSION, вот в нем лучше хранить какие-то данные о пользователе.
Кстати, кто вам сказал что так легко подобрать хеш md5? Помню практика хранения хеша пароля в куки была замечена в вк, и ничего страшного, работало.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
alexdrob
alexdrob
сообщение 11.7.2013, 14:00; Ответить: alexdrob
Сообщение #8


(NoDrum @ 11.7.2013, 16:42) *
Помню практика хранения хеша пароля в куки была замечена в вк

Ну так все по Попову учились :)
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
A1ex_hb
A1ex_hb
сообщение 11.7.2013, 14:54; Ответить: A1ex_hb
Сообщение #9


(NoDrum @ 11.7.2013, 16:42) *
кто вам сказал что так легко подобрать хеш md5?

Да, нелегко, но все-таки возможно. Так что не надо рисковать. И в куках лучше хранить токен авторизации, который сгенерирован абсолютно случайным образом.

Замечание модератора:
Эта тема была закрыта автоматически ввиду отсутствия активности в ней на протяжении 100+ дней.
Если Вы считаете ее актуальной и хотите оставить сообщение, то воспользуйтесь кнопкой
или обратитесь к любому из модераторов.
Вернуться в начало страницы
 
Ответить с цитированием данного сообщения
« Предыдущая тема · Программная часть · Следующая тема »
 
Открыть тему
Тема закрыта
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0


Свернуть

> Похожие темы

  Тема Ответов Автор Просмотров Последний ответ
Открытая тема (нет новых ответов) 25.000каталогов+rss+captcha+мой проект+update+доски объявлений=10wmz
Отдача: тИЦ 10-40, PR 2-4.
 6 streams 4158 11.2.2009, 22:28
автор: streams


 

Режим отображения: Стандартный · Переключить на: Линейный · Переключить на: Древовидный

Подписка на тему · Сообщить другу · Версия для печати · Подписка на этот форум

RSS Текстовая версия Сейчас: 25.4.2024, 6:24

Дизайн

 
Форум IP.Board © 2024  IPS, Inc.
Лицензия зарегистрирована на: MaulNet
Jooble
Форум IP.Board © IPS, Inc.
Лицензия зарегистрирована на: MaulNet