 |
|
|
|
|
| Autor | Wiadomość |
|---|---|
|
Napisane: 16.03.2009 [15:45]
|
|
|
m_kola
Twórca tematu
zarejestrowany: 11.10.2008
Posty: 309
|
Mam zainstalowny EXT:t3sec_saltedpw i dla użytkowników BE działa rewelacyjnie. Jak zakładam użytkownika FE to hasło mam już w plain text. To niefajnie.. Mam zainstalowany również sr_feuser_register i do tego zapodałem srfeuserregister_t3secsaltedpw. Efekt jest taki, że jak się użytkownik zaloguje i zmieni sobie hasło to jest OK. Problem pojawia się kiedy użytkownika FE zakładam jako admin w BE. Wtedy hasła są plain. Wiem, że możliwość rejestracji użytkowników z zewnątrz by rozwiązała sprawę ale.. tak nie chcę  Da się to jakoś obejść aby po założenia usera FE z BE jego hasło było "salted"? Wiem, że to burzy wszystko czego was uczono, ale prawda i fałsz istnieją. Tylko dlatego, że nie znacie prawidłowej odpowiedzi, może nawet nie ma takiej możliwości, nie czyni waszej decyzji dobrą, ani nawet niezłą. Sprawa wygląda prościej. Jest ona po prostu zła.
......................................................................... www.katalog.optiweb.pl - Darmowy katalog linków |
|
Napisane: 18.03.2009 [09:59]
|
|
|
kss
admin
zarejestrowany: 19.07.2007
Posty: 811
|
Nie odpowiem może na Twoje pytanie, ale dodam jeszcze jedną wadę t3sec_saltedpw. Przesyła on niezakodowane hasło przez sieć i dlatego, jeżeli nie możesz wymusić https dla samego procesu logowania to lepiej t3sec_saltedpw dla FE userów unikać. Możesz użyć kb_md5fepw, który nie ma tej wady, ale niestety stosuje czyste md5 do kodowania haseł, co podobno też już nie jest bezpieczne, z powodu rainbow tables i jeżeli ktoś włamie się do Twojej bazy danych to będzie mógł zdeszyfrować większość haseł userów. http://pl.wikipedia.org/wiki/Tęczowe_tablice Idealnym zabezpieczeniem byłoby użycie 3sec_saltedpw + https (ale z certyfikatem komercyjnym, który można już kupić za jakieś 200zł rocznie). |
|
Napisane: 18.03.2009 [13:17]
|
|
|
m_kola
Twórca tematu
zarejestrowany: 11.10.2008
Posty: 309
|
kss napisał/a Idealnym zabezpieczeniem byłoby użycie 3sec_saltedpw + https (ale z certyfikatem komercyjnym, który można już kupić za jakieś 200zł rocznie). Racja, ssl nie kosztuje majątku, już urabiam szefa na kasę  Tylko... jak wymusić szyfrowanie dla jednej strony https? Wiem, że to burzy wszystko czego was uczono, ale prawda i fałsz istnieją. Tylko dlatego, że nie znacie prawidłowej odpowiedzi, może nawet nie ma takiej możliwości, nie czyni waszej decyzji dobrą, ani nawet niezłą. Sprawa wygląda prościej. Jest ona po prostu zła.
......................................................................... www.katalog.optiweb.pl - Darmowy katalog linków |
|
Napisane: 19.03.2009 [22:20]
|
|
|
kss
admin
zarejestrowany: 19.07.2007
Posty: 811
|
Nie testowałem nigdy https na felogin. Być może wystarczy pokombinować z <form action="https://....." >. Samo logowanie będzie więc zaszyfrowane a później skorzystać z redirectów felogin na zwykłe http. |
