Как да защитите с парола, когато формулярът е подаден към сървъра

Предишен ◈ Следващото

Три отговори и много харесвания.
Показателно е, когато едни и същи хора да питат дали искате да хеширате паролите на сървъра - всички заедно, изграждане и хор ще отговори - трябва да се!

В този случай, идеята е да се съчетаят и двете технологии, това не се случва и да е от тях. И те не се вписват заедно. Ако "сървъра от нейна страна като соли и парола хеш вярва", това означава. че паролите се съхраняват в обикновен текст!

Този типичен podobnyyh сайтове. Отговорът по някаква причина винаги се има предвид, е буквален. Въпросът никога не се поставя под въпрос, или поне минимална проверка за разбиране. Чувство, които отговарят възприема проблема като тест или нещо такова? Или като предизвикателство - да отговори на всяка цена, дори и невероятни изкривявания и да се гарантира рейк в бъдеще. Или - както сега - цената на намалена сигурност! Но буквален отговор. И така, не само тук - така че практически всеки отговор. Е, никога, никой tvremeni обмисляйте - всички бързат да отговори.

Аз не знам какво да правя. Този подход е много вредно както за сайта и тези, които задавам въпросите. Вместо да се покаже правилният подход, той внимателно тези, които обичат и се прецеждат гънка остатъци помогне да се застреля в крака.

Преди да отговорите, ние първо трябва да мисля. Изчислете хода напред - "какво би станало, ако правиш това, което посъветвали?" Изчислете хода обратно - "и това, което той има нужда, не е като този въпрос да бъде сама, което някога е бил помолен от липса на знание?" И се опита да отговори, така че наистина да помогне на основния въпрос, а не просто да се даде назъбена назад.

Гледам си мислиш ширина отвъд всички възможни размери.
Какво означава всичко хашиш към сървъра, ако е сигурно предаване на парола за него?
Защо е изпълнението на асиметрично криптиран канал на Аякс ниво не може да осигури същите данни като надеждността и SSL?
С една дума, не е нужно да се разчита на допълнителни ходове, ако не знаете в коя посока е "напред".

FanatPHP. и дори в ада с него.
Самият въпрос също е доста решат. Между другото, "сървъра от нейна страна като парола соли" може лесно да се заменят с "на сървъра от нейна страна като соли хашиш", и готово, имаме треньор отново. Истината е, все още не Редактирайте, но това е друга история.
Във всеки случай, сигурно предаване е възможно да се организират и да не пречи с хеша съхраняват.

FanatPHP. Не. Не е необходимо. Защото, ако се премине на сол, е безсмислено да се ползва. Всички сол наслада във факта, че тя се съхранява на сървъра и не е налична. Необходимо е да се откаже от използването на сол. Това не е толкова страшно, колкото си мислят, толкова повече, че има алтернативни методи.
Както обикновено пазят парола? хеш (преминават + продадени)
Какво ни пречи, вместо да го пазят като: криптиране (диез (пас), които се продават), в който криптира функцията за симетрично криптиране с помощта на ключа, която се продава.
Можете дори по-стръмен: криптиране (диез (пас) + ранд (), които се продават)
Надявам се, че е ясно.

Винаги е хубаво да tupanuv, вижте сламката в очите на събеседника :) 1. Смисълът на сол, не е най-важното. Salt предварително се счита за компрометирана и защо, и се съхранява в ясно. Проблемът на сол - защита от компилиран търсене AKA таблици дъга. Основното нещо е, че тя винаги е по-различно. И това е известно, или не - не би трябвало да е важно. 2. Съхраняване на паролата в обратима форма zashivrovannom - нова дума в безопасност. Истината е, че аз се страхувам, е твърде нов. Те няма да се разбере-а :) (ето ни отново на Дерибасовская в който пепел (пас) играе ролята на публично съхранени пароли)

1) Да, това е логично. Аз съм глупак. Можете да прехвърляте.
2) Не, не е обратима. Ние не криптиране на паролата, но хеш. Той не се включи в определението. Но да - predvycheslennye маса ще ни накара да болен - Съгласен съм.
Дерибасовская, ние не трябва да излизат навън. Тук можете да направите грешка - ние не издържа хеша!