aizsardzība

[GS_]

Izskatas ka pedeja ~menesa darbs sak virzities uz beigam pa so laiku drusku apguts php/mysql/js/css un par brinumu viss funkcione ka vajag tik uztrauc viens - aizsardziba:

Saita bus loti daudz $_GET $_POST visi zem addslashes ,

vel bus bilzu un audio upload kuri tiks automatiski cekoti uz izmeriem/tagiem/garumu un saglabati zem unikaliem nosaukumiem.

register_globals = off

magic_quotes_gpc = off

Par ko vel vajadzetu uztraukties un nemt vera ? Un kada veida labak saglabat datu bazes u.c paroles ?

[bubu]

Paroles nevajag glabāt. Vajag glabāt paroļu hešsummas.

[goldy]

pašlaik tieši pārtaisu vienu projektu, kur paroles tika glabātas :)

 

jautri paskatīties ko tik cilvēki tur nesaraksta. bet tas ir pis.... šitā uztaisīt, kādai prāta nespējai ir jābūt priekš tā, un ga;venais, ka nav jau nekāds kaktu kantoris, ek gribētu es redzēt to guru kurš to taisīja :D

[Paulinjsh]

Laikam to kantori zinu :D Hvz kpc CMS izstrādātājs izdomājis nehashot paroles!

Edited October 27, 2006 by Paulinjsh

[v3rb0]

bet ja specenē prasība "adminim vajag redzēt useru paroles"?

nezin kāpēc tāda prasība, bet divas reizes esmu tadu redzējis, un cilvēks neparko negribēja no tās atkāpties.

[Gundars]

v3rb0: varbūt šādas prasības iemesls ir sekojošs dialogs:

 

Useris: Esmu aizmirsis paroli?

HD: Mēs jums tulīt uztaisīsiem jaunu paroli

Useris: Nē man jaunu nevajaga, man patika vecā.

HD: Mēs jūsu veco paroli nezinam. bet varam jums uztaisīt jaunu paroli.

Useris: Nē. Es gribu zināt savu veco paroli. Par ko es jums naudu maksāju, ka jūs neverat pateikt man manu paroli!

 

utt.

[goldy]

noup, prasība tāda nebija, un tas pat nebija nekāds CMS, bet e-shops, jā, jā es pareizi uzrakstīju :D

[v3rb0]

Gundars, bet kā viņš zin ka tiešām patika vecā parole, ja veco paroli ir pavisam aizmirsis :) kaut kas tur nav tīrs.

no tāda usera var tikt vaļā pastāstot ka mēs nodrošinām tādu drošības līmeni, ka parole ir 100% viņa personīgā info, ko neviens cits nekādos apstākļos nevar uzzināt - un galu galā, naudu viņš maksā par sistēmas drošību, nevis ka paroles izdrukātas uz galda mētājās.

jāmāca viņi, nevis jāklausa..

Edited October 27, 2006 by v3rb0

[Orion7]

Nu cilvēki jau vienmēr novērtē tikai to, ko ir pazudējuši. Tā ir arī ar paroli šajā gadījumā. :)

Bet nu vispār jau var viņam iedot jaunu paroli un pateikt, ka tā ir vecā, jams jau tāpat neatceras kāda tā parole bija. :)

[goldy]

vispār jau nu nevienam nekas nav jādod. ja users ir aizmirsis paroli, tad podziņa "aizmirsu paroli" uzgenerējam paroli, nosūtam pa @ un pie nākamās logošanās, lai viņš atkal maina savu skaisto paroli. bet zvani un sarakste pa mailiem ar tekstu "kāda ir mana parole" ir galīgi nevadzīgi.

[Grey_Wolf]

Tik jaapiebilst ka + ir japarbauda vinja emails , lai pats ieraksta ;)

Vai arii Secret jaut... un tikai tad parole tiek nosuutiita....

Tas taa papildus ..

Ja sisteema ir pareizi uzprojekteeta (no drosiibas viedoklja) Tad tiiri fiziski nevar vinjam to paroli iedot....

[Kristabs]

Šodien tieši taisīju paroles atgādināšanu, augstāk minēto variantu atmetu, lai nevarētu katru dienu likt citiem, kuru e-pastus zinu likt mainīt paroli. Uztaisīju, ka ģenerē kodu un aizsūta uz @ ar tekstu, ka ja tiešām vēlies resetot paroli, tad spied virsū un kad atnāk un sakrīt kodi, tad iespēja ierakstīt savu jauno paroli.

[blackhalt]

addslashes saki?

<meta http-equiv=refresh content=0>

[GS_]

addslashes saki?

<meta http-equiv=refresh content=0>

 

nesapratu :roll:

[blackhalt]

Maziņš piemērs. Tur var būt arī citi tagi ar iekļautu XSS. Vai pret tādu ir paredzēta aizsardzība?