MD5
Йох-ха-нга,
Я недавно в этой рассылке, поэтому извините, если не к месту.
Пожалуйста, подскажите в чем ошибка запроса MySQl?
На странице появляется ошибка:
Подписаться
Бесплатный дискуссионный лист
Подписчиков 656
| ← Август 2004 → | ||||||
|
1
|
||||||
|---|---|---|---|---|---|---|
|
8
|
||||||
|
12
|
13
|
|||||
|
17
|
18
|
|||||
За последние 60 дней ни разу не выходила
Сайт листа:
http://blog.nundesign.com
Открыт:
06-08-2003
Пре-модерация: Да
Адрес для писем в лист: inet.webbuild.webbuilding-list@subscribe.ru
Адрес
модератора: inet.webbuild.webbuilding-owner@subscribe.ru
Модератор
Статистика
656 подписчиков
0 за неделю
0 за неделю
Ответы:
Йох-ха-нга,
Спасибо, Алексей и Andrew Popov, но я сам недоглядел. Забыл
увеличить максимальную длину пароля, в результате половину md5 кода
sql отрезал.
А ощибка, наверно, возникала из-за кавычек. :)
А есть вообще смысл использовать такую защиту? Вам приходилось с
этим сталкиваться?
Приветствую, Novikov.
20 августа 2004 г. в 9:49 вы говорили:
Novikov> Йох-ха-нга,
Novikov> Спасибо, Алексей и Andrew Popov, но я сам недоглядел. Забыл
Novikov> увеличить максимальную длину пароля, в результате половину md5 кода
Novikov> sql отрезал.
Novikov> А ощибка, наверно, возникала из-за кавычек. :)
Novikov> А есть вообще смысл использовать такую защиту? Вам приходилось с
Novikov> этим сталкиваться?
Естественно, есть смысл.
Может быть ситуация, когда по ошибке база данных с паролями попадет
в чужие руки. Если пароли будут просто записаны - гаплык.
Насколько я знаю, алгоритм md5 односторонний (или как там
называется). Т.е., его нельзя расшифровать, шифруется только в одну
сторону.
Т.е., в базе будут зашифрованные пароли, и толку от них мало, такая
защита никогда не помешает.
Йох-ха-нга,
Это приятно, потому и начал использовать md5.
Вот только столкнулся с проблемой: как восстановить пароль, если
пользователь его забыл? :(
Получается где-то он все-таки должен быть, а тогда вся безопасность
насмарку. На память каждого зарегистрировавшегося я не надеюсь.
Придется вернуться к обычному хранению или писать свой способ
шифрования/дешифрования.
P.S. Кто-нибудь знает как по-научному называется собака (@), а то не
солидно ее все время животным называть? :)
- ет
P.S. Кто-нибудь знает как по-научному называется собака (@), а то не
солидно ее все время животным называть? :)
библиотекa сайтостроительства http://www.i2r.ru/static/244/
-*Информационный канал Subscribe.Ru
Адрес подписки:
Написать в лист: mailto:inet.webbuild.webbuilding-list@subscribe.ru
Отписать: mailto:inet.webbuild.webbuilding--unsub@subscribe.ru
http://subscribe.ru/ http://subscribe.ru/feedback
Приветствую, Novikov.
20 августа 2004 г. в 23:30 вы говорили:
Novikov> Йох-ха-нга,
Novikov> Это приятно, потому и начал использовать md5.
Novikov> Вот только столкнулся с проблемой: как восстановить пароль, если
Novikov> пользователь его забыл? :(
Novikov> Получается где-то он все-таки должен быть, а тогда вся безопасность
Novikov> насмарку. На память каждого зарегистрировавшегося я не надеюсь.
Novikov> Придется вернуться к обычному хранению или писать свой способ
Novikov> шифрования/дешифрования.
Обычно выдается новый пароль. И юзерам урок - нечего терять.
Novikov> P.S. Кто-нибудь знает как по-научному называется собака (@), а то
не
Novikov> солидно ее все время животным называть? :)
По-разному. Но лучше говорить "собака" - все понимают. По-научному
звучит "ЭТ" (админ эт мэйл.ру). Еще называют ухом.
Если у тебя не 2 пользователя, а 200000? Как раздуется файл со временем!
Да и учить весь мир за свой счет - пустое и неблагодарное дело.
С уважением,
Андрей Попов / Andrew Popov; www.photoreporter.ru
Челябинск / Russia; pap***@p*****.ru; ICQ 19082675
библиотекa сайтостроительства http://www.i2r.ru/static/244/
-*Информационный канал Subscribe.Ru
Адрес подписки:
Написать в лист: mailto:inet.webbuild.webbuilding-list@subscribe.ru
Отписать: mailto:inet.webbuild.webbuilding--unsub@subscribe.ru
http://subscribe.ru/ http://subscribe.ru/feedback
Доброго времени суток, Andrew.
22 августа 2004 г. в 13:24 вы говорили:
Andrew> Если у тебя не 2 пользователя, а 200000? Как
Andrew> раздуется файл со временем!
Andrew> Да и учить весь мир за свой счет - пустое и неблагодарное дело.
Ну и что?
Пусть, длинна пароля и увеличивается раз в пять, зато вы имеете
простую и надежную защиту.
дело не в размере пароля, а в их количество. Скажем, на моем сайте, через
год будет 10 тясяч записей, а через два года 30 тысяч. Надо ли объяснять,
что это тормозит работу и осложняет администрирование.
библиотекa сайтостроительства http://www.i2r.ru/static/244/
-*Информационный канал Subscribe.Ru
Адрес подписки:
Написать в лист: mailto:inet.webbuild.webbuilding-list@subscribe.ru
Отписать: mailto:inet.webbuild.webbuilding--unsub@subscribe.ru
http://subscribe.ru/ http://subscribe.ru/feedback
Приветствую, Andrew.
23 августа 2004 г. в 22:28 вы говорили:
Andrew> дело не в размере пароля, а в их количество. Скажем, на моем сайте, через
Andrew> год будет 10 тясяч записей, а через два года 30 тысяч. Надо ли объяснять,
Andrew> что это тормозит работу и осложняет администрирование.
Функция md5 не затормозит кардинально работу сервера, т.к. пароль
провряется единожды.
Проблем с адмниистрированием тоже не вижу - в чем они заключаются?
Если, конечно, вы желаете постоянно лицезреть чужие пароли в
открытом виде, то это проблема.
Йох-ха-нга,
Novikov>> Придется вернуться к обычному хранению или писать свой способ
Novikov>> шифрования/дешифрования.
Это выход. Но моя система восстановления пароля очень проста.
Пользователь вводит в форму свой e-mail. Если пользователь с таким
адресом есть в базе, ему на этот адрес высылают его пароль.
При такой системе, злоумышленник, подобрав e-mail, может менять
пароль хоть каждый день. И хоть пароля он не получит, вреда принесет
немало. Можно добавить к форме логин, но и он не является большим
секретом.
Есть лучший метод восстановления пароля?
Novikov>> P.S. Кто-нибудь знает как по-научному называется собака (@), а то
Novikov>> не солидно ее все время животным называть? :)
Вот такая у меня получилась ошибка в научном стиле:
По-моему, "эт" выбивается из общего списка. Может есть еще варианты?
Приветствую, Novikov.
22 августа 2004 г. в 11:04 вы говорили:
Novikov> Это выход. Но моя система восстановления пароля очень проста.
Novikov> Пользователь вводит в форму свой e-mail. Если пользователь с таким
Novikov> адресом есть в базе, ему на этот адрес высылают его пароль.
Novikov> При такой системе, злоумышленник, подобрав e-mail, может менять
Novikov> пароль хоть каждый день. И хоть пароля он не получит, вреда принесет
Novikov> немало. Можно добавить к форме логин, но и он не является большим
Novikov> секретом.
Novikov> Есть лучший метод восстановления пароля?
Это практикуется повсеместно.
В конце-концов, можно добавить простое поле в базу и указывать в
нем, менять ли пароль юзеру при вводе емэйла. Таким образом это
избавит множество людей от того, что кто-то будет менять им пароль.
Йох-ха-нга,
На каких сайтах? Хотелось бы посмотреть их методы восстановления
пользователя при утере пароля.
Вряд ли это подойдет. В таком случае, если стоит галка пароль не
менять, то пароль не восстановить.
Доброго времени суток, Novikov.
24 августа 2004 г. в 13:21 вы говорили:
Novikov> На каких сайтах? Хотелось бы посмотреть их методы восстановления
Novikov> пользователя при утере пароля.
Novikov> Вряд ли это подойдет. В таком случае, если стоит галка пароль не
Novikov> менять, то пароль не восстановить.
Еще раз повторяю, что смысла в восстановлении пароля нет. Проще и
надежнее выдать новый. Есть шанс, что старый пароль мог попасть в
третие руки.
Йох-ха-нга,
Когда я говорю о восстановлении пароля, я говорю о восстановлении
пользователя. Менять пароль или нет - неважно, главное чтобы человек
снова смог авторизироваться. В твоем варианте, если есть галка
пароль менять нельзя, а юзер забыл пароль, то он не может убрать эту
галку. Соостветственно я не могу выслать ему новый пароль.
Короче, человек cначала должен доказать свою подлинность, а потом
получить новый пароль. А вот как доказывать, я и хочу спросить у
опытных людей, в частности у тебя, Юрий. :)
Единственный способ из личного опыта - секретные вопросы (по типу
Яндекса). В случае правильного ответа на вопрос (например "Девичья
фамилия матери?") пароль изменяется и информация отправляется на
е-mail. Секретный вопрос является секретной информацией, но не
забывается. Я другого выхода не вижу, но на практике такого нигде не
встречал (на Яндексе секр. вопрос приравнивается к паролю, что очень
беспечно).
Возможно ты имел ввиду ставить галку "не менять пароль" только в
случае его частой смены, но смена пароля даже единожды, или даже раз
в месяц плохо скажется на престиже фирмы.
Может я не совсем тебя понимаю, проще было бы посмотреть как
восстановление пользователя работает в реальности.
Приветствую, Novikov.
25 августа 2004 г. в 8:58 вы говорили:
Novikov> Йох-ха-нга,
Novikov> Когда я говорю о восстановлении пароля, я говорю о восстановлении
Novikov> пользователя. Менять пароль или нет - неважно, главное чтобы человек
Novikov> снова смог авторизироваться. В твоем варианте, если есть галка
Novikov> пароль менять нельзя, а юзер забыл пароль, то он не может убрать эту
Novikov> галку. Соостветственно я не могу выслать ему новый пароль.
Novikov> Короче, человек cначала должен доказать свою подлинность, а потом
Novikov> получить новый пароль. А вот как доказывать, я и хочу спросить у
Novikov> опытных людей, в частности у тебя, Юрий. :)
Novikov> Единственный способ из личного опыта - секретные вопросы (по типу
Novikov> Яндекса). В случае правильного ответа на вопрос (например "Девичья
Novikov> фамилия матери?") пароль изменяется и информация отправляется на
Novikov> е-mail. Секретный вопрос является секретной информацией, но не
Novikov> забывается. Я другого выхода не вижу, но на практике такого нигде
не
Novikov> встречал (на Яндексе секр. вопрос приравнивается к паролю, что очень
Novikov> беспечно).
Novikov> Возможно ты имел ввиду ставить галку "не менять пароль" только в
Novikov> случае его частой смены, но смена пароля даже единожды, или даже раз
Novikov> в месяц плохо скажется на престиже фирмы.
Novikov> Может я не совсем тебя понимаю, проще было бы посмотреть как
Novikov> восстановление пользователя работает в реальности.
Гляди, пользователь ведь помнит свой емэйл?:))))
При установленной галочке "не менять пароль" можно высылать на этот
емэйл письмо с временной ссылкой, которая актуаьлна одни сутки.
Ссылку формировать вроде
http://server.com/authorize?id=28042782047542
При заходе по ссылке пароль меняется и отсылается юзеру на емэйл.
Если ссылка не актуальна, об этом сообщается на странице, плюс
возможность еще раз выслать подобную ссылку.
Делается не сложно, зато работает автономно без вмешательства
админа.
Подходит?:)
Йох-ха-нга,
Подходит. Спасибо за помощь. Обязательно буду использовать эту
систему в дальнейшем программировании. Извини, что долго не отвечал
и еще раз спасибо. :)
Приветствую, Novikov.
5 сентября 2004 г. в 12:58 вы говорили:
Novikov> Йох-ха-нга,
Novikov> Подходит. Спасибо за помощь. Обязательно буду использовать эту
Novikov> систему в дальнейшем программировании. Извини, что долго не отвечал
Novikov> и еще раз спасибо. :)
Ну ты заходи, если что:))
Здравствуйте, Novikov.
Вы писали 19 августа 2004 г., 11:27:01:
В запросе полученный пароль надо тоже взять в кавычки
В результате:
$q = mysql_query("SELECT * FROM people WHERE login='$login' AND
pass='".md5($pass)."'") or die(mysql_error());
--
С уважением,
Алексей mailto:lex***@f*****.ru
библиотекa сайтостроительства http://www.i2r.ru/static/244/
-*Информационный канал Subscribe.Ru
Адрес подписки:
Написать в лист: mailto:inet.webbuild.webbuilding-list@subscribe.ru
Отписать: mailto:inet.webbuild.webbuilding--unsub@subscribe.ru
http://subscribe.ru/ http://subscribe.ru/feedback
Добрый день,
кто нибудь знает, что означает всплывающая в окошке надпись "Runtime error
204 at 00008CDE"? Она появляется всегда при выходе на определенные сайты и
никогда - при выходе на Рамблер, Яндекс и т.д.
С уважением,
Николай Челнак
nick@c*****.ru
ICQ 103550423
Москва
библиотекa сайтостроительства http://www.i2r.ru/static/244/
-*Информационный канал Subscribe.Ru
Адрес подписки:
Написать в лист: mailto:inet.webbuild.webbuilding-list@subscribe.ru
Отписать: mailto:inet.webbuild.webbuilding--unsub@subscribe.ru
http://subscribe.ru/ http://subscribe.ru/feedback
Он же тебе пишет. Возьми словарь и прочитай.
Гооворит, что нет такого стобца.
Original Message From: "Novikov" <497***@m*****.ru>
To: "inet.webbuild.webbuilding (3430946)" <pap***@c*****.ru>
Sent: Thursday, August 19, 2004 2:27 PM
библиотекa сайтостроительства http://www.i2r.ru/static/244/
-*Информационный канал Subscribe.Ru
Адрес подписки:
Написать в лист: mailto:inet.webbuild.webbuilding-list@subscribe.ru
Отписать: mailto:inet.webbuild.webbuilding--unsub@subscribe.ru
http://subscribe.ru/ http://subscribe.ru/feedback