بالا بردن امنیت پسورد و فرم در php

**neopersia** · 26-04-2011, 14:22

نوشته شده توسط sobhdami [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

اگه یه عدد تصادفی کنارش اضافه بشه دیگه نمیتونه دیکدش بکنه

شما یه کم در مورد سالت کردن پسورد سرچ کنید متوجه میشید این دو تا پستتون چطوری تکرار سه تا پست توی همین تاپیک بوده!

***

تاپیک هم منتقل شد به امنیت وب. (این شاخه ها رو که برای دکوری ایجاد نکردیم!

)

**Mr Mohabat** · 11-07-2011, 12:51

یه سوال خیلی خیلی ابتدایی :
یه حکر چطوری می تونه اطلاعات دیتا بیس را بخونه که ما باید اطلاعات را هش کنیم؟
نکنه منظورتون اینه که اگه بتونه با یه کانکشن به دیتا بس وصل بشه و بخواد اطلاعات را select کنه و بخونه ....آره ؟

**mohrd** · 11-07-2011, 16:20

ممکنه به هر دلیلی (مثل لو رفتن پسورد یوزر دیتابیس) اطلاعات به دست هکر بیفته. و اگر پسورد ها هش نشده باشند، هکر به راحتی پسورد کاربران رو پیدا می کنه (چه شود اگر کاربر از یک پسورد در چندین سایت استفاده کنه)

**m.m.m5651** · 11-08-2011, 17:51

اونوقت وقتی ما پسورد رو با یه عدد رندوم crypt کنیم هر دفعه عدد یه چیز در میاد و نمیشه دیگه استفاده کرد ازش که!

**Mr Mohabat** · 11-08-2011, 18:04

ممکنه به هر دلیلی (مثل لو رفتن پسورد یوزر دیتابیس) اطلاعات به دست هکر بیفته. و اگر پسورد ها هش نشده باشند، هکر به راحتی پسورد کاربران رو پیدا می کنه (چه شود اگر کاربر از یک پسورد در چندین سایت استفاده کنه)

خوب با این وجود اگه اطلاعات دیتا رو بدونه دیگه نیاز نیست که بره هش ها رو بر گردونه
راحت میاد یکی از دو کار زبر رو انجام میده
1- به جای ایمیل کاربرا ایمیل خودش رو می زاره و یعد از طریق سایت قسمت فراموشی پسورد رو میزنه
اطلاعات کامل میاد تو ایمیلش
2- یه یوزر از طریق سایت می سازه مثلا با نام X و پسورد مشخص وقتی اطلاعات تو دیتا قرار گرفت
از از خارج سایت میاد پسورد یوزر خودش رو به هر کاربری که خواست جای پسوردش میزاره و از اونجایی که
پسوردش هش شده هست راحت سیستم سایت قبولش می کنه

حالا به راحتی آب خوردن می تونه هر بلایی سر دیتا و یوزراش بیاره به راحتی یک آب خوردن
واسه این کار هم راهی هست که جلوش رو بگیره ؟

**mohrd** · 11-08-2011, 18:27

نوشته شده توسط Mr Mohabat [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ]

خوب با این وجود اگه اطلاعات دیتا رو بدونه دیگه نیاز نیست که بره هش ها رو بر گردونه
راحت میاد یکی از دو کار زبر رو انجام میده
1- به جای ایمیل کاربرا ایمیل خودش رو می زاره و یعد از طریق سایت قسمت فراموشی پسورد رو میزنه
اطلاعات کامل میاد تو ایمیلش
2- یه یوزر از طریق سایت می سازه مثلا با نام X و پسورد مشخص وقتی اطلاعات تو دیتا قرار گرفت
از از خارج سایت میاد پسورد یوزر خودش رو به هر کاربری که خواست جای پسوردش میزاره و از اونجایی که
پسوردش هش شده هست راحت سیستم سایت قبولش می کنه

حالا به راحتی آب خوردن می تونه هر بلایی سر دیتا و یوزراش بیاره به راحتی یک آب خوردن
واسه این کار هم راهی هست که جلوش رو بگیره ؟

بله. این روش ها هم ممکن هست.
اما فرض کنید شما با همین یوزر (Mr Mohabat) و ایمیلتون (مثلا [ برای مشاهده لینک ، با نام کاربری خود وارد شوید یا ثبت نام کنید ] ) و پسورد یکسان در چند سایت عضو هستید.
حالا یکی از این سایت ها که امنیت پایینی داره -- میشه (و یا دیتابیس میفته دست طرف) و هکر در دیتابیس یوزر نیم شما و یا ایمیل شما رو سرچ میکنه. و پسورد رو به دست میاره. حالا اگر این پسورد به درستی hash نشده باشه، کاربر کلمه ی عبور دقیق شما رو به دست میاره و در سایر سایت ها (که از امنیت بالایی هم برخوردارن) و شما با این مشخصات در اون عضو هستید به جای شما لاگین میکنه!

ضمنا ممکنه بعضی سیستم ها (دست نویس ها البته!) فراموشی رمز عبور نداشته باشند ....

**m.m.m5651** · 11-08-2011, 19:03

یکی از روش های دیگر -- اینه:
اگر طرف از htmlentities استفاده نکرده باشه مثلا تو یه تاپیک یا توی یه فیدبک یا تماس با ما یه باگ میندازه که توی این لینک هست:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

من خودم میتونم به راحتی (که هیچی از -- بلد نیستم) یه سایت مثلا این سایت رو -- کنم:

کد:

برای مشاهده محتوا ، لطفا وارد شوید یا ثبت نام کنید

نام تاپيک: بالا بردن امنیت پسورد و فرم در php

اختيارات تاپيک

این کاربر از neopersia بخاطر این مطلب مفید تشکر کرده است

این کاربر از mohrd بخاطر این مطلب مفید تشکر کرده است

این کاربر از mohrd بخاطر این مطلب مفید تشکر کرده است

Thread Information

Users Browsing this Thread

User Tag List

قوانين ايجاد تاپيک در انجمن