Tommy Vercetti napisał(a):
> To wszystko racja, oprocz tego ze hasła plain tekstem nie powinny w ogole być
> w bazie trzymane. Co do cashowania, to jesli trzymasz dane skeszowane w
Mylisz sie. Wiele bardzo nowoczesnych i przez wszystkich uzywanych
rzeczy wymaga hasla zapisanego cleartextem. na przyklad autentykacja
przez CRAM-MD5 (pozostale wygooglaj sobie w necie jako zadanie domowe,
moze sie nauczysz czegos przy okazji)
> sesji, to powodzenia. Wiecej czasu zajmuje php zaladowanie tych danych, niz
> bazie wykonanie polecenia. Pameietaj ze baza najlepiej wie jak cacheowac
> swoje dane. I tej wersji sie bede trzymac. Wiec jesli masz podeslac taki
Swiat jest pelen ludzi ktorzy z uporem godnym lepszej sprawy lubia sie
trzymac blednych teorii. i to od tyciecy lat.
> patch, to zgodze sie z ALECem ze go nie chcemy :-) Szczegolnie jesli wpadlbys
> na pomysl trzymania danych uzyszkodnikow w bazie.... no comment.
>
W moim "lmsie" userzy loguja sie tak samo jak admini, sa tez w jednej
tabeli umieszczeni. Jesli uwazasz to za idiotycznie to przygladnij sie
swojemu linuxowi a w szczegolnosci zagladnij do /etc/passwd.
Trzymam w bazie dane userow, sa to np kontakty z jabera, ustawienia
webmaila i pare innych rzeczy.
> IOW, sesje mozna trzymac w bazie, tylko rozsadnie (bez takich kwiatkow jak
> plain tekst hasla). Jesli juz cos innego potrzebuje takich hasel, tzn ze jest
> zle napisane, bo tego wymaga, po prostu. Autentyfikacje mozna robic w jednym
> miejscu, a nie w 20tu.
Patrz wyzej.
O jakich 20 miejscach mowisz bo nie rozumiem?
Smiac mi sie chce z tego calego Security Release bo przechowywanie
golych hasel w bezpiecznym miejscu nie jest problemem. W koncu jedynym
userem majacym dostep do bazy moze byc (i powinien) specjalny user
nazwijmy go lms. I o ile frontend strony nie udostepnia mechanizmu
pozwalajacego na swobodne tworzenie kwerend, nikt do tych danych nie
dotrze. Idiotyczne jest natomiast to ze w tabeli users hasla sa kodowane
a w tabeli sesji nie.
A mi chodzi tylko o to co napisalem w pierwszym mailu: skoro temat
sesji wrocil na tapete to jest to dobra okazja zeby zwocic uwage na to
co pisalem w pierwszym mailu.
Zawsze jak czytam takie posty przpomina mi sie historia pewnego admina
ktory uslyszawszy o paru exploitach na setuidowane programy zrobil sobie
find / -perm +s -exec chown u-s {} \;
i pozegnal sie z systemem na pare dni a potem z praca.
Grzegorz Stanislawski
