Re: 1.6.3 - Security release
On Saturday 20 August 2005 16:56, Grzegorz Stanislawski wrote:
Marcin Król napisał(a):
Grzegorz Stanislawski napisał(a):
Zaleca się przeglądnięcie plików backupu i usunięcie z nich tych danych.
Jeszcze jedna okazja do przypomnienia ze sesje w bazie sa porabanym pomyslem i do zapelowania o powrot do normalnosci.
A ogórki konserwowe są smaczniejsze.
ja wole kiszone ;-)
Ja wole pić wodę :P
Ps. Podasz jakiś argument za?
Sesje nie skuza do tego zeby przechowywac tam tylko dane o aktualnej skorce i hash potwierdzajacy poprewne zalogowanie.
W lmsie w sesji powinna byc lista klientow i komputerow - obie bardzo czesto wykorzystwane w formularzach. kompletny obiekt reprezentujacy dane odbenie zalogowanego uzykownika, wyniki kwerend pokazujacych statystyki i pare innych zeczy. powinny byc ale ich trzymanie w sesjach nie wnosi nic pozytywnego bo dostanie tych danych z sesji jest prawie tak samo kosztowne jak uzyskanie ich normalna droga.
Wyslalbym wam patcha, ale nauczony tym jak Alec traktuje podsylane patche powstrzymam sie od tego, zwlaszcza ze musialbym troche popracowac nad tym zeby cofnac sie do kompatybilnosci z obecnym lmesem.
To wszystko racja, oprocz tego ze hasła plain tekstem nie powinny w ogole być w bazie trzymane. Co do cashowania, to jesli trzymasz dane skeszowane w sesji, to powodzenia. Wiecej czasu zajmuje php zaladowanie tych danych, niz bazie wykonanie polecenia. Pameietaj ze baza najlepiej wie jak cacheowac swoje dane. I tej wersji sie bede trzymac. Wiec jesli masz podeslac taki patch, to zgodze sie z ALECem ze go nie chcemy :-) Szczegolnie jesli wpadlbys na pomysl trzymania danych uzyszkodnikow w bazie.... no comment.
IOW, sesje mozna trzymac w bazie, tylko rozsadnie (bez takich kwiatkow jak plain tekst hasla). Jesli juz cos innego potrzebuje takich hasel, tzn ze jest zle napisane, bo tego wymaga, po prostu. Autentyfikacje mozna robic w jednym miejscu, a nie w 20tu. To tyle moim prywatnym zdaniem.
uczestnicy (1)
-
Tommy Vercetti