Tommy Vercetti napisał(a):
To wszystko racja, oprocz tego ze hasła plain tekstem nie powinny w ogole być w bazie trzymane. Co do cashowania, to jesli trzymasz dane skeszowane w
Mylisz sie. Wiele bardzo nowoczesnych i przez wszystkich uzywanych rzeczy wymaga hasla zapisanego cleartextem. na przyklad autentykacja przez CRAM-MD5 (pozostale wygooglaj sobie w necie jako zadanie domowe, moze sie nauczysz czegos przy okazji)
sesji, to powodzenia. Wiecej czasu zajmuje php zaladowanie tych danych, niz bazie wykonanie polecenia. Pameietaj ze baza najlepiej wie jak cacheowac swoje dane. I tej wersji sie bede trzymac. Wiec jesli masz podeslac taki
Swiat jest pelen ludzi ktorzy z uporem godnym lepszej sprawy lubia sie trzymac blednych teorii. i to od tyciecy lat.
patch, to zgodze sie z ALECem ze go nie chcemy :-) Szczegolnie jesli wpadlbys na pomysl trzymania danych uzyszkodnikow w bazie.... no comment.
W moim "lmsie" userzy loguja sie tak samo jak admini, sa tez w jednej tabeli umieszczeni. Jesli uwazasz to za idiotycznie to przygladnij sie swojemu linuxowi a w szczegolnosci zagladnij do /etc/passwd. Trzymam w bazie dane userow, sa to np kontakty z jabera, ustawienia webmaila i pare innych rzeczy.
IOW, sesje mozna trzymac w bazie, tylko rozsadnie (bez takich kwiatkow jak plain tekst hasla). Jesli juz cos innego potrzebuje takich hasel, tzn ze jest zle napisane, bo tego wymaga, po prostu. Autentyfikacje mozna robic w jednym miejscu, a nie w 20tu.
Patrz wyzej. O jakich 20 miejscach mowisz bo nie rozumiem?
Smiac mi sie chce z tego calego Security Release bo przechowywanie golych hasel w bezpiecznym miejscu nie jest problemem. W koncu jedynym userem majacym dostep do bazy moze byc (i powinien) specjalny user nazwijmy go lms. I o ile frontend strony nie udostepnia mechanizmu pozwalajacego na swobodne tworzenie kwerend, nikt do tych danych nie dotrze. Idiotyczne jest natomiast to ze w tabeli users hasla sa kodowane a w tabeli sesji nie. A mi chodzi tylko o to co napisalem w pierwszym mailu: skoro temat sesji wrocil na tapete to jest to dobra okazja zeby zwocic uwage na to co pisalem w pierwszym mailu.
Zawsze jak czytam takie posty przpomina mi sie historia pewnego admina ktory uslyszawszy o paru exploitach na setuidowane programy zrobil sobie find / -perm +s -exec chown u-s {} ; i pozegnal sie z systemem na pare dni a potem z praca.
Grzegorz Stanislawski
uczestnicy (1)
-
Grzegorz Stanislawski