phpRS 2.8.x : phpRS Fórum
Toto fórum je určené výhradně k diskuzi o verzích phpRS v2.8.x.
phpRS - redakční a informační systém
Jít na stránku:  Předchozí1234
Aktuální stránka:4 z 4
Re: Ověřování mailu při registraci čtenáře ve v.2.8.1 - vyřešeno
Zaslán uživatelem/kou: Lonanek (IP adresa zaznamenána)
Datum: 2012-01-16, 18:09


Re: Ověřování mailu při registraci čtenáře ve v.2.8.1 - vyřešeno
Zaslán uživatelem/kou: Lonanek (IP adresa zaznamenána)
Datum: 2012-01-16, 18:21

Citace:
roman napsal/a:
-------------------------------------------------------
> Ahoj,
> verzi 1.3.1.
> Už jsem na tom přemýšlel, ale nevím jak to
> přeposílání udělat:(


Nejlépe dotaz do správného topicu a pak se bude řešit.
Máš také správně ošetřeno KFórum proti útokům?


* Klub kuželkářů Zálabák, Hankova 62, 503 03 Smiřice (Endora) * X X * Stránky ČZS ZO Třešňovka2 * X X * Cvičný phpRS web (WZ) * X X * Testovací phpRS web (WZ) *
* cvičná verze phpRS v 2.8.2 * X X * testovací web CMS *

Re: Ověřování mailu při registraci čtenáře ve v.2.8.1 - vyřešeno
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2012-01-16, 18:22

No v tom prípade je to bezpečnostná slabina. Síce nie kritická, ale je. Dôvod je ten, že to, čo je v GET vidí ktokoľvek medzi PC užívateľa a serverom. A md5 hashu sa dá pomerne ľahko prelomiť – buď slovníkovým útokom, alebo pomcou rainbow tables. Takto môže útočník získať heslo k účtu. Síce o nič nejde, účet čitateľa v phpRS neobsahuje nič cenné, skôr mi ide o princíp. Aj odtlačok hashu je potrebné chrániť. Pozor na to. Osobne to riešim podobne, ale so zvlášť stĺpcom "hash" v trabuľke readers.

V tomto prípade, ak nechceš meniť struktúru tabuľky, vytvor ten kód, ktorý posielaš tak, že hash z tabuľky readers zahashujes viacnásobne. Napríkald: $kod = md5(sha1($hash_z_db."tajna_fraza"))); nevystavíš tak svetu zvytočne odtlačok hesla a účel to splní rovnako.

Re: Ověřování mailu při registraci čtenáře ve v.2.8.1 - vyřešeno
Zaslán uživatelem/kou: Lonanek (IP adresa zaznamenána)
Datum: 2012-01-16, 18:49

Obecně je to chyba - souhlas - IMHO pro tyto účely by plně postačovalo vytvoření md5 z loginu (přezdívky), jak jsem popisoval, ta je také jedinečná a navíc nelze měnit uživatelem (tedy je na věky).

Pokud ji někdo prolomí, nic se nestane, jde jen o aktivaci účtu tím, že se ověří zda e-mail existuje.

OT.
jaký máš názor na [http://www.phprs.net/forum/read.php?4,37963]
a jak daleko je testování "nové" verze???



* Klub kuželkářů Zálabák, Hankova 62, 503 03 Smiřice (Endora) * X X * Stránky ČZS ZO Třešňovka2 * X X * Cvičný phpRS web (WZ) * X X * Testovací phpRS web (WZ) *
* cvičná verze phpRS v 2.8.2 * X X * testovací web CMS *

Re: Ověřování mailu při registraci čtenáře ve v.2.8.1 - vyřešeno
Zaslán uživatelem/kou: pa3k (IP adresa zaznamenána)
Datum: 2012-01-16, 18:57

Lonanek napísal/a:
-------------------------------------------------------
> Pokud ji někdo prolomí, nic se nestane, jde jen o
> aktivaci účtu tím, že se ověří zda e-mail
> existuje.

Tu zas existuje možnosť overenie obísť. Za predpokladu, že poznáš zdojové kódy, je možné vykonať registráciu bez overenia emailu - zas by to zneužil nejaký spamer.


> OT.
> jaký máš názor na

Nemuselo by to byť komplikované, no neviem, kto by to napísal :-)

> a jak daleko je testování "nové" verze???

Je to pripravené už dlhšie, no nemá to kto zavesiť :-/ Práve som to riešil, zverejnenie betaverzie je dúfam otázka dní.




Re: Ověřování mailu při registraci čtenáře ve v.2.8.1 - vyřešeno
Zaslán uživatelem/kou: Lonanek (IP adresa zaznamenána)
Datum: 2012-01-16, 19:03

Ověření se dá obejít téměř vždy. Tady je to něco jako "hračka" navíc => captcha + ověření.

Ale spíše jsem to řešil z bezpečnostního hlediska - sql injection - a pokud by to měl někdo obcházet, netuším jaký by to mělo velký smysl. Je to fakt jen ověření, že zadaná adresa existuje - v průběhu si ji čtenář stejně může měnit!!!

OT.
více na SZ ať tady zbytečně nespamujeme...

EDIT:
Citace:
... Je to pripravené už dlhšie, no nemá to kto zavesiť :-/ Práve som to riešil, zverejnenie betaverzie je dúfam otázka dní. ...

Mno spíš otázka měsíců... 8-)


* Klub kuželkářů Zálabák, Hankova 62, 503 03 Smiřice (Endora) * X X * Stránky ČZS ZO Třešňovka2 * X X * Cvičný phpRS web (WZ) * X X * Testovací phpRS web (WZ) *
* cvičná verze phpRS v 2.8.2 * X X * testovací web CMS *




Celkem upraveno 1×. Poslední úprava Lonanek v 29.01.2012 14:10.

Jít na stránku:  Předchozí1234
Aktuální stránka:4 z 4


Lituji, ale pouze registrovaní uživatelé mohou zasílat příspěvky do této sekce.
This forum powered by Phorum and designed by STaNBoSS.