Вопрос к администраторам сайта. Вернее два

cybercop писал:

Lico писал:Тогда давайте сделаем аутентификацию по usb-токену например.

Предложение хорошее, но малоосуществимое

Зато например вот это предложение в Post #194405 вполне осуществимо думаю

#194405 arseny1992 :
Такие предложения:

1. Переименовать строку MSN messenger в профиле в - Windows Live ID
2. Добавить на сайт поддержку Windows Live - Windows Live Developer Center, Windows Live SDK и интерактивный ISDK к вашим услугам.

cybercop, если у вас имеется ещё инфа по данному предложению, можете поддержать. На сайте о Microsoft логично было бы использовать данную систему аутентификации, которая к тому же и безопасна (или вы, как STA, это опровергнёте?). Да, проблема открытых паролей должна быть решена, для тех кто предпочтёт логиниться по старому, или тех у кого нет Windows Live ID, но..

#198581 cybercop :
Есть проблема - хранение паролей в открытом виде.

Простите меня, но где Вы видите хранение паролей в открытом виде? В базе хранится md5 хэш от пароля, по нему же и сверяется. Передача пароля происходит методом POST запроса, поэтому в логах прокси сервера он не останется. От трояна даже https шифрация не спасет. Остается только man-in-middle. Но, имхо, если уж используется эта атака, то тут и https шифрация не спасет, т.к. будут перехвачены пароли от других 100500 сайтов, и с 95% вероятностью один из этих паролей и подойдет к зевисте.

#198584 arseny1992 :
Хорошо, вот кто нибудь зайдёт под вашим логином, и сотрёт все темы во всех разделах которые вы ведёте. Думаю это никому не понравится.

Это сугубо индивидуальная проблема, решающаяся снятием всех прав, поливанием помоев на форуме, а также восстановлением тем из бекапа, которые, я надеюсь, теперь делаются часто.
Или же следует ввести удалением тем через с подтверждением через "звонок админу"?

Количество мер для безопасности и ее сложность должны всегда отталкиваться от ценности защищаемой информации.

Lico писал:где Вы видите хранение паролей в открытом виде? В базе хранится md5 хэш от пароля, по нему же и сверяется. Передача пароля происходит методом POST запроса, поэтому в логах прокси сервера он не останется.

IE9? Выйдите с сайта, затем перейдите на страницу входа. Нажмите F12, перейдите на вкладку Network окна F12 Developer Tools. Нажмите Start Capturing. Войдите на сайт, и пока не сработало перенаправление со страницы сообщения #104 сайта, нажмите Export Capturing Traffic левее Stop Capturing, потом остановите захват. Проанализируйте получившийся XML-файл на предмет открытого наличия в нём вашего пароля.

Найдёте вот такое:

application/x-www-form-urlencoded

rusername=user&rpassword=password

и

msg

104



redirect

redirhash=

rusername=user&rpassword=password&x=GUEST

Lico писал:сделать хэширование пароля на клиенте и пересылку можно

arseny1992, хоспади, как в ИЕ всё сложно. файрбаг:

POST /users.php?m=auth&a=check&redirect=Lw== HTTP/1.1

Host: www.thevista.ru

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: ru-ru,ru;q=0.8,en-us;q=0.5,en;q=0.3

Accept-Encoding: gzip,deflate

Accept-Charset: windows-1251,utf-8;q=0.7,*;q=0.7

Keep-Alive: 115

Connection: keep-alive

Referer: users.php?m=auth&redirect=Lw==

Cookie: __utma=...

#198591 arseny1992 :
[сделать хэширование пароля на клиенте и пересылку можно

Ну и что, перехвачу я этот хэш и при авторизации буду вместо пароля подставлять хэш и также спокойно авторизовываться. Единственный вариант - https, там трафик расшифрован только на клиенте и на сервере. Хотя в новом Forefront TMG реализована хитрая "фича", которая, скажем так, "расшифровывает" этот трафик на шлюзе.

Вам показать какое письмо вы отправляете пользователю после регистрации? Там (в письме) пароль и логин открытым текстом. Я же говорю что не стоит его так хранить. Ведь раз письмо формируется автоматом, значит откуда-то пароль берется, верно?

cybercop, он и не хранится.
На этапе регистрации:

$password=$_POST['password'];

mail($_POST['mail'],'welcome','welcome...'.$password.'blabla');

$password=md5($password);

mysql_query('insert into users values (...,'.$password.',...');

На этапе авторизации:

$login=$_POST['login'];

$password=md5($_POST['password']);

$sql=mysql_query('select * from users where login="'.mysql_real_escape_string($login).'" and password="'.mysql_real_escape_string($password).'"');

if(mysql_num_rows($sql)>0) echo 'Welcome, user';

else echo 'Unknown user or password';

Код 99,9% сайтов аналогичен этому концепту.

Lico, при всем уважении к вам всем. Мы с вами говорим о разных вещах.
1. Я не знаю как он хранится. Верю вам на слово.
2. Я зарегистрирован сегодня. В ответ на регистрацию мне пришло письмо в котором открытым текстом указан мой пароль и логин.
Обратите внимание на то, о чем я вам писал вначале

cybercop писал:1. Пересылать пароли в открытом виде как минимум не хорошо. Вам это никто не говорил?

Ведь нигде я не сказал о том как оно у вас хранится, верно? Я обратил ваше внимание на то что ПЕРЕСЫЛАТЬ ПАРОЛЬ ОТКРЫТЫМ ТЕКСТОМ НЕЛЬЗЯ
А как хранится - вам виднее. Если хранится хеш - хорошо. В таком случае вам же проще - удалите пересылку пароля открытым текстом и все. Более того, почему у вас в тексте пароля должны быть только (цитирую) БУКВЫ, ЦИФРЫ, ЗНАК ПОДЧЕРКИВАНИЯ. А другие символы?
Поймите правильно, я хочу чтобы было так как нужно. Если вы считаете что на данном этапе развития портала этим (другими символами) можно пренебречь, то это ваше право.
Однако повторю еще раз. пересылать пароли открытым текстом нельзя!
Попробовал восстановить пароль. Здесь все правильно. Новый пароль (установленный взамен утраченного) не присылается совсем. Уж лучше так