Авторизация по файлу

⚠️ Bymas - Форум разработчиков
Милый пушистый сайт !!!!
Печать RSS
586
I
iNeeXT 05.05.2012 / 01:24
Пришелец
0
30. ramzes,

самое главное тут:
$prov = $sql->query("SELECT id, password, verify FROM users WHERE verify = '".md5(md5_file($_FILES['verify']['tmp_name']))."';")->fetch_assoc();

это ничем не отличается от того, если в ключ в содержимом файла находится

я себе так это представляю

Добавлено через 06:15 сек.
ramzes (4 Мая 2012 / 23:19)
29. iNeeXT, ты уверен что понял мой код?;)
я уверен что нетsmile
ты в бд хранишь содержимое файла (по 1 для каждого юзера) по факту содержимое этого файла - тот же пароль, только еще и не шифрованный.
кстати я уже сейчас вижу уязвимость в твоем подходе (баг влекущий ненадежность всей системы авторизации)
				$extension = array('key');
				if (!in_array(pathinfo($file, PATHINFO_EXTENSION), $extension))
еще момент.
зачем это?
пусть юзер хранит файл как ему нравится. расширение роли не играет файл все равно не наследует расширение после аплоада

почему не шифрованный?
Изменил: iNeeXT (05.05.2012 / 01:25)
ramzes 05.05.2012 / 01:41 Автор
2000 лет д.н.э.
0
31. iNeeXT,
это ничем не отличается от того, если в ключ в содержимом файла находится
это принципиально отличается от содержимого файла, ты не правильно представляешь.
почему не шифрованный?
потому что в файле у тебя он точно такой же как и бд

Добавлено через 00:47 сек.
не сутьsmile тема не о сравнении. решение я уже нашел
I
iNeeXT 05.05.2012 / 01:49
Пришелец
0
хм. а у тебя не так?
ramzes 05.05.2012 / 01:58 Автор
2000 лет д.н.э.
0
33. iNeeXT, нет конечно. у тебя же код перед глазамиsmile
у меня вообще пароль ни как не относится к файлу
I
iNeeXT 05.05.2012 / 02:39
Пришелец
0
34. ramzes, а как происходит авторизация через `verify` ?
ктулху 05.05.2012 / 10:44
Ктулху
0
Лучше уж по сертификатам... чтоб импортировал в браузер и забыл (пример light.webmoney.ru).
ramzes 05.05.2012 / 15:55 Автор
2000 лет д.н.э.
0
36. ShiftBHT, пытался погуглить, ни чего не нашел((
N
Neformat 05.05.2012 / 20:01
Голубые штаны
0
ramzes (4 Мая 2012 / 20:46)
8. MrPink, проблема в том что это всего лишь мд5 хеш-сумма файла.
можно подобрать.
интересует, легко ли сгенерить файл с нужной хеш-суммой?

Добавлено через 02:53 сек.
ид надо запоминать.
ид можно просто перебором подобрать,.
- не проще, его так же надо хранить где то, его надо открыть, скопировать из него, вставить.(или же запоминать, но тогда смысл вообще теряется, запоминать можно и пароли, но идея как раз в том что бы ни чего не запоминать)
файл просто выбрал и все.

Да я не к тому, обывателю на много сложнее выполнить какие то манипуляции с файлом (сохранить или аплоадить через браузер) нежели записать и ввести пароль/ID/хэш или еще чего . Да и в плане безопасности, на счет генерации файла с заданным хэшем не скажу точно, а строку сгенерировать по заданному хэшу - это реализуется.

А вот в качестве дополнительного способа авторизации - вполне интересная мысль. Вот только для пущей безопасности в базе нужно хранить ни хэш файла этого а к примеру посоленных хэш от хэша файла.
ramzes 05.05.2012 / 23:05 Автор
2000 лет д.н.э.
0
38. Neformat, это и есть дополнительный тип авторизации.
у меня сейчас 6 тестовых акков, и я вам точно могу сказать, файлы гораздо удобнее и быстрееsmile
Вот на счет соли я и гадал.
Брать то ее не откуда.
Сейчас использую хеш из хеш-суммв+вес файла
N
Neformat 06.05.2012 / 11:11
Голубые штаны
0
39. ramzes, да хэш(хеш(файл+соль)) вместо хеш(файл) нужно только на случай кражи БД, а будет там соль одна для всех или уникальная - разницы не вижу
Стикеры / Теги / Правила / Топ тем / Топ постов / Поиск