Авторизация по файлу

30. ramzes,

самое главное тут:
$prov = $sql->query("SELECT id, password, verify FROM users WHERE verify = '".md5(md5_file($_FILES['verify']['tmp_name']))."';")->fetch_assoc();

это ничем не отличается от того, если в ключ в содержимом файла находится

я себе так это представляю

Добавлено через 06:15 сек.

ramzes (4 Мая 2012 / 23:19)
29. iNeeXT, ты уверен что понял мой код?;)
я уверен что нет
ты в бд хранишь содержимое файла (по 1 для каждого юзера) по факту содержимое этого файла - тот же пароль, только еще и не шифрованный.
кстати я уже сейчас вижу уязвимость в твоем подходе (баг влекущий ненадежность всей системы авторизации)

				$extension = array('key');
				if (!in_array(pathinfo($file, PATHINFO_EXTENSION), $extension))

еще момент.
зачем это?
пусть юзер хранит файл как ему нравится. расширение роли не играет файл все равно не наследует расширение после аплоада

почему не шифрованный?

31. iNeeXT,

это ничем не отличается от того, если в ключ в содержимом файла находится

это принципиально отличается от содержимого файла, ты не правильно представляешь.

почему не шифрованный?

потому что в файле у тебя он точно такой же как и бд

Добавлено через 00:47 сек.
не суть тема не о сравнении. решение я уже нашел

хм. а у тебя не так?

33. iNeeXT, нет конечно. у тебя же код перед глазами
у меня вообще пароль ни как не относится к файлу

34. ramzes, а как происходит авторизация через `verify` ?

Лучше уж по сертификатам... чтоб импортировал в браузер и забыл (пример light.webmoney.ru).

36. ShiftBHT, пытался погуглить, ни чего не нашел((

ramzes (4 Мая 2012 / 20:46)
8. MrPink, проблема в том что это всего лишь мд5 хеш-сумма файла.
можно подобрать.
интересует, легко ли сгенерить файл с нужной хеш-суммой?

Добавлено через 02:53 сек.
ид надо запоминать.
ид можно просто перебором подобрать,.
- не проще, его так же надо хранить где то, его надо открыть, скопировать из него, вставить.(или же запоминать, но тогда смысл вообще теряется, запоминать можно и пароли, но идея как раз в том что бы ни чего не запоминать)
файл просто выбрал и все.

Да я не к тому, обывателю на много сложнее выполнить какие то манипуляции с файлом (сохранить или аплоадить через браузер) нежели записать и ввести пароль/ID/хэш или еще чего . Да и в плане безопасности, на счет генерации файла с заданным хэшем не скажу точно, а строку сгенерировать по заданному хэшу - это реализуется.

А вот в качестве дополнительного способа авторизации - вполне интересная мысль. Вот только для пущей безопасности в базе нужно хранить ни хэш файла этого а к примеру посоленных хэш от хэша файла.

38. Neformat, это и есть дополнительный тип авторизации.
у меня сейчас 6 тестовых акков, и я вам точно могу сказать, файлы гораздо удобнее и быстрее
Вот на счет соли я и гадал.
Брать то ее не откуда.
Сейчас использую хеш из хеш-суммв+вес файла

39. ramzes, да хэш(хеш(файл+соль)) вместо хеш(файл) нужно только на случай кражи БД, а будет там соль одна для всех или уникальная - разницы не вижу