forum.lissyara.su

есть таблица акканутов! многие программы зашифровывают пароли по разному, proftp и постфик!
есть веб интрфейс который записывает в таблицу данные из формы, формирует все в ней, дальше запускаеться скрипт который смотрит изменния или новые аккануты и заносит данные в программы, как сделать нормально чтобы пароли не узнали??

если proftp будет передавать локально пароли mysql серверу из локалхоста, его можно узнать?

аккаунты пользователей хэширую md5
md5 говорят, можно разшифровать, я нашел в гугле много вариантов...

достаточно вот такого при запросе, чтобы инъекции не было в mysql! скорее всего нужно чтобы не ломанули mysql, ну и пароли тоже... есть смысл mysql сервер или клиент поставить в jail? или поставить клиент только?

еще появилась идея смотреть в сторону openldap, но времени займет много...

как тут сделать чтобы свинарник не изобретать??

еще хотел спросить, как деньги передвать и хранить очень безопасно, никто не видел может статью?

если работа с деньгами, то https обязательно, никакого http!

ескейп mysql запросов нужно делать
что бы вам иньекцию не сделали = ))

ProFTP писал(а):скорее всего нужно чтобы не ломанули mysql, ну и пароли тоже... есть смысл mysql сервер или клиент поставить в jail? или поставить клиент только?

нет, поскольку она и так должна висеть на локалхосте, это своего рода тоже jail.

Для того, чтобы не ломанули mysql достаточно грамотно составлять запросы и экранировать, экранировать и экранировать...

ProFTP писал(а): $sth->execute("$sd");

во-первых, это будет работать только с prepare, во-вторых удручают кавычки, это говорит о недостаточном уровне понимания перла, в третьих без знания технологий инъекций и приёмов взлома безопасный проект не написать. Помимо инъекций есть ещё XSS с подменой формы логирования.

ProFTP писал(а): как сделать нормально чтобы пароли не узнали?

исключить инъекции в sql, html, perl. Не знаю почему, но любители перла, почему-то обыно нелюбители следить за переменными, особенно при выводе в html, это ошибка за которую можно поплатиться. Если опыта мало и сервис закрытый, то сажай за апачевскую авторизацию, это исключит нежелательных лиц со стороны вебмодры на 99%, далее уже можешь свою админку пихать. И вести лог ошибок с указанием времени и адреса клиента, взлом всегда отчётливо видно по таким логам.

мне еще сказали что лучше сгенерировать пароль сиволами [a-zA-Z0-9] в 10 строк, и в хэш 24 бит или 32бит, тогда не расшифруют, хотя в гугле поискал и там форумчане расшифровывали/переберали хэши в которых сложные пароли 5-7 символов!!

тут главное чтобы в базу не зашли, а пароль можно и не шифровать (условно)! Хэш все равно наверное любой разшируют, даже если запустить на 32 процессорном компютере засшифровщик md5 inside

http://forum.xakep.ru/m_1024319/tm.htm
http://passcracking.ru/index.php


тут лучше всего openldap, но я уже почти закончил для mysql прейдеться потом переделывать, а то уже писать надоело

ProFTP писал(а):сложные пароли 5-7 символов!!

давно они сложными стали?

всмысле?

вот так можно разшифровать! парjль допустим: iii0000

если на много усложненныйто, срадобает тайм-аут в скрипте.... вообще-то расшифровать можно все равно наверное