Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Logowanie a integracja z passwd - bezpieczeństwo, Da się zrobić, to wiem, ale ...
shima
post
Post #1





Grupa: Zarejestrowani
Postów: 245
Pomógł: 0
Dołączył: 9.09.2002

Ostrzeżenie: (0%)
-----


Czy takie rozwiązanie jest bezpieczne? A jeżeli nie, to czemu, jak zwiększyć bezpieczeństwo?
Co sądzicie o opcji updatowania haseł(zahaszowanych) w bazie ew. zewnątrznym pliku przy użyciu crona?
A może jakieś znacznie lepsze pomysły?
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
hawk
post
Post #2





Grupa: Zarejestrowani
Postów: 521
Pomógł: 0
Dołączył: 3.11.2003
Skąd: 3city

Ostrzeżenie: (0%)
-----


@shima: Gdzie napisałeś "wszystkim"?
Cytat
edno hasło wystarczy i już ono jest w passwd(shadow) - czy korzystanie z tego pliku (wymaga nadania skryptowi uprawnień, to jasne) jest bezpieczne. Jeżeli nie, to co mi ew. grozi i jak się przed tym ustrzec

Chociaż dopiero później zorientowałem się, że nie rozważasz na poważnie opcji odczytu /etc/shadow przez skrypt php. Przepraszam za pochopną krytykę.

Ale...
Cytat
Inaczej mówiąc - co może mi zrobić user bez konta na moim serwerze i mogący jedynie wywołać skrypt, który zwraca jedynie bool'a?
Jakieś sugestie hawk?


Jeżeli mówimy o "update pliku po zmianie hasła przez usera przez SSH", to w pewnych sytuacjach może. Wystarczy że twój skrypt odpalany w cronie uaktualnia hasła w zewnętrznym pliku na potrzeby serwisu www. Twój skrypt musi mieć prawo czytania takiego pliku, więc każdy inny skrypt też. W ten sposób każdy mający dostęp do serwera www może odczytać (przynajmniej cześciowo) /etc/shadow.

Więc najlepiej byłoby przepisywać hasła z shadow od razu do bazy danych - tam przynajmniej są zabezpieczone przed swobodnym dostępem.
Go to the top of the page
+Quote Post

Posty w temacie


Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 15.10.2025 - 16:50