czy należy oczyszczać hasło z formularza ?, dane z formularza |
czy należy oczyszczać hasło z formularza ?, dane z formularza |
27.01.2012, 21:22:41
Post
#1
|
|
Grupa: Zarejestrowani Postów: 15 Pomógł: 0 Dołączył: 29.11.2011 Ostrzeżenie: (0%) |
Witam
Jak wiadomo, wszystkie dane wprowadzone przez użytkownika poprzez formularz należy oczyścić z niebezpiecznego kodu. Ale czy stosuje się ten zabieg także do haseł ? Przykładowo czy podane hasło z formularza należy przepuścić przez poniższe funkcje czy też nie ? pozdrawiam Adam |
|
|
27.01.2012, 21:37:18
Post
#2
|
|
Grupa: Zarejestrowani Postów: 2 178 Pomógł: 596 Dołączył: 25.09.2009 Skąd: Piwniczna-Zdrój Ostrzeżenie: (0%) |
Nie należy tego robić. Trzeba wypisać użytkownikowi listę znaków "zakazanych" lub dozwolonych, sprawdzać hasło pod kątem obecności jednych czy drugich i zgłaszać użytkownikowi potrzebę zmodyfikowania hasła, jeśli użyje on któregoś ze znaków "zakazanych". Poza tym hasło powinno być zaszyfrowane (odpowiednią funkcją hashującą, np. md5 czy sha1) zanim zostanie wykorzystane w zapytaniu.
|
|
|
27.01.2012, 21:40:52
Post
#3
|
|
Grupa: Zarejestrowani Postów: 1 387 Pomógł: 273 Dołączył: 18.02.2008 Ostrzeżenie: (0%) |
Nie. Po co? Po prostu hashuj przed umieszczeniem w bazie i tyle.
Przy logowaniu hashuj znowu i porównuj. Cytat Trzeba wypisać użytkownikowi listę znaków "zakazanych" lub dozwolonych, sprawdzać hasło pod kątem obecności jednych czy drugich i zgłaszać użytkownikowi potrzebę zmodyfikowania hasła, jeśli użyje on któregoś ze znaków "zakazanych". Po co? Wystarczy sprawdzić, czy jest wystarczająco bezpieczne. Ten post edytował l0ud 27.01.2012, 21:42:20 -------------------- XMPP: l0ud@chrome.pl
|
|
|
27.01.2012, 22:53:59
Post
#4
|
|
Grupa: Moderatorzy Postów: 15 467 Pomógł: 1451 Dołączył: 25.04.2005 Skąd: Szczebrzeszyn/Rzeszów |
...i sprawdzić, czy pole nie przekracza jakiejśtam długości (sensownie wystarczy ok. 100 znaków), żeby nie zajeździć serwera hashowaniem jakichś gigantów.
-------------------- ZCE :: Pisząc PW załączaj LINK DO TEMATU i TYLKO w sprawach moderacji :: jakiś błąd - a TREŚĆ BŁĘDU? :: nie ponaglaj z odpowiedzią via PW! |
|
|
28.01.2012, 10:56:09
Post
#5
|
|
Grupa: Zarejestrowani Postów: 15 Pomógł: 0 Dołączył: 29.11.2011 Ostrzeżenie: (0%) |
Dzięki, teraz już wszystko jasne. |
|
|
Wersja Lo-Fi | Aktualny czas: 6.06.2024 - 11:29 |