# Delphinum (25.12.2016 / 02:12)Говорят он глюченный. И установка времени жизни сессий тоже
Koenig, пых может рулить всем связанным с сессией через SessionHandlerInterface, собственно для этого он и включен в PHP.
Логика авторизации JohnCMS
9.16K
ramzes
25 дек 2016 г., 3:06
PaRtiZzaN
25 дек 2016 г., 3:07
¯\_(ツ)_/¯
# L!MP (25.12.2016 / 02:09)Блин ноут уже включил. Покажу завтра.
А он там разве есть? Там по моему только токен. Хотя хз.
ramzes
25 дек 2016 г., 6:58
# Delphinum (25.12.2016 / 01:43)Пурга. 1 файл - 1 сектор
давай посчитаем: 1 000 000 * 20 байт = 20 000 000 байт / 1024 = 19 531 КБ / 1024 = 19 МБ - не так уж много, согласись? )
1 сектор 4096, и того.. миллион файлов...
Да ну нафиг, это ересь запредельная, невразумительная и не имеющая ни единого плюса
ramzes
25 дек 2016 г., 7:47
авторизация с одним ключом уязвима в самой своей сути. заимев несколько ключей можно прикинуть примерный диапазон, после чего тупо циклом подставляем варианты, это даже проще тупого брута, рано или поздно в бд найдется ключ совпавший с подставленным. система авторизации провалена.
далее конечно некие механизмы смогут (или нет?) засечь несоответствие клиента оригинала, и подставного, и сорвать прохождение в авторизированную зону, но это уже далее, на этапе идентификации просто чудовищно глупая логическая уязвимость.
в сравнение же с двухфакторной (любыми видами) совпасть должны минимум 2 ключа разом (те же ИД и ключ ака хеш пароля, или просто случайная строка записанная на обоих сторонах клиент-сервер), вероятность чего ниже на несколько порядков.
я в чем то не прав?
ramzes
25 дек 2016 г., 7:53
Альк, не вижу время куки с сидом, числится как Session вместо даты
беда печаль
________
кстати, чем вам не угодил стандартный вариант сессий?
их не угнать, это древний миф. как и брут пароля по хешу из куки которую еще попробуй угони
Delphinum
25 дек 2016 г., 12:34
# ramzes (25.12.2016 / 03:05)-rw-rw-r-- 1 artur artur 4 дек. 25 12:32 x.txt
Ты забываешь сколько они будут занимать на диске, а сколько они весят вторично.
Нельзя записать в один сектор 4к байт 2 файла по 10 байт
Создал файл с текстом 123, результат - файл весит 4 байта.
Delphinum
25 дек 2016 г., 12:34
# ramzes (25.12.2016 / 03:06)Ну мало ли кто и что говорит )
Говорят он глюченный. И установка времени жизни сессий тоже
Delphinum
25 дек 2016 г., 12:36
# ramzes (25.12.2016 / 07:47)Тут никто не предлагает отказаться от логина/пароля в пользу одного только пароля и логин/пароль это не двуфакторная.
авторизация с одним ключом уязвима в самой своей сути. заимев несколько ключей можно прикинуть примерный диапазон, после чего тупо циклом подставляем варианты, это даже проще тупого брута, рано или
# ramzes (25.12.2016 / 07:47)Криптографический хэш не имеет никакой логической последовательности, а если он, скажем, 128 бит, то подбирать его можно очень долго и очень нудно.
авторизация с одним ключом уязвима в самой своей сути. заимев несколько ключей можно прикинуть примерный диапазон, после чего тупо циклом подставляем варианты, это даже проще тупого брута, рано или
Но да, если ввести еще и айди пользователя, то будет лучше.
Хотя не, брутфорс хеша это вообще не вариант.
Да же 8-ми битный хеш состоящий только из букв латинского алфавита, это 26^8, т.е более 208-ми миллиардов комбинаций.
Допустим мы имеем возможность отправлять по 50 успешных запросов к серверу в секунду.
Таким образом у нас уйдёт 132 года для перебора всех возможных комбинаций.
Всего: 185
© 2026, JohnCMS