Логика авторизации JohnCMS

1.8K
.
# Delphinum (25.12.2016 / 02:12)
Koenig, пых может рулить всем связанным с сессией через SessionHandlerInterface, собственно для этого он и включен в PHP.
Говорят он глюченный. И установка времени жизни сессий тоже
.
¯\_(ツ)_/¯
# L!MP (25.12.2016 / 02:09)
А он там разве есть? Там по моему только токен. Хотя хз.
Блин ноут уже включил. Покажу завтра.
.
# Delphinum (25.12.2016 / 01:43)
давай посчитаем: 1 000 000 * 20 байт = 20 000 000 байт / 1024 = 19 531 КБ / 1024 = 19 МБ - не так уж много, согласись? )
Пурга. 1 файл - 1 сектор
1 сектор 4096, и того.. миллион файлов...
Да ну нафиг, это ересь запредельная, невразумительная и не имеющая ни единого плюса
.
ramzes
авторизация с одним ключом уязвима в самой своей сути. заимев несколько ключей можно прикинуть примерный диапазон, после чего тупо циклом подставляем варианты, это даже проще тупого брута, рано или поздно в бд найдется ключ совпавший с подставленным. система авторизации провалена.
далее конечно некие механизмы смогут (или нет?) засечь несоответствие клиента оригинала, и подставного, и сорвать прохождение в авторизированную зону, но это уже далее, на этапе идентификации просто чудовищно глупая логическая уязвимость.
в сравнение же с двухфакторной (любыми видами) совпасть должны минимум 2 ключа разом (те же ИД и ключ ака хеш пароля, или просто случайная строка записанная на обоих сторонах клиент-сервер), вероятность чего ниже на несколько порядков.
я в чем то не прав?
.
Альк, не вижу время куки с сидом, числится как Session вместо даты
беда печаль
________
кстати, чем вам не угодил стандартный вариант сессий?
их не угнать, это древний миф. как и брут пароля по хешу из куки которую еще попробуй угони
.
# ramzes (25.12.2016 / 03:05)
Ты забываешь сколько они будут занимать на диске, а сколько они весят вторично.
Нельзя записать в один сектор 4к байт 2 файла по 10 байт
-rw-rw-r-- 1 artur artur 4 дек. 25 12:32 x.txt
Создал файл с текстом 123, результат - файл весит 4 байта.
.
# ramzes (25.12.2016 / 03:06)
Говорят он глюченный. И установка времени жизни сессий тоже
Ну мало ли кто и что говорит )
.
# ramzes (25.12.2016 / 07:47)
авторизация с одним ключом уязвима в самой своей сути. заимев несколько ключей можно прикинуть примерный диапазон, после чего тупо циклом подставляем варианты, это даже проще тупого брута, рано или
Тут никто не предлагает отказаться от логина/пароля в пользу одного только пароля и логин/пароль это не двуфакторная.
.
# ramzes (25.12.2016 / 07:47)
авторизация с одним ключом уязвима в самой своей сути. заимев несколько ключей можно прикинуть примерный диапазон, после чего тупо циклом подставляем варианты, это даже проще тупого брута, рано или
Криптографический хэш не имеет никакой логической последовательности, а если он, скажем, 128 бит, то подбирать его можно очень долго и очень нудно.
Но да, если ввести еще и айди пользователя, то будет лучше.
.
Хотя не, брутфорс хеша это вообще не вариант.
Да же 8-ми битный хеш состоящий только из букв латинского алфавита, это 26^8, т.е более 208-ми миллиардов комбинаций.
Допустим мы имеем возможность отправлять по 50 успешных запросов к серверу в секунду.
Таким образом у нас уйдёт 132 года для перебора всех возможных комбинаций.
Всего: 185