Безопасная авторизация

595
.
Энштеин, Давай на пальцах. а то как сам с собой разговариваю. есть я, админ и ты, пользователь сайта. платежные системы то подключал когда нибудь? для того чтобы показать тебе на сайте отчет о твоих там движениях(баланс например), мне необходимо делать записи какие то. ну и с этими записями работать ) подключив например webmoney, в списке операций этого сайта я всегда увижу откуда, куда и что там ушло/пришло. такая же байда с робокассой и остальными плятежными системами. пусть никто кроме меня и не узнает о тебе ничего. но.. буду знать я.
// а кто я ? )))) сегодня друг, завтра ...
// там все анонимно только между пользователями. держатели сайтов знают с кем работают.
// извиняюсь за то что отдалился от темы. но анонимность в сети - это полнейший бред
.
# Kpegumop (28.08.2013 / 20:13)
Энштеин, Давай на пальцах. а то как сам с собой разговариваю. есть я, админ и ты, пользователь сайта. платежные системы то подключал когда нибудь? для того чтобы показать тебе на сайте отчет о твоих
Руслан, мы говорим об одном и том же но на разных языках))
Все, прекращаем холивар на тему кто и что видит в этом.
Тема немножко о другом.
.
Итак, в процессе теста выявились пару багов, таких как например если картинку(файл ключей) закинуть на флешку, и флешку использовать на телефоне, то файл перестает быть валидным, то есть меняется его хеши что не есть хорошо.
Хотелось бы услышать мнения почему так.
И просьба лично к Олегу, отпишись что ты думаешь по этой теме, ты вроде как гуру в разработках ))
.
(\/)____o_O____(\/)
Энштеин, как вариант отдавать архив с картинкой, оригинал все равно должен остаться, даже если его ос телефона пересмотрела, разные файловые системы возможно виновны
.
# Koenig (30.08.2013 / 16:33)
Энштеин, как вариант отдавать архив с картинкой, оригинал все равно должен остаться, даже если его ос телефона пересмотрела, разные файловые системы возможно виновны
Тоже думал об этом, но это влечет определенные неудобства.
Щас думаю разработать немного другой алгоритм.
Например так, пользователь вводит свои данные(при регистрации) они шифруются и помещаются в файл с расширением(например user.data) ну или подобное, и отдается пользователю, в момент авторизации пользователь льет файл ключей на сервер где он расшифровывается и сравнивается с данными в базе.
Файл будет выглядеть например так
1 luchyfkyru7itvygctbuchkti7ys6fvlsiry
2 bv57yk487yrhkc4iry5te47ryl495fvl45ir
3 h7ullui89htyw4xe2f6yuohit9uor78rbybg
4 c8ghou4or98;r07ev7e3fyr77r5yr8t7vgjb
где каждая строка это зашифрованная инфа которая шифруется спец ключем(соль)
Ключем будет имя файла(например выдавать название функцией time()) то есть получается даже админ не сможет расшифровать данные.
После того как пользователь залил файл, система берет название файла(соль) и с помощью этого ключа расшифровывает инфу в файле, потом прогоняется по базе на предмет совпадения(например первая строка это хеш, вторая имя(псевдоним и так далее, третья строка это само название файла в md5 для верификации, ну и так далее))
То есть получается что не имея ключа админ не сможет прочесть инфу о пользователе, и так же сам пользователь не сможет прочесть инфу в файле даже зная ключ, так как
1 не знает как все зашифрованно и чем
2 в самой системе будет еще один ключ(соль)
Получается что только сложив 2 пазла мы получим ключ.
Как вам идейка??
.
Энштеин, Вот идея с файлом ключей намного лучше. хотя мне и не нравится идея выгрузки, файл получается не тяжелый )
.
# Kpegumop (30.08.2013 / 16:46)
Энштеин, Вот идея с файлом ключей намного лучше. хотя мне и не нравится идея выгрузки, файл получается не тяжелый )
Если в файл вносить текстовые данные то он будет максимум 10 кило весить.
Если дальше развить идею, то можно сделатиь вообще красиво, в файл писать все данные пользовательские, а в базу вносить только хеш который будет прописан в файле и соль(на сервере) вот и все, получится что админ вообще ниче не знает о пользователе, это дает гарантию того что если сайт ломанут то ничего не смогут сделать с данными ибо их просто не будет, сегодня завтра залью все на хост и дам тестировать .
.
(\/)____o_O____(\/)
Энштеин, зачем данные тогда заполнять, пусть и будет файл с хэш, одна строка, и получаем ид из базы в сессию
.
# Koenig (30.08.2013 / 17:47)
Энштеин, зачем данные тогда заполнять, пусть и будет файл с хэш, одна строка, и получаем ид из базы в сессию
Тоже не плохой вариант, надо рассмотреть ))
.
(\/)____o_O____(\/)
Энштеин, для уникальности можно загрузить какую нибудь картинку[c][/c]
Всего: 68