Пароль

Установка и настройка биллинговой системы.
xaker1
Сообщения: 41
Зарегистрирован: 2010-07-04 21:58:13

Пароль

Сообщение xaker1 » 2011-11-26 20:42:22

Ограничение на минимальную длину понятно - а на максимальную зачем? Все равно в базе храним хэш.

Аватара пользователя
Alex Keda
Сообщения: 2907
Зарегистрирован: 2009-10-07 14:30:54
Откуда: USSR
Поблагодарили: 20 раз

Re: Пароль

Сообщение Alex Keda » 2011-11-26 23:25:05

непомню уже...
были какие-то грабли и с этим
Убей их всех! Бог потом рассортирует...

xaker1
Сообщения: 41
Зарегистрирован: 2010-07-04 21:58:13

Re: Пароль

Сообщение xaker1 » 2011-11-27 12:37:48

Код: Выделить всё

2011-07-29: изменена политика паролей (вернее, приведена в порядок) - теперь пароль может быть от 6 до 15 символов, только английские буквы и цифры - ибо юзеры достали всякую херь бинарную в эти поля пихать


Для меня нормальный пароль: J[Jjb$6nT&yianA?e^[oFO@{+.Uh<q
Криптостойкий, мою паранойю успокаивает.

Какую бинарную херь кидали? При получении пароля биллингом сразу (после проверки на длину) md5($pass) делаем и только после уже вычисленный md5 в базу кидаем. Не знаю,как сейчас реализовано, но некоторые передают вычисление md5 хэша на БД(...`pass`=MD5('".$pass."')), в результате чего SQL инъекция появляется (либо лишний код на её устранение).

Аватара пользователя
Alex Keda
Сообщения: 2907
Зарегистрирован: 2009-10-07 14:30:54
Откуда: USSR
Поблагодарили: 20 раз

Re: Пароль

Сообщение Alex Keda » 2011-11-27 21:03:56

а. вспомнил.
политика паролей одна, на все случаи.

а бинарный мусор пихали в пассы от хостинга, например - а они хранятся открытые - чтоб в панель заходить можно было из биллинга.
--
что касается паранойи - успокойте её калькулятором и прикидкой сколько надо времени на перебор 15 символов цифры/буквы (чё-то про 37 в 15 степени, помоему...)

ну, или положите свою регулярку в hosts/<имя_вашего_хоста>/config/Regulars.xml чтоли.... вместо той что в billing лежит
непомню, но найти не сложно - там где-то
Убей их всех! Бог потом рассортирует...


Вернуться в «Установка и настройка»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 6 гостей