Kom ihåg mig?
Home Menu

Menu


Hur skulle ni reagera om en konsult gjorde en sån här kod?

 
Ämnesverktyg Visningsalternativ
Oläst 2013-04-24, 12:50 #41
Nerix Nerix är inte uppkopplad
Flitig postare
 
Reg.datum: Oct 2010
Inlägg: 398
Nerix Nerix är inte uppkopplad
Flitig postare
 
Reg.datum: Oct 2010
Inlägg: 398
Citat:
Ursprungligen postat av lubic Visa inlägg
Dock är risken stor att en hackare även kommer över saltet
Vad baserar du de på? Saltet bör varken i applikationen eller i databasen, så ja skulle snarare säga att chansen är liten.
Nerix är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-04-24, 13:47 #42
lubic lubic är inte uppkopplad
Medlem
 
Reg.datum: Aug 2005
Inlägg: 205
lubic lubic är inte uppkopplad
Medlem
 
Reg.datum: Aug 2005
Inlägg: 205
Jag baserar det på att de flesta implementationer av lösenordssäkerhet jag har sett antingen har saltet i koden eller i databasen. Samt att man "räknar" med att saltet är känt för hackaren när man bedömer hur lätt eller svårt det är att komma över lösenorden.

Sen finns det säkert en hel del lösningar där saltet inte är "direkt" tillgängligt, men i de flesta fall är saltet tillgängligt och då bör man, som sagt enligt mig, inte använda MD5, utan någon annan bättre metod för att säkra lösenorden.

Varför skyddar man lösenorden över huvud taget? Det ska ju vara omöjligt att komma åt databasen iaf? Då kan de lika gärna lagras i ren text? Men både du och jag vet att så är inte fallet. Det finns alltid risker och då är det bättre att vara förberedd på bästa möjliga sätt, eller hur?

Vad är din anledning till att man inte ska använda en bättre metod (i mina ögon) än MD5? Du säger att chansen är liten att man kommer över saltet? Men då finns det ändå en risk och varför ska man då inte försöka försvåra (utan att påverka applikationen negativt) så mycket som möjligt för att minimera denna risk?
lubic är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-04-24, 14:00 #43
lubic lubic är inte uppkopplad
Medlem
 
Reg.datum: Aug 2005
Inlägg: 205
lubic lubic är inte uppkopplad
Medlem
 
Reg.datum: Aug 2005
Inlägg: 205
Men jag tror dock inte vi behöver dra detta längre. Du har din lösning och jag skulle välja en annan, tror jag
lubic är inte uppkopplad   Svara med citatSvara med citat
Oläst 2013-04-25, 08:22 #44
pelmereds avatar
pelmered pelmered är inte uppkopplad
Har WN som tidsfördriv
 
Reg.datum: May 2010
Inlägg: 1 342
pelmered pelmered är inte uppkopplad
Har WN som tidsfördriv
pelmereds avatar
 
Reg.datum: May 2010
Inlägg: 1 342
Citat:
Ursprungligen postat av mephisto73 Visa inlägg
insert ... On duplicate key update
Men det är ju ingen update, utan en insert med en "on duplicate key"-clause. Därmed stämmer det att man inte kan göra en update. Sedan fungerar bara den där lösningen på MySQL så orginallösningen är den klart säkraste lösningen om man inte har access till systemet.
pelmered är inte uppkopplad   Svara med citatSvara med citat
Svara


Aktiva användare som för närvarande tittar på det här ämnet: 1 (0 medlemmar och 1 gäster)
 

Regler för att posta
Du får inte posta nya ämnen
Du får inte posta svar
Du får inte posta bifogade filer
Du får inte redigera dina inlägg

BB-kod är
Smilies är
[IMG]-kod är
HTML-kod är av

Forumhopp


Alla tider är GMT +2. Klockan är nu 00:34.

Programvara från: vBulletin® Version 3.8.2
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Svensk översättning av: Anders Pettersson
 
Copyright © 2017