Yii Framework

Пароль шифруется типа $2y$10$qk1gd5GrgSkGYoHn6wfe5uyO118T0CVk7DW6J..Ee и записывается в бд. Чисто теоритически взломщик бд может выдернуть все данные и пароль юзера ему нафиг не нужен. А вот если взломщик взломает бразуер юзера, то получит сам пароль(получается, уже без шифрования, то бишь пароль в чистом виде). Но это ведь далеко не каждый взломщик может, да? Следовательно вопрос - зачем вообще шифровать пароль? Или я неправильно это понимаю

Чтобы взломщик, увидев в базе ваш "pass12345", не залез в вашу почту/скайп/vk, где обычно стоит этот же самый пароль.

Разве кто-то использует один пароль на несколько сайтов/почт/сервисов? И если взломщик хакнет браузер юзера, то получит тот же бароль без шифровки. Уж не знаю, правда, что из этого сложнее.

Kreng писал(а): ↑2017.09.22, 11:14 Разве кто-то использует один пароль на несколько сайтов/почт/сервисов?

все

Kreng писал(а): ↑2017.09.22, 11:14И если взломщик хакнет браузер юзера, то получит тот же бароль без шифровки

каким образом он получит бароль?

В браузере ведь можно посмотреть пароли от сайтов. И если взломщик сможет получить доступ к браузеру/компу, то и к паролям тоже.

Kreng писал(а): ↑2017.09.22, 14:04 В браузере ведь можно посмотреть пароли от сайтов. И если взломщик сможет получить доступ к браузеру/компу, то и к паролям тоже.

если ты сохраняешь пароли в браузере. если нет, то не получит. Логично?

Kreng писал(а): ↑2017.09.22, 14:04 В браузере ведь можно посмотреть пароли от сайтов. И если взломщик сможет получить доступ к браузеру/компу, то и к паролям тоже.

Если взломщик сможет получить пароли из браузера, то при чем тут сайт?
Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем

Мне просто было интересно узнать, как и что можно ломануть. Но это тема долгая, а ответ на сам вопрос я узнал, так что тему можно закрывать. Всем спасибо за внимание.

Kreng писал(а): ↑2017.09.22, 11:14 Разве кто-то использует один пароль на несколько сайтов/почт/сервисов? И если взломщик хакнет браузер юзера, то получит тот же бароль без шифровки. Уж не знаю, правда, что из этого сложнее.

Разве кто-то использует один пароль на несколько сайтов/почт/сервисов?

Тут все зависит от людей, если у тебя разные пароли для систем то тут я рад.
Учитывать нужно.
1 - Есть кому тяжело все это дается, и в каждой системе для облегчения используют один пароль.
2 - Слабая память.
3 - Фантазии не хватает.
4 - Продолжать не буду.

urichalex писал(а): ↑2017.09.22, 14:39
Kreng писал(а): ↑2017.09.22, 14:04 В браузере ведь можно посмотреть пароли от сайтов. И если взломщик сможет получить доступ к браузеру/компу, то и к паролям тоже.
Если взломщик сможет получить пароли из браузера, то при чем тут сайт?
Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем

Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем

А я думаю причем, в системе дыра.
Кто должен эту дыру закрыть ?

Kreng писал(а): ↑2017.09.21, 21:02 А вот если взломщик взломает бразуер юзера, то получит сам пароль. Следовательно вопрос - зачем вообще шифровать пароль? Или я неправильно это понимаю

А если вам приставят пистолет к голове - вы и банковский счет скажете, не только пароли от сайта редтуб.
Следовательно вопрос - а зачем вам тогда деньги?

Меньше думайте, больше делайте, как говорят

Вот тут в серединке есть про пароли https://www.youtube.com/watch?v=P9zUFzB_NBs

могу еще добавить-если узнают пароль то смогут зайти под текущим юзером на сайт и чтото сделать
например снять деньги

kukuruku писал(а): ↑2017.09.24, 17:36 могу еще добавить-если узнают пароль то смогут зайти под текущим юзером на сайт и чтото сделать
например снять деньги

Раньше да, сейчас обычно на номер отправляют код подтверждения.

trueorfalse писал(а): ↑2017.09.24, 12:21
urichalex писал(а): ↑2017.09.22, 14:39
Kreng писал(а): ↑2017.09.22, 14:04 В браузере ведь можно посмотреть пароли от сайтов. И если взломщик сможет получить доступ к браузеру/компу, то и к паролям тоже.
Если взломщик сможет получить пароли из браузера, то при чем тут сайт?
Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем

Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем
А я думаю причем, в системе дыра.
Кто должен эту дыру закрыть ?

У меня в интернете работает сайт. Принимает пароли пользователя.
Пользователь сохранил пароли в своем браузере или прочем менеджере паролей.
Кто-то стырил пароли с его хранилища паролей и зашел на мой сайт под его данными.
Вопрос: При чем тут я и мой сайт?

urichalex писал(а): ↑2017.09.24, 20:45
trueorfalse писал(а): ↑2017.09.24, 12:21
urichalex писал(а): ↑2017.09.22, 14:39

Если взломщик сможет получить пароли из браузера, то при чем тут сайт?
Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем

Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем
А я думаю причем, в системе дыра.
Кто должен эту дыру закрыть ?
У меня в интернете работает сайт. Принимает пароли пользователя.
Пользователь сохранил пароли в своем браузере или прочем менеджере паролей.
Кто-то стырил пароли с его хранилища паролей и зашел на мой сайт под его данными.
Вопрос: При чем тут я и мой сайт?

Если брать глобально, то не причем.
Но можно увеличить безопасность.
1 - Смотрим ip откуда зашел, если расстояние большое то просим ответить к примеру на контрольный вопрос.
- Подтвердить кодом на email или на номер, я думаю если зайдет на email то там тоже будут требовать доп данные.
2 - Продолжать не буду.

В сети читал.
У пользователя своровали 200 тыс рублей, оператор сотовой связи перевыпустил симку (без согласия владельца), и кто то зашел в моб кошелек и вывел их.
Причем тут моб кошелек ?
Почитай тогда что делает веб мани в этом случае, он получает при регистрации идентификатор симкарты и при выводе сверяет с текущем идентификатором.
p.s при каждой восстановление или обновление сим карты, оператор сотовой связи дает новый идентификатор.

Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем

Если скажешь забыл дверь закрыть, окно открытое с ключами оставил... это очевидно что тут производитель не причем.

Я повторюсь, покупаю машину и все в один голос говорят ее не угонят.
Все сделал по инструкции

, как нужно все закрыл и проверил.
На утро угнали машину, кто в данном случае причем ?

Ну дак то платежные системы, в которых крутятся чужие деньги. И то, они все сделали эти системы безопасности только для того, чтобы снять с себя ответственность, чтобы их пользователи меньше донимали "Вот у меня акк взломали и перевели все деньги. Вернити их вы такие сикие вы винаваты"

trueorfalse писал(а): ↑2017.09.24, 21:27
urichalex писал(а): ↑2017.09.24, 20:45
trueorfalse писал(а): ↑2017.09.24, 12:21

А я думаю причем, в системе дыра.
Кто должен эту дыру закрыть ?
У меня в интернете работает сайт. Принимает пароли пользователя.
Пользователь сохранил пароли в своем браузере или прочем менеджере паролей.
Кто-то стырил пароли с его хранилища паролей и зашел на мой сайт под его данными.
Вопрос: При чем тут я и мой сайт?
Если брать глобально, то не причем.
Но можно увеличить безопасность.
1 - Смотрим ip откуда зашел, если расстояние большое то просим ответить к примеру на контрольный вопрос.
- Подтвердить кодом на email или на номер, я думаю если зайдет на email то там тоже будут требовать доп данные.
2 - Продолжать не буду.

В сети читал.
У пользователя своровали 200 тыс рублей, оператор сотовой связи перевыпустил симку (без согласия владельца), и кто то зашел в моб кошелек и вывел их.
Причем тут моб кошелек ?
Почитай тогда что делает веб мани в этом случае, он получает при регистрации идентификатор симкарты и при выводе сверяет с текущем идентификатором.
p.s при каждой восстановление или обновление сим карты, оператор сотовой связи дает новый идентификатор.

Если угонщик смог взломать охранную систему автомобиля, производитель автомобиля тут так же не при чем
Если скажешь забыл дверь закрыть, окно открытое с ключами оставил... это очевидно что тут производитель не причем.

Я повторюсь, покупаю машину и все в один голос говорят ее не угонят.
Все сделал по инструкции , как нужно все закрыл и проверил.
На утро угнали машину, кто в данном случае причем ?

Забыл прописать.

он получает при регистрации идентификатор симкарты и при выводе сверяет с текущем идентификатором.

Если не совпали, то он блокирует средства на какое то количество дней, уже не помню сколько.

urichalex писал(а): ↑2017.09.24, 21:48 Ну дак то платежные системы, в которых крутятся чужие деньги. И то, они все сделали эти системы безопасности только для того, чтобы снять с себя ответственность, чтобы их пользователи меньше донимали "Вот у меня акк взломали и перевели все деньги. Вернити их вы такие сикие вы винаваты"

В этом случае, все от ситуации зависит.
Если к примеру деньги большие и они чужие, при потери их появляется шок и тем самым норм думать не получается.
А так, разумный человек поймет чья вина и где они.

Код: Выделить всё

Если к примеру деньги большие и они чужие, при потери их появляется шок и тем самым норм думать не получается.

p.s не про всех, частый случай.

Yii Framework

Шифрование пароля юзера, нужно ли?

Шифрование пароля юзера, нужно ли?

Re: Шифрование пароля юзера, нужно ли?

Re: Шифрование пароля юзера, нужно ли?

Re: Шифрование пароля юзера, нужно ли?

Re: Шифрование пароля юзера, нужно ли?

Re: Шифрование пароля юзера, нужно ли?

Re: Шифрование пароля юзера, нужно ли?

Re: Шифрование пароля юзера, нужно ли?

Re: Шифрование пароля юзера, нужно ли?

Re: Шифрование пароля юзера, нужно ли?

Re: Шифрование пароля юзера, нужно ли?

Re: Шифрование пароля юзера, нужно ли?

Re: Шифрование пароля юзера, нужно ли?

Re: Шифрование пароля юзера, нужно ли?

Re: Шифрование пароля юзера, нужно ли?

Re: Шифрование пароля юзера, нужно ли?

Re: Шифрование пароля юзера, нужно ли?

Re: Шифрование пароля юзера, нужно ли?

Re: Шифрование пароля юзера, нужно ли?

Re: Шифрование пароля юзера, нужно ли?