HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > ПРОГРАММИРОВАНИЕ > Общие вопросы программирования > ПО для Web разработчика
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

SecureLogin
  #1  
Старый 05.02.2008, 01:57
Kallisto
Новичок
Регистрация: 18.05.2007
Сообщений: 28
С нами: 9991175

Репутация: 20
По умолчанию SecureLogin

===== [ SecureLogin v1.0 ] =====

Класс, который защитит ваших пользователей от кражи пароля от вашего сайта.

На текущее время в интернете куча троянов и вирусов, которые крадут личные данные пользователя.
Одним из способов является перехват форм, которую пользователь отправляет на сервер.

Например когда ваш посетитель вводит логин и пароль на ваш сайт, то троянская программа
может перехватить данные и передать 3ьему лицу.

Ничего плохого, если сайт не сильно серьезен. Но когда на сайте есть личная информация
или сайт проводит некие финансовые операции, то репутация сайта может пошатнутся.


Данный класс создает md5 хеш пароля, который строится на основании cookie+login+pass
Куки пользователь получает как только заходит на страницу логина.

Алгоритм работы:
1. Человек заходит на ваш сайт. Класс выдает уникальные cookie длиной 100 символов (по умолчанию)
2. Человек вводит логин и пароль, жмет OK!
3. В этот момент создается хеш состоящий из $pass = MD5($cookie.$login.$pass);
4. На сервер уходит 2 переменные: $login и $pass
5. Благодаря тому, что куки создаются каждые 30 минут новые, получается что хеши постоянно разные
6. Даже если у пользователя есть троян, который перехватил форму, то перехватить он сможет только $login+$pass, где $pass - хэш.

Этого недостаточно для авторизации! Таким образом злоумышленнник несможет зайти на сайт!

В Архиве есть файл how_to_use.txt который поможет в настройке.
Также в архиве есть демо, которое показывает работу класса.


Скачать: http://rapidshare.com/files/89197964/SecureLogin.rar.html
 
Ответить с цитированием

  #2  
Старый 05.02.2008, 02:10
Kaimi
Познавший АНТИЧАТ
Регистрация: 23.08.2007
Сообщений: 1,237
С нами: 9851426

Репутация: 1676


По умолчанию

Цитата:
1. Человек заходит на ваш сайт. Класс выдает уникальные cookie длиной 100 символов (по умолчанию)
2. Человек вводит логин и пароль, жмет OK!
3. В этот момент создается хеш состоящий из $pass = MD5($cookie.$login.$pass);
4. На сервер уходит 2 переменные: $login и $pass
5. Благодаря тому, что куки создаются каждые 30 минут новые, получается что хеши постоянно разные
6. Даже если у пользователя есть троян, который перехватил форму, то перехватить он сможет только $login+$pass, где $pass - хэш.
Эм, если юзер вводит пароль, то почему ты считаешь, что формграббер перехватит хэш?
 
Ответить с цитированием

  #3  
Старый 05.02.2008, 02:19
Kallisto
Новичок
Регистрация: 18.05.2007
Сообщений: 28
С нами: 9991175

Репутация: 20
По умолчанию

Перехват формы идет когда браузер уже посылает данные.
А хешируется еще до того как послал браузер.

Получается при снифе трафика виден хеш.
 
Ответить с цитированием

  #4  
Старый 05.02.2008, 02:19
+toxa+
[Лишённый самовыражени
Регистрация: 16.01.2005
Сообщений: 1,787
С нами: 11217866

Репутация: 3812


По умолчанию

Имхо слишком узкая направленность класса, отсюда некоторая бесполезность появляется.
__________________
 
Ответить с цитированием

  #5  
Старый 05.02.2008, 02:35
Kaimi
Познавший АНТИЧАТ
Регистрация: 23.08.2007
Сообщений: 1,237
С нами: 9851426

Репутация: 1676


По умолчанию

Цитата:
Перехват формы идет когда браузер уже посылает данные.
А хешируется еще до того как послал браузер.

Получается при снифе трафика виден хеш.
Мне казалось тот же лимбо записывает нажатия, ибо лог выглядит так
[http://www.yahoo.com/]
p=KEYLOGGED:yahoo.com KEYSREAD:
[https://login.yahoo.com/config/mail?.intl=us]
login=KEYLOGGED:simonoasa KEYSREAD:simonoasa
 
Ответить с цитированием

  #6  
Старый 05.02.2008, 02:38
gibson
Постоянный
Регистрация: 24.02.2006
Сообщений: 447
С нами: 10636106

Репутация: 705
По умолчанию

имхо бред вот в этом
Цитата:
6. Даже если у пользователя есть троян, который перехватил форму, то перехватить он сможет только $login+$pass, где $pass - хэш.
 
Ответить с цитированием

  #7  
Старый 05.02.2008, 02:49
Kallisto
Новичок
Регистрация: 18.05.2007
Сообщений: 28
С нами: 9991175

Репутация: 20
По умолчанию

От кейлога не спасет...

но сниф трафа ничего давать не будет.

Класс больше расчитать на людей, которые делают сервисы/сайты с авторизацией.. то есть накрутка его на форумы, формы логинов и т.д.
 
Ответить с цитированием

  #8  
Старый 05.02.2008, 03:20
GreenBear
наркоман с медалью
Регистрация: 07.05.2005
Сообщений: 3,704
С нами: 11058146

Репутация: 4536


По умолчанию

Цитата:
var $cookie_length = 100; // длина "мусора"
Цитата:
for($i=0;$i<100;$i++)
=)
 
Ответить с цитированием

  #9  
Старый 05.02.2008, 03:23
Kallisto
Новичок
Регистрация: 18.05.2007
Сообщений: 28
С нами: 9991175

Репутация: 20
По умолчанию

 
Ответить с цитированием
Ответ



Предыдущая тема Следующая тема

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.