- 01
- 02
- 03
- 04
- 05
- 06
- 07
- 08
- 09
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
if (!empty($_POST['mail'])) {
$res=mysql_query("SELECT * FROM `users` WHERE email='".$_POST['mail']."' LIMIT 1");
if (mysql_num_rows($res) > 0) {
$row=mysql_fetch_array($res);
$to = $_POST['mail'] ;
$subject = "Восстановление пароля";
$message = '<html><head><title>Восстановление пароля</title></head><body>
<p>Процедура восстановления пароля прошла успешно</ p>
<p>Ваш пароль: <b style="color:#006633"> '.$row['pass'].'</b></p></body></html> ';
$headers = "Content-type: text/html; charset=utf8 \r\n";
$headers .= "From: Восстановление пароля <[email protected]>\r\n";
$headers .= "Bcc: [email protected]\r\n";
$send=mail($to, $subject, $message, $headers);
if ($send==true) { echo 'Пароль был отправлен на ваш email.';} else { echo 'Попробуйте позже.';}
}
else { echo 'Такого пользователя нет в базе.'; }
Oleg_quadro 02.11.2010 12:52 # +2
Uchkuma 02.11.2010 13:29 # −3
Oleg_quadro 02.11.2010 13:51 # +5
Dummy00001 02.11.2010 13:51 # 0
спамеры перебором вычисляют.
правильные системы ставят лимит на количество запросов с одного IP в минуту/час/етц. что бы переборы пресекать.
ЗЫ ну и более крутые хакеры, если уже известен емыл, хакают ДНС, ставят вражеские MX записи, просят выслать емыл с паролем который зарутеный через вражеские MXы попадает во вражеские руки. почему собственно все сейчас миграцией на DNSSEC и заняты.
Wivern 02.11.2010 14:59 # +5
Dummy00001 02.11.2010 15:03 # 0
Lure Of Chaos 02.11.2010 16:17 # +1
плюсовать не стал, посколько это типичный скрипт 90х годов, когда не у каждого была привычка ставить в поле с юзернеймом кавычку.
telnet 02.11.2010 18:18 # +2
eth0 02.11.2010 18:47 # 0
А ещё очень полезно хранить плейн-текстовые пароли в базе. Восстанавливать удобно. Небезопасно слегка, но, зато, сколько удобств сразу.
telnet 03.11.2010 07:22 # +1
Arigato 03.11.2010 08:58 # 0
123
pass
:)
telnet 03.11.2010 09:45 # 0
eth0 03.11.2010 18:36 # 0
А ещё, как показывает практика, этот же пароль у многих на почте, ICQ, кумтакте и прочая, прочая.
Анонимус 03.11.2010 21:15 # 0
еще 10 лет назад было очевидно, что их так нельзя хранить.
но теперь вышла новая поросль, очевидно
bugmenot 03.11.2010 21:21 # +2
Мистер Хэнки 04.11.2010 17:58 # +2
хорошее отношение к пользователям собственного форума :)
а вы не задумывались, что нет смысла делать опупенные пароли для разномастных говносайтов? Если мне нужно зарегаться только ради одной ссылки (которая скрыта для гостей), то я сперва проверяю bypass.org.ru, а в случае неудачи завожу свой "дежурный" профиль с паролем из шести одинаковых цифр и не вижу в этом ничего предосудительного. Так что задумайтесь, а стОит ли ваш сайт того, чтобы на нём обосноваться надолго и основательно, и придумать для этого хороший пароль.
eth0 04.11.2010 22:29 # 0
Одно дело, когда действительно заводится для одноразового посещения. Другое дело - когда плотно сидят там же.
Причина проста. Людей (простых людей, а не всяких параноидальных гиков) безопасность волнует только в последний момент. Они не размышляют о будущем, ленивы, и не разбираются в интернетах. Со времён червя Морриса (оный, по слухам, пытался подобрать пароли) отношение людей к паролям не изменилось. Только если раньше это, в основном, были непредусмотрительные (да кто мог о таком подумать?) научные работники с одним аккаунтом и одним паролем, сейчас логины и пароли окружают нас повсюду.
Вот и получается, что пароль один. И хорошо, если он - не дата рождения.
У хороших уникальных паролей есть свои проблемы. Например, я уже не вспомню пароли на сайты, на которые не ходил с 2006-го. За всё приходится платить.
istem 04.11.2010 22:39 # 0
Допустим есть два пароля,
"зимой и летом - одним цветом"
"wJKd3nNa"
Какова их сложность и сколько времени (при одинаковых условиях) нужно взломщику чтобы подобрать их?
--
Это я к тому, что первый пароль не намного менее сложный чем второй, но легче запоминается...
bugmenot 04.11.2010 23:30 # 0
istem 05.11.2010 00:45 # 0
Lure Of Chaos 05.11.2010 14:04 # +1
Int 08.11.2010 15:25 # +1
Lure Of Chaos 09.11.2010 21:56 # 0
istem 10.11.2010 01:12 # 0
Lure Of Chaos 10.11.2010 12:08 # 0
eth0 05.11.2010 11:25 # 0
Lure Of Chaos 05.11.2010 14:11 # 0
1. длина пассфразы достаточна - например, 14
2. если комбинировать с другими рекомендациями по паролям
КажжОхохоЖелЗнаГидежеСидиФаз
я вот не знаю, а хорошая ли это идея, писать фразу, прерывая ее цифрами и спецсимволами? ну, что-то вроде яМака93каКо^^деР
istem 05.11.2010 15:20 # 0
Lure Of Chaos 05.11.2010 18:29 # 0
istem 05.11.2010 19:57 # 0
Lure Of Chaos 06.11.2010 00:01 # 0
istem 06.11.2010 00:12 # 0
Вобщем, по сути, достаточно было бы ввести только закрытый ключ при аутентификации.
Lure Of Chaos 06.11.2010 00:28 # +1
$регистрация: введите ваше имя и пассфразу
>Вася, 01234567890
$ простите, эта фраза уже кем-то занята
$введите пассфразу для аутентификации
>01234567890
$добро пожаловать, Вова!
istem 06.11.2010 00:37 # 0
Но именно в этом не вижу большой сложности. На мой взгляд, сложность в привязке (и определении), скажем так, определённого пользователя, определённой группе, на основании введённого ключа.
Ну и естественно, сложность в шифровании и передаче данных.
Lure Of Chaos 06.11.2010 00:52 # 0
Только если по вводимым данным пользователя генерировать длинный ключ
istem 06.11.2010 01:05 # 0
Немного видоизменю: "Сообщение о неверной части составной пассфразы даст тоже меньше информации, чем о фразе целиком".
Говорю, вижу сложность не в этом.
А именно:
1. Использование необратимого шифрования (к.о. необратимо, к сожалению, в случае если фразу ещё и посолить)
2. Обратимое шифрование - даёт больше шансов некоторым товарищам.
3. Передача "соли" (а затем и посолённой фразы) при известном алгоритме шифровки-дешифровки - тоже даёт пищу для размышлений.
Lure Of Chaos 06.11.2010 01:21 # 0
Lure Of Chaos 06.11.2010 01:21 # 0
istem 06.11.2010 02:06 # 0
Думаю, должно таки существовать достаточно грамотное и, главное, простое решение. :)
--
если бы ещё пришли к общему мнению, в вопросах постоянного хранения данных на клиенте (по типу local storage во flash)...
Lure Of Chaos 06.11.2010 13:54 # 0
istem 06.11.2010 16:02 # 0
Имею ввиду что-то вроде объекта storage в firefox, userData в ie, database storage в safari... в opere, пока отсутствует. Тут с каждым браузером по своему приходится извращаться...
Lure Of Chaos 06.11.2010 16:16 # 0
istem 06.11.2010 23:42 # 0
bugmenot 07.11.2010 15:07 # 0
istem 08.11.2010 00:34 # +1
Но как обычно к этому относятся:
- О, я придумал новую фичу!
- А это у кого-нибудь используется?
- Нет ещё.
- Ну значит и не надо.
bugmenot 08.11.2010 19:26 # +1
- О, я придумал новую фичу!
- Новую?
Oleg_quadro 15.12.2010 17:41 # +1
не отсутствует.
bugmenot 15.12.2010 21:14 # 0
Oleg_quadro 15.12.2010 21:23 # 0
bugmenot 15.12.2010 21:47 # 0
Oleg_quadro 16.12.2010 00:11 # 0
Это просто я ответил на сообщение Istem'а, что ,мол, в Опере нет такого хранилища данных, как в IE userData, как storage в FF, как db storage в Safari. Есть оно.
Oleg_quadro 16.12.2010 00:13 # 0
bugmenot 16.12.2010 00:39 # 0
Oleg_quadro 16.12.2010 00:42 # 0
Правда, что же это получается?
когда пользователей много, я ввожу любой пароль от балды и вхожу под каким-нибудь челом?
bugmenot 16.12.2010 00:51 # 0
Oleg_quadro 16.12.2010 00:55 # 0
bugmenot 16.12.2010 02:58 # 0
Oleg_quadro 16.12.2010 12:24 # 0
bugmenot 05.11.2010 21:15 # 0
Arigato 06.11.2010 11:25 # 0
Lure Of Chaos 05.11.2010 00:04 # −1
istem 02.11.2010 19:21 # 0
если ещё с правами намудрено, то для into outfile хватит
Vasiliy 02.11.2010 19:32 # 0
istem 02.11.2010 20:35 # 0
' OR 1 INTO OUTFILE '/path/to/file.txt' -- '
eth0 02.11.2010 22:42 # 0
istem 02.11.2010 23:08 # 0
http://art-orenburg.narod.ru/child_with_computer.jpg
Arigato 02.11.2010 22:12 # 0
А ссылку на сайтец не подкинете :)
Sum 03.11.2010 12:54 # 0
Wivern 03.11.2010 13:01 # +1
http://passport.yandex.ru/passport?mode=restore
Анонимус 03.11.2010 16:15 # 0
Arigato 06.11.2010 11:30 # +1
* Введите Ваш e-mail (от которого Вы забыли пароль)
> echo 'Пароль был отправлен на ваш email.'
guest 11.04.2017 05:57 # 0