Forum CakePHP.org.pl - Auth

Odp: Auth

null@example.com (duke_piotr) — Mon, 27 Apr 2009 09:54:21 +0000

Hmm czyli rozumiem ze Cake 'zmienia' hasla trzymane w bazie za pomoca secrity salt? Jezeli tak to ma to teraz sens ;]

Dzieki za link - w wolnej chwili jak wszyscy opuszcza pokoj przeczytam

Odp: Auth

null@example.com (robal77) — Fri, 24 Apr 2009 15:01:44 +0000

Tu chodzi o bezpieczenstwo hasel zapisanych w bazie danych, przypadku gdy np dump bazy danych dostanie sie niepowolane rece - wtedy mozna bez wiekszych problemow zlamac zahashowane hasla, chyba ze haslo zostalo zahashowane z uzyciem seciurity salt.

Co do samego bruteforca, to sie rozpedzilem.

Tu masz ciekwy art na ten temat : http://blog.linux.pl/?id=post&show=5100

Odp: Auth

null@example.com (duke_piotr) — Fri, 24 Apr 2009 14:48:11 +0000

Ale przeciez haslo czy tak czy siak musi zostac przeslane w czystej formie (zahashowane) minimum jeden raz. Droga od SQL do PHP nie jest przeciez przez cakea modyfikowana wiec czy bedzie dodatkowe zabezpieczenie czy nie to nic nie da.... na moje oko.

Odp: Auth

null@example.com (robal77) — Fri, 24 Apr 2009 12:49:43 +0000

Za pomoca bruteforce i teczowych tablic lamie sie hasla uzytkownika, chyba przyznasz ze jezeli ktos sie zaloguje to nie wazne co masz w sesji skoro ktos wykradnie haslo ? Akurat w auth chodzi glownie wlasnie o to a nie o sprawdzanie bzdetow w sesji

Odp: Auth

null@example.com (duke_piotr) — Fri, 24 Apr 2009 11:59:33 +0000

Najbardziej przekonuje mnie punkt 3 ;] Bo co do lamania metoda brute force nie wiem za bardzo co mozna zlamac ;] Osobiscie w sesji generuje sobie token i sprawdzam kilka roznych zmiennych czy sa przechowywane. Wlamywacz musial by wiedziec jakich zmiennych szukam w sesji.

Odp: Auth

null@example.com (robal77) — Fri, 24 Apr 2009 11:39:19 +0000

Nie nie jest to strzelanie z armaty do komara ...

1. Auth dodaje do kazdego hasla (uzywa do hashowania i byc moze dokleja do hasla - tego nie jestem pewien), string ktory masz w configu ( security salt np DYhG93b2qyJfIxfo22guVoUubWwvniR2G0FgaC9mi), ma to na celu utrudnienie lamania hasla np metoda brute force czy przy pomocy teczowych tablic.

2. Mozna go latwo laczyc z ACL.

3. Dla kazdej aplikacji tworzonej w kejku masz taki sam system autentykacji, bez potrzeby tzw " radosnej tworczosci".

Auth

null@example.com (duke_piotr) — Fri, 24 Apr 2009 10:04:18 +0000

Poniewaz nie uzyskalem w innym watku odpowiedzi stworze jeden normalny

Czy jest sens tego uzywac? Mowa o Auth. W czym jest lepszy od zwyklego isset($this->Session)? Czy to nie strzelanie z armaty do komara?

Dzieki.