Temat: Auth
Poniewaz nie uzyskalem w innym watku odpowiedzi stworze jeden normalny 
Czy jest sens tego uzywac? Mowa o Auth. W czym jest lepszy od zwyklego isset($this->Session)? Czy to nie strzelanie z armaty do komara?
Dzieki.
Odp: Auth
Nie nie jest to strzelanie z armaty do komara ...
1. Auth dodaje do kazdego hasla (uzywa do hashowania i byc moze dokleja do hasla - tego nie jestem pewien), string ktory masz w configu ( security salt np DYhG93b2qyJfIxfo22guVoUubWwvniR2G0FgaC9mi), ma to na celu utrudnienie lamania hasla np metoda brute force czy przy pomocy teczowych tablic.
2. Mozna go latwo laczyc z ACL.
3. Dla kazdej aplikacji tworzonej w kejku masz taki sam system autentykacji, bez potrzeby tzw " radosnej tworczosci".
Odp: Auth
Najbardziej przekonuje mnie punkt 3 ;] Bo co do lamania metoda brute force nie wiem za bardzo co mozna zlamac ;] Osobiscie w sesji generuje sobie token i sprawdzam kilka roznych zmiennych czy sa przechowywane. Wlamywacz musial by wiedziec jakich zmiennych szukam w sesji.
Odp: Auth
Za pomoca bruteforce i teczowych tablic lamie sie hasla uzytkownika, chyba przyznasz ze jezeli ktos sie zaloguje to nie wazne co masz w sesji skoro ktos wykradnie haslo ? Akurat w auth chodzi glownie wlasnie o to a nie o sprawdzanie bzdetow w sesji 
Ostatnio edytowany przez robal77 (2009-04-24 14:53:01)
Odp: Auth
Ale przeciez haslo czy tak czy siak musi zostac przeslane w czystej formie (zahashowane) minimum jeden raz. Droga od SQL do PHP nie jest przeciez przez cakea modyfikowana wiec czy bedzie dodatkowe zabezpieczenie czy nie to nic nie da.... na moje oko.
Odp: Auth
Tu chodzi o bezpieczenstwo hasel zapisanych w bazie danych, przypadku gdy np dump bazy danych dostanie sie niepowolane rece - wtedy mozna bez wiekszych problemow zlamac zahashowane hasla, chyba ze haslo zostalo zahashowane z uzyciem seciurity salt.
Co do samego bruteforca, to sie rozpedzilem.
Tu masz ciekwy art na ten temat : http://blog.linux.pl/?id=post&show=5100
Odp: Auth
Hmm czyli rozumiem ze Cake 'zmienia' hasla trzymane w bazie za pomoca secrity salt? Jezeli tak to ma to teraz sens ;]
Dzieki za link - w wolnej chwili jak wszyscy opuszcza pokoj przeczytam
Ostatnio edytowany przez duke_piotr (2009-04-27 11:56:34)