блок IP

[Simon]

Как лучше реализовать блокировку ИП для пользователя на время не используя базу?..в инете есть с использование массива...ток вот н3 на скок он надежный %)

[rus]

записывать в файл например.

[Veseloff]

С массивом идея хорошая — так будет относительно быстро, хотя всё зависит от того как именно это реализовано.

[Simon]

просто стоит на сайте активация аккаунта, и думаю как там сделать что бы при переходе на ссылку более 3х раз неудачно что бы блокировать ИП нуу и можно и акк на время...

[Veseloff]

Блокировать по IP — чрезвычайно плохая идея для этих задач, ибо в маленьких городах зачастую вообще все жители имеют один внешний IP, то же может наблюдаться в офисных зданиях с подлым руководством, а так же есть риск забанить «Оперу Турбо». Я бы посоветовал вам так не делать вообще.

[Simon]

Блокировать по IP — чрезвычайно плохая идея для этих задач, ибо в маленьких городах зачастую вообще все жители имеют один внешний IP, то же может наблюдаться в офисных зданиях с подлым руководством, а так же есть риск забанить «Оперу Турбо». Я бы посоветовал вам так не делать вообще.

ну тогда лучше блокировать ток акк на время ?? и если блокировать то на 2 часа или скок там...не на всегда

Edited February 16, 2011 by Simon

[Veseloff]

Я бы вообще ничего не блокировал. Какой в этом смысл?

[Simon]

а есть вероятность подбора ключа? или эт все фигня?...прост думаю как обезопасить регистрацию

[rus]

а есть вероятность подбора ключа? или эт все фигня?...прост думаю как обезопасить регистрацию

у вас сверхсекретные данные какие-то будут юзеры хранить в своем акке?

шифрование md5+salt раскодируется методом перебора +- полгода год.

[Simon]

береженого, Бог бережет ))

псиб за совет будем пользоваться солью

Edited February 16, 2011 by Simon

[Int]

А я предпочитаю ещё в каком-либо месте MD5 засунуть случайную циферку, пущай перебирают.

[Simon]

а подскажите как происходит авторизация солью? никак понять не могу....

типа при вводе логина и пароля, выбираем из базы этот логин, из него снимает соль_ключь, хэшируем его как при регистрации + пароль, получаем соленый хэш, дальше проверяем то что получилось с тем что у нас есть в базе на этого пользователя?

Edited February 16, 2011 by Simon

[Veseloff]

1. Регистрация. Пользователь вводит какой-нибудь пароль. Мы его получаем и «разбавляем» (т.е. добавляем в начало, в конец, середину, вообще куда угодно) только что сгенерированной строкой-солью. Например, пользователь придумал пароль «qwerty», генерируем строку-соль, например получилась «Jb7gUNHks6», совмещаем, получается «qwertyJb7gUNHks6». Берём от этой строки хэш:

$password=hash('sha512', $userpassword);

Сохраняем получившийся результат в БД, а так же строку-соль.

2. Проверка правильности пароля. Пользователь вводит логин и пароль. Делаем запрос в БД

SELECT `password`, `salt` FROM `users` WHERE `username`='$username'

Далее по тому же принципу из первого пункта «солим» введённый пользователем пароль, берём от него хэш, сравниваем с тем, что у нас в БД. Если совпало — добро пожаловать, не совпало — с мопеда.

Вот так. Вы совершенно правы.

[rus]

код заимствованный с пыхи:

/*
** Функция для генерации соли, используемоей в хешировании пароля
** возращает 3 случайных символа
*/
function GenerateSalt($n=3) // берем из соли три случайных символа
{
	$key = '';
	$pattern = '1234567890abcdefghijklmnopqrstuvwxyz.,*_-=+'; // генерируем соль
	$counter = strlen($pattern)-1;
	for($i=0; $i<$n; $i++)
	{
		$key .= $pattern{rand(0,$counter)}; // перемешиваем соль случайным образом
	}
	return $key; // возвращаем результат в $key
}

занесение юзера в таблицу бд:

	// если ошибок нет, то добавляем юзаре в таблицу	
	if (!$error)
	{
		// генерируем соль и пароль

		$salt = GenerateSalt();
		$hashed_password = md5(md5($password) . $salt); // хэшируем пароль в md5+salt

		$query = "INSERT
					INTO `users`
					SET
						`login`='".$login."',
						`password`='".$hashed_password."',
						`salt`='".$salt."'";
		$sql = mysql_query($query) or die(mysql_error());


		echo "<p>Поздравляем, Вы успешно зарегистрированы!</p>";
	}