Új hozzászólás Aktív témák

• #10548 Tele von Zsinór őstag Soak #10547

  Új Válasz 2012-08-02 13:17:36 #10548

  Új hozzászólás

  Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

  Privát üzenet küldése

  

  Tele von Zsinór

  őstag

  válasz Soak #10547 üzenetére

  Igen, ennyi a lényeg. Usernevet nem kell tárolni, a token pontosan azonosít egy felhasználót. És igen, ha megszerzi a tokened, azzal be tud lépni, ez egy komoly biztonsági kockázata ennek a funkciónak. Javítani lehet a helyzeten, ha egy tokent adott ip-re (vagy ip tartományra) korlátozol.

  sztanozs: egyszerű, könnyen érthető példát akartam. Az mt_rand nem erős kripto értelemben. Arra inkább az openssl_random_pseudo_bytes kell neked, de még ez sem az igazi - valójában php-ben kriptográfiailag biztos véletlen érték generálása nem éppen triviális feladat. Érdemes megnézni a CryptLib Random részét, ez számos forrást ismer, és ezeket kombinálva kellemes nagyságú entrópiát tud létrehozni.

Új hozzászólás Aktív témák