VBsupport перешел с домена .ORG на родной .RU
Ура!
Пожалуйста, обновите свои закладки - VBsupport.ru
Блок РКН снят, форум доступен на всей территории России, включая новые терртории, без VPN
На форуме введена премодерация ВСЕХ новых пользователей
Почта с временных сервисов, типа mailinator.com, gawab.com и/или прочих, которые предоставляют временный почтовый ящик без регистрации и/или почтовый ящик для рассылки спама, отслеживается и блокируется, а так же заносится в спам-блок форума, аккаунты удаляются
Если вы хотите приобрести какой то скрипт/продукт/хак из каталогов перечисленных ниже: Каталог модулей/хаков
Ещё раз обращаем Ваше внимание: всё, что Вы скачиваете и устанавливаете на свой форум, Вы устанавливаете исключительно на свой страх и риск.
Сообщество vBSupport'а физически не в состоянии проверять все стили, хаки и нули, выкладываемые пользователями.
Помните: безопасность Вашего проекта - Ваша забота. Убедительная просьба: при обнаружении уязвимостей или сомнительных кодов обязательно отписывайтесь в теме хака/стиля
Спасибо за понимание
как происходит верификация, что пользователь уже авторизован??
ведь в базе данных одно, в куки совсем другое ////////
когда ты вводишь свой логин и пароль и нажмаешь на кнопку вход происходит следующее:
1) Если ты НЕ установил опцию "запомнить": твой пароль шифруется по ихнему алгоритму - с солью и с серийником, далее сравнивается то что получилось с тем хешем который хранится в базе. Ессно если все правильно они должны совпадать. В случае совпадения стартует сессия - в базе появляется запись о том что ты(твой ник) зашел на форум и в браузере создается кук с твоим sessionid. При переходе по дальнейшим страницам считывается твой кук с сессией и смотрится не истекла ли она (есть ли в базе такая запись).
2) Если ты УСТАНОВИЛ опцию "запомнить пароль". То происходит все тоже самое что в пункте 1, только дополнительно браузер создает две куки - userid и password. В первой понятно что хранится, во второй хранится хэш от того хэша что записан в базе (проще говоря он еще раз шифруется md5 для доп безопасности). Дальнейшая работа с форум происходит по средствам сесионной куки, но в том случае если сессия кончается, форум считывает куки с userid и password, сравнивает со значениями в БД и стартует новую сессию (может продолжает старую, если та еще не истекла). При этом берется хэш твоего пароля из базы, опять же таки еще раз шифруется и уже тогда сравнивается с тем что у тебя в куках.
вроде все.
@ViolentOr
АнтиГуру
Join Date: Dec 2005
Location: Жо.. просто жо
Posts: 2,260
Версия vB: 3.8.5
Reputation:
Гуру 493
Репутация в разделе: 290
1
Quote:
твой пароль шифруется по ихнему алгоритму - с солью и с серийником
причем шифруется дважды) если я правильно помню формулу, то
мд5(мд5(пароль+лицензия)+соль)
так что вскрыть его задачка ДАЛЕКО не из простых)
@anonym666
Почти новичок
Join Date: Sep 2005
Posts: 689
Версия vB: 3.6.0
Reputation:
Knowing 240
Репутация в разделе: 124
0
... а при авторизации отсылается значение мд5(пароль+лицензия), для верификации дорисвоывается соль и считается мд5, поэтому в куки или при залогинивании не совсем то что в бд
@КиллерМЕН
Почти новичок
Join Date: Jun 2006
Posts: 75
Версия vB: 3.6.x
Пол:
Reputation:
Novice 1
Репутация в разделе: 0
0
А если у пользователя отключен прием кук то как форум продолжает поддерживать сессию ?
Ну зашел я авторизировался создалась запись в БД обновил страничку и как булка определила что это опять я ? если кукисы не сохраняются.
Работа с пользователями
