Сперли дамп базы

Сообщение **Siava** » 19.05.2005 2:28

Erlang
да. В правах пользователя.

Erlang · Сообщение **Erlang** » 19.05.2005 5:23

А они будут равнозначны?

crash · Сообщение **crash** » 19.05.2005 5:36

Erlang да

[R: R@m$e$ :U] · Сообщение **[R: R@m$e$ :U]** » 19.05.2005 11:21

Merlin
а может лучше поставить мод md5*3 =) или как-то так... есть в бета версиях =)

Егор Наклоняев · 19.05.2005 12:05

Гм. Позволю себе встрять, дело в том, что вы забываете о человеческой психологии.
Давайте без обиняков, кто из вас, позиционирующих себя "админами" пользуется паролем больше 6 символов с чередованием прописных, строчных и цифр? А?
Сколько у Вас на форуме людей с паролем 12345 или другими примитивами, которые легко разгадываются по MD5?
Теперь угадайте, что будет, когда человеку принудительно пришлют новый пароль, после того как Администратор обнулил все пароли?
Правильно! Он войдет, и вернёт пароль в предыдущее состояние на радость хакерам.

Возникает вопрос: а есть ли решение? Есть.

В таблицу пользователя добавляется срок окончания пароля. По истечению срока действия при регистрации сессии вместо открытия затребованной страницы предлагается ввести новый пароль с подтверждением, ОТЛИЧНЫЙ ОТ СТАРОГО, с котролем длины.
Завести таблицу использованных паролей, чтобы пароли не повторялись...
Примерно, в таком аспекте...

Dion · Сообщение **Dion** » 19.05.2005 12:20

Я может чё-то торможу, а как эта фигня-то (с изменеием номера) делается?
По-идее, надо создать файл phpbb_db_backup.sql:

Код: Выделить всё

UPDATE phpbb_users SET user_id=464 WHERE username='admin_name';
UPDATE phpbb_posts SET poster_id = 464 WHERE poster_id=2;
UPDATE phpbb_privmsgs SET privmsgs_from_userid = 464 WHERE privmsgs_from_userid=2;
UPDATE phpbb_privmsgs SET privmsgs_to_userid = 464 WHERE privmsgs_to_userid=2;
UPDATE phpbb_user_group SET user_id = 464 WHERE user_id=2;
UPDATE phpbb_topics_watch SET user_id = 464 WHERE user_id=2;
UPDATE phpbb_vote_voters SET vote_user_id = 464 WHERE vote_user_id=2;
UPDATE phpbb_topics SET topic_poster = 464 WHERE topic_poster=2;

и "восстановить" БД
Я ничего не забыл?

2Егор Наклоняев:
Ну мой пароль использует строчные, прописные и спецсимволы: более 10 знаков, менее 15-ти

Кстати, наверное, не сложно при желании прикрутить что-то типа sequrity mod, который проверял бы исползованные пароли аналогично испаользованным никам...

surgeon · Сообщение **surgeon** » 20.05.2005 0:03

[R: R@m$e$ :U] писал(а):а может лучше поставить мод md5*3 =) или как-то так... есть в бета версиях =)

А никто не пробовал сделать авторизацию на подобие vbull 3.0.7. Там пасс от клиента идет уже шифрованный и в бд храниться не просто мд5 хэш. Рульный бы мод был! Пожалуй с расшифровкой паролей спертой базы у хаксоров возникли бы реальные проблемы!

Dion · Сообщение **Dion** » 20.05.2005 0:11

Ну, разница между идущими от клиента зашифрованными и незашифрованными данными нулевая против сниффера, а вот небольшой твикинг алгоритма md5 сводит к нулю все старания хацкеров. Быстрее им будет переключиться на другой форум. Главное, шоб эта, как её... энтропия была высокой!

[R: R@m$e$ :U] · Сообщение **[R: R@m$e$ :U]** » 20.05.2005 8:39

Dion & surgeon
у меня сейчас еще есть идея по защите... =) хотя от спертого дампа она не очень защитит... разве что вдвое длинее процесс станет... подробнее после беты скажу =))) так что ждите... =)

Dion · Сообщение **Dion** » 20.05.2005 9:27

Кстати, вопрос о смене id остаётся открытым. Пробовал это сделать уже 3 раза и каждый раз чего-то забывал - так вот, всё ли я перечислил?