сохранение логина и пароля в доп. базу

Arteguss · Сообщение **Arteguss** » 29.06.2018 14:34

Хочу реализовать функцию "напомнить пароль", чтобы можно было не менять каждый раз, но не знаю, как сделать, чтобы пара логин/пароль дополнительно сохранялась во вторую базу данных без шифрования пароля, чтобы можно было выслать его на почту пользователя. С php дружу не очень, посоветуйте как сделать. Заранее спасибо

Сообщение **Siava** » 29.06.2018 14:44

Arteguss, небезопасно это хранить пароли в открытом виде.

Сообщение **Татьяна5** » 29.06.2018 14:57

И сама функция небезопасна. Любой, кто получит доступ к почте, сможет получить текст пароля, а пароли многие используют одинаковые на куче сайтов

Arteguss · Сообщение **Arteguss** » 29.06.2018 15:31

Ucoz так делал, удобно было.

Ок, я сделаю предупреждение о возможных рисках. А при получении доступа к почте - и так почти наверняка можно добыть кучу паролей. Для защиты доступа к хостингу я сделал всё возможное. Опять же если кто-то всё-таки получит к админке или хостингу, то всё-равно сможет сделать подобное, в чём я очень сомневаюсь. Но всё-же как это можно реализовать?

Сообщение **Татьяна5** » 29.06.2018 20:05

Написать свой мод или расширение (в зависимости от версии phpBB)
Про моды объяснять нечего, там код правится, а про расширения на 3.1-3.2 темы есть в форуме "Для авторов"
В готовом виде такого точно нет

Arteguss писал(а): 29.06.2018 15:31 Опять же если кто-то всё-таки получит к админке или хостингу, то всё-равно сможет сделать подобное

Нет. По хешу текст паролей не восстановить

Balamut · Сообщение **Balamut** » 30.06.2018 16:47

Arteguss писал(а): 29.06.2018 15:31 Для защиты доступа к хостингу я сделал всё возможное.

Это не значит, что хостинг защищён на 100%. Часть параметров безопасности от вас не зависит.

И, как уже говорила Татьяна5, получив базу с хешами злоумышленник не получит пароли. А получив пароли в открытом виде, вы ставите под угрозу не только работу своего ресурса, но и безопасность пользователей и, возможно, нормальную работу сторонних ресурсов (например, провокации от имени пользователя на другом ресурсе, если пароли будут одинаковые).

Так что это очень необдуманное решение. Форумы (движки) прошли уже не один десяток лет в своём развитии, чтобы с уверенностью отказаться от хранения данных аутентификации где бы то ни было в открытом виде (или в виде хеша, который можно расшифровать).

Arteguss писал(а): 29.06.2018 15:31 Ок, я сделаю предупреждение о возможных рисках.

В данном случае, вам нужно сделать предупреждение о том, что вы храните пароли в открытом виде и к ним имеется доступ у неопределённого круга лиц с возможностью идентификации, кому и какой пароль принадлежит (как минимум, связка логин-почта-пароль). И что никто не гарантирует какую-либо сохранность этих паролей.

И всё равно это - плохая идея. Очень плохая.

phpBB Guru - Официальная русская поддержка форума phpBB

сохранение логина и пароля в доп. базу

сохранение логина и пароля в доп. базу

Re: сохранение логина и пароля в доп. базу

Re: сохранение логина и пароля в доп. базу

Re: сохранение логина и пароля в доп. базу

Re: сохранение логина и пароля в доп. базу

Re: сохранение логина и пароля в доп. базу