Sly32, по себе судите.. вы костылестроитель больше чем я, я с ноля всё пишу и очень хорошо(в мой код никакие костыли не потребуются),
а вы костыли(разные либы, говнокоды и прочее) втыкаете, подправляете и тд. :) поэтому багов, дыр у вас как песка в пустыне :)
Sly32, Я то знаю, потому что я не Джон Сноу :) а вот вы даже не в вакууме, просто пустое место..
Балабол я и ещё какой :) и доказывать не чего
Как владелец сайта пароль пользователя можно получить, как бы он не передавался, хотябы скриптом на машине пользователя.
Что касается авторизации с других сайтов, тут сложнее, но можно, банально фишингом или трояном и тд... Я этим не занимаюсь и мне это не интересно, но знаю об этом, так как без этих знаний не сделать хороший защищённый продукт.
ЗЫ. Если вам интересно взломают ли вашу систему или нет, зайдите в даркнет и попросите там, они будут рады вашим 1000$ :)
_SP_, мне ваши деньги не нужны, хернёй страдать не собираюсь.
ЗЫ. Общение с вами всеми меня развлекло и натолкнуло на интересную мысль. Проблему решил :) Всем спасибо.
Как же вы наивны :) Это всё защита от дурака, при желании можно получить любые данные при такой защите.
Практически любую защиту можно обойти. Поэтому чем сложнее защита, тем она надёжнее :) вот я и думаю как сделать посложнее и понадёжнее.
Сайт отправляет форму для авторизации. Пароль передаётся серверу, сервер хеширует и сверяет с хешем в базе. Это банальная схема авторизации на любом сайте.
Когда пользователь авторизируется на стороннем сайте. То пароль можно просто перехватить. Возможно хеширование пароля js скриптом на стороне пользователя и потом передача на сервер, но и тут можно перехватить, встроив в js передачу пароля до хеширования.
ЗЫ. Если я вам это не сказал никто б из вас до этого не додумался.
когда запущу проект попробуйте ;)
А вы думаете их не взламывали? Эти корыта лотают постоянно :)
На самом деле любая система по сути дырявое корыто. Всё дело в том что 99% людей никогда не смогут взломать даже такую простую мою систему, так как больше 80% даже не будут и пытаться, а те кто будут не смогут, но 1% всё же те кто умнее меня это сделают. И в любой системе так, если найдутся люди которые умнее тех кто её создал, то система окажется дырявым корытом.---------- Добавлено 10.01.2020 в 11:42 ----------
Улыбнуло :) при желании это легко обойти
Solmyr, Меня интересует защита данных на стороне пользователя, способ шифрования тут не критичен, ассиметричное шифрование выбрал просто потому что в PHP есть модуль openssl с помощью которого можно генерировать ключи, делать подпись и шифровать/расшифровать. То есть тут больше этичная проблема, что владельцы сайтов на моём движке могут своровать доступ к аккаунту пользователя, вот и думаю как этого избежать.
База пользователей распространятся не будет, просто пользователи зарегистрировавшись один раз в сообществе смогут авторизоваться на любом сайте этого сообщества покупать, продавать, пользоваться услугами.
Да будет привязка к движку, но личные заказы и др. будут на личном сайте. Использовать это сомнительное счастье вас никто не заставляет :)
