Сайт отправляет форму для авторизации. Пароль передаётся серверу, сервер хеширует и сверяет с хешем в базе. Это банальная схема авторизации на любом сайте.
Когда пользователь авторизируется на стороннем сайте. То пароль можно просто перехватить. Возможно хеширование пароля js скриптом на стороне пользователя и потом передача на сервер, но и тут можно перехватить, встроив в js передачу пароля до хеширования.
ЗЫ. Если я вам это не сказал никто б из вас до этого не додумался.
когда запущу проект попробуйте ;)
А вы думаете их не взламывали? Эти корыта лотают постоянно :)
На самом деле любая система по сути дырявое корыто. Всё дело в том что 99% людей никогда не смогут взломать даже такую простую мою систему, так как больше 80% даже не будут и пытаться, а те кто будут не смогут, но 1% всё же те кто умнее меня это сделают. И в любой системе так, если найдутся люди которые умнее тех кто её создал, то система окажется дырявым корытом.---------- Добавлено 10.01.2020 в 11:42 ----------
Улыбнуло :) при желании это легко обойти
Solmyr, Меня интересует защита данных на стороне пользователя, способ шифрования тут не критичен, ассиметричное шифрование выбрал просто потому что в PHP есть модуль openssl с помощью которого можно генерировать ключи, делать подпись и шифровать/расшифровать. То есть тут больше этичная проблема, что владельцы сайтов на моём движке могут своровать доступ к аккаунту пользователя, вот и думаю как этого избежать.
База пользователей распространятся не будет, просто пользователи зарегистрировавшись один раз в сообществе смогут авторизоваться на любом сайте этого сообщества покупать, продавать, пользоваться услугами.
Да будет привязка к движку, но личные заказы и др. будут на личном сайте. Использовать это сомнительное счастье вас никто не заставляет :)
Пусть себе кодят сколько угодно. Суть в том что владелец сайта не смог получить данных с помощью которых можно произвести авторизацию, например пароль.
Публичный ключ на компьютере пользователя, js скрипт кодирует им данные и эти данные передаются на сервер, то есть владелец сайта не сможет узнать что закодировал пользователь так как у него нет приватного ключа для раскодировки, но думаю он может украсть публичный ключ чтобы потом авторизироваться как тот пользователь
Смысл следующий. Люди будут делать сайты на моём движке. На всех этих сайтах будет единая база пользователей с внутренней платёжной системой. То есть создав новый проект у него сразу же будут пользователи( на сайтах сообщества будут ссылки на новый проект).
Я знаю что это уязвимо, поэтому через соц сети никому на разных сайтах авторизоваться не советую, к вашему аккаунту легко могут получить доступ, поэтому в соц сетях так часто взламывают аккаунты.
Да хочу сделать единую базу пользователей, это удобно, но хочу обезопасить пользователей от взлома, поэтому думаю как улучшить защиту.---------- Добавлено 10.01.2020 в 10:35 ----------
Только дебилы так могут думать :)
А это высер недоумка :)
Апокалипсис, Я по началу решил задачу ТС, ему надо было найти что в скобках вместо ***
Потом доработал, чтобы искался простейший JSON, ключи с значениями
Ну и вот ещё доработал https://regex101.com/r/nt6nsK/3
Теперь будет искаться просто JSON, потом уже его разбирать функциями для его обработки
Sitealert, Если задача требует таких данных, то можно доработать, а для простого формата норм.
