LINUX.ORG.RU

История изменений

Исправление Sadler, (текущая версия) :

это что же, значит, у них в БД пароли не хешируются?

Возможно, сообщение отправляется до хэширования.

да не, таких кретинов не бывает.

Я только вчера переписывал систему на IIS 5, ASP (VBScript) и MS SQL, где пароли в открытом виде лежали в базе, а вместо cookies использовался activex плагин. К слову, после аутентификации клиенту отдавался его ID в базе и уровень полномочий, который клиент после этого каждой странице скармливал в get-запросе. То есть, если скормить, скажем, админские полномочия, можно делать что угодно, даже логиниться по сути не надо, ведь user id все по-очереди стоят, 1..N. Да, система работала только под IE6 :D

Теперь, после пары дней моей работы, пароли там хэшируются с солью, activex оторван, сервак переведён на IIS 6, введены рандомные session id, к которым и привязаны полномочия текущей сессии, добавлена поддержка современных браузеров.

Исправление Sadler, :

это что же, значит, у них в БД пароли не хешируются?

Возможно, сообщение отправляется до хэширования.

да не, таких кретинов не бывает.

Я только вчера переписывал систему на IIS 5, ASP (VBScript) и MS SQL, где пароли в открытом виде лежали в базе, а вместо cookies использовался activex плагин. К слову, после аутентификации клиенту отдавался его ID в базе и уровень полномочий, который клиент после этого каждой странице скармливал в get-запросе. То есть, если скормить, скажем, админские полномочия, можно делать что угодно, даже логиниться по сути не надо, ведь user id все по-очереди стоят, 1..N.

Исправление Sadler, :

это что же, значит, у них в БД пароли не хешируются?

Возможно, сообщение отправляется до хэширования.

да не, таких кретинов не бывает.

Я только вчера переписывал систему на IIS 5, ASP (VBScript) и MS SQL, где пароли в открытом виде лежали в базе, а вместо cookies использовался activex плагин. К слову, после аутентификации клиенту отдавался его ID в базе и уровень полномочий, который клиент после этого каждой странице скармливал в get-запросе. То есть, если скормить, скажем, админские полномочия, можно делать что угодно, даже если залогинился под гостем, лишь бы был хоть какой-то логин.

Исходная версия Sadler, :

это что же, значит, у них в БД пароли не хешируются?

Возможно, сообщение отправляется до хэширования.

да не, таких кретинов не бывает.

Я только вчера переписывал систему на IIS 5 и MS SQL, где пароли в открытом виде лежали в базе, а вместо cookies использовался activex плагин. К слову, после аутентификации клиенту отдавался его ID в базе и уровень полномочий, который клиент после этого каждой странице скармливал в get-запросе. То есть, если скормить, скажем, админские полномочия, можно делать что угодно, даже если залогинился под гостем, лишь бы был хоть какой-то логин.