Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Безопасность MySQL, Растолкуйте выписку из мануала
 
Выписка из мануала:

Цитата
Обратите внимание: даже если ваш пароль хранится в 'зашифрованном виде', то знания этого 'зашифрованного' пароля будет достаточно, чтобы подсоединиться к серверу MySQL!
Не понял: каким образом можно используя хэш приконнектиться к серверу?
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
Может имеется ввиду подбор пароля под этот хэш?
 
просто по сети посылается также хэш пароля (чтоб не заснифали)
вот его так и можно юзать...
 
JUmPER
Не хочешь ли ты сказать что хеш генерируется у клиента при вводе пароля, и хеш идёт серверу, а тот его принимает и сравнивает?
Я думаю что хеш формируется всё-таки на стороне сервера при приёме пароля
"Красота - как специи, которые хорошую еду делают ещё вкуснее, а без еды есть невозможно."
 
:sensored:
Изменено: qwe113 - 06.12.2011 09:12:21
 
К сожаленью информация об используемом протоколе аутентфикации в MySQL является недокументированной(и грамотнее всего это выяснить с помощью любого сниффера). Но как можно догадаться из обрывков информации в документации, пароль посылается двумя разными способами.
1. В "зашифрованном" виде, т.е. хеш пароля(в последней версии используется MD5)
2. В открытом виде, когда пользователь вводит его в командной строке после команд идентификации(без запроса от системы).

Да, Вы правы, взломать сессию при желании может любой желающий - просто "зашифрованный" пароль не позволит увидеть открытые пароль...

Кстати, в Oracle сделано намного грамотнее - там используется протокол O3LOGON и просто так там сессию не взломаешь, хотя способ тоже есть...
 
подскажите ссылки,где можно найти инфу по sql injection для начинающих.
Горит диплом!  :(
 
Цитата
Tanya пишет:
подскажите ссылки,где можно найти инфу по sql injection для начинающих.
Горит диплом!

Самая понятная стаья в этом плане есть где-то на CitForum'е, сейачс только не помню точно где...
 
Цитата

для начинающих
;) я могу на пальцах рассказать.
Но раз тебе для диплома то почитай Низамутдинова  "Тактика защиты и нападения Web-приложения". Там есть все  SQL- инъекция, php  инъекция, XSS.
 
Цитата
Samuell пишет:
в последней версии используется MD5
они что с SHA-1 перешли на MD5???
Страницы: 1
Читают тему