La domanda segreta presume che la password non sia hashata, ma al meglio cryptata. Il che rappresenta un modo completamente diverso di custodire una password, intendo metodo diverso dall'utilizzo di un hash.Originariamente inviato da }gu|do[z]{®©
già che siamo in tema invece eviterei la domanda segreta che spesso è intercettabile da amici o conoscenti
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
![L'avatar di }gu|do[z]{®©](image.php?u=17713&dateline=1210448886 "L'avatar di }gu|do[z]{®©")
intendevo la possibilità di resettarla con domanda segretaOriginariamente inviato da piero.mac
La domanda segreta presume che la password non sia hashata, ma al meglio cryptata. Il che rappresenta un modo completamente diverso di custodire una password, intendo metodo diverso dall'utilizzo di un hash.
si quel sistema idiota ke usa hotmail ad esempio, troppo insicura personalmente ho trovato una ventina di risposte """segrete""" con una mail o telefonata.
"ciao sono chad, scusa se ti disturbo sto facendo un sondaggio, qual'è il tuo film preferito?"
pammm beccati 5 pesci così
il problema è che il tasto di richiesta password così deve essere privato perchè se è pubblico e un utonto invia la richiesta password all'admin tanto per premere un tasto a caso, l'admin si vede cambiare la pass con la nuova a random senza volerlo...Originariamente inviato da Ratatuia
esatto, un'ottima soluzione è anche questa...poi sta all'utente cambiarsela ancora o tenersela fino alla successiva richiesta di password dimenticata
Ma dai... si presume che l'e-mail viene inviata all'indirizzo che si trova nel db con lo user e non "on request" dal primo che passa. Ci mancherebbe pure questa.Originariamente inviato da mdsjack
il problema è che il tasto di richiesta password così deve essere privato perchè se è pubblico e un utonto invia la richiesta password all'admin tanto per premere un tasto a caso, l'admin si vede cambiare la pass con la nuova a random senza volerlo...
Il silenzio è spesso la cosa migliore. Pensa ... è gratis.
beh, certo che è inviata all'indirizzo dell'admin, ma se il tasto è pubblico? mica puoi far autenticare uno che si è dimenticato la pass.Originariamente inviato da piero.mac
Ma dai... si presume che l'e-mail viene inviata all'indirizzo che si trova nel db con lo user e non "on request" dal primo che passa. Ci mancherebbe pure questa.
il tasto manda una mail con un link univoco da cui resettare l apasswordOriginariamente inviato da mdsjack
beh, certo che è inviata all'indirizzo dell'admin, ma se il tasto è pubblico? mica puoi far autenticare uno che si è dimenticato la pass.
eheh ovvio,cerca l'id dove user e mail ci sono, valida, uppa la pass randomizzata e poche righe + sotto manda x mail, poi a lui arriva la sua bella pass tipo w43wjho24i38f34h8r34f894f3jh e sò poi cavoli suoi a usare quella o modificarla
Originariamente inviato da }gu|do[z]{®©
il tasto manda una mail con un link univoco da cui resettare l apassword
...e il link univoco potrebbe essere ottenuto appendendo in querystring l'md5 della concatenazione dell'username (o dell'id) con una parola qualsiasi scelta dallo sviluppatore e invariante nel tmepo..
in questo modo se qualche furbo cambia l'id nel link per resettare la password di un'altro utente.. l'md5 in querystring non corrisponderà più all'md5 calcolato sulm server al momento della verifica
eh? interessante ma non ho capito benissimo..Originariamente inviato da }gu|do[z]{®©
...e il link univoco potrebbe essere ottenuto appendendo in querystring l'md5 della concatenazione dell'username (o dell'id) con una parola qualsiasi scelta dallo sviluppatore e invariante nel tmepo..
in questo modo se qualche furbo cambia l'id nel link per resettare la password di un'altro utente.. l'md5 in querystring non corrisponderà più all'md5 calcolato sulm server al momento della verifica
Permessi di invio
Rispondi quotando