Mano Klausimai (Page 3 of 4)

Jei piktas dede prasibrove iki failu - viskas tu nudauztas galutinai (nes visus algoritmus jis jau mato).
Jei pitas dede tik nusiurbe db - na vilties dar yra kad pass neiskoduos, taciau pitas dede bus ir susikures acc ir jau zinos koks buvo pirminis variantas ir kas gaunasi uzkodavus (juo labiau labai piti dedes tiktrai gerai ismano apie kodavimus).

Siaip pries mastant apie "super sustrus" kodavimo algoritmus, reitu pirma ismokti tvarkingai rasyti coda nepaliekant zioplu saugumo spragu.

Kas dėl "failų turėjimo" - žinojimo kokiu būdu yra užkoduoti slaptažidžiai, tai dažnai yra taip, kad tiesiog mes sužinom kokią atvirto/uždaro kodo sistemą naudojama, ir mums nereikia būtinai parsisiųsti failų iš to konkretaus puslapio - mes failus gali parsisiųsti iš sourceforge.net (-; Dar kitas dažnas atvejis, kai kažkokia kompanija gamina uždaro kodo TVS/framework, ir diegia tik į klientų serverius. Tai vėlgi - užtenka gauti failus iš vieno iš klientų, kad sužinotum, kokiu principu koduojamas slaptažodis pas kitą klientą.

Dar kitas dalykas, yra kai failai gaunami tik skaitymo būdu - t.y. gali skaityti failus ir jų turinį, bet negali niekur nieko įrašyti ir modifikuoti - tai čia dar nereiškia, kad "svetainei amen", nes net tokiu atveju turint viską teisingai sukonfigūruota ir kai nėra kitų saugumo spragų - svetainė lieka veikianti ir duomenys gali būt nepasiekiami.

Kas dėl druskos (salt) tai vėlgi, jeigu yra nežinoma kaip generuojama druska, tai yra vienas atvejis, jeigu žinoma tai kitas.
žinant kokiu būdu pridedama ir kokia "druska" crackinant passwordus tai praktiškai neprideda papildomo saugumo.
Nežinant prideda tiek pat kiek "sunkesnis" hash'as ar atitinkamo ilgio/sudėtingumo passwordas.

Visada yra riba, kai tau jokio skirtumo ar passwordus brute-force'ins 20min. ar 40., bet yra labai didelis skirtumas ar surasti passwordą užtruks 1d. ar 1000metų (-;

Mano patarimas - programuoti taip, kad jeigu kažkas turėtų jūsų visus programos source'us - negalėtų "nulaužti" veikiančios sistemos. Paprasta, bet kartu daugeliui ir sudėtinga užduotis. Taisyklė realiai apima visas kitas taisykės ar geras praktikas (-;

apsisaugoti nuo brute force galima baninant ip ar userį prie kurio bando prisijungti. Tai patikrinti 100 slaptažodžių vykdant žodynėlio ataką - gali užtrukti metus :)

captcha čia sprendimas tinkamas labiau kokiems komentarams ar pan, o ne vartotojų prisijungimui prie informacijos valdymo verslo sistemose :)

Oi :)

O tai koks tada būtų siūlymas? private public key? :)

Salt'o nauda "tik tiek", kad standartinės vaivorykštės nebepadės. Jei laužiasi koks vaikis, to turėtų pakakti :) Iš ilgo salto naudos būna, kai blogas dėdė gauna priėjimą tik prie SQL (pvz kreivas hostingas, kuri visi vartotojai gali skaitytui visų DB) :/

Jei kalba eina apie visokias PlayStation lygio sistemas, nemanau kad vartotjojų spaltažodiai išvis turėtų būti laikomi tame pačiame serveryje. Viską perkėlus į atskirą dėžę, tik su būtiniausiais paketais bei griežta ungiasiene, kai tokia sistema grąžina tik true/false, tinkamo ar netinkamo passwordo atveju, nujoti passwordus jau būtų arti neįmanomo :) Tik mažiems projektams tokie fokusai per sudėtingi, dideli ant visų dėję, nes jie dideli :D

preg_replace() funkcija grąžina NULL jeigu nepacyko nieko rast pakeitimui, manau tavo atveju taip ir turėtų būt, nes pattern'o eilutėje tiek viduje tiek išorėje naudoji viengubas kabutes - tau iš vis turėtų mesti sintaksės klaidą, kad bloga eilutė.

Taigi noriu pasidaryt "watermark" su GD.
Pasidariau taip:

header('Content-Type: image/jpg');
$wk = imagecreatefrompng('PNG Paveikslelis');
$img = imagecreatetruecolor(14, 14);
$img = imagecreatefromjpeg("Paveikslelis");
$dest_x = $size[0] - $watermark_width - -105; 
$dest_y = $size[1] - $watermark_height - -130;
imagecopymerge($img, $wk, $dest_x, $dest_y, 0, 0, 14, 14, 100);
imagejpeg($img);  
imagedestroy($img);  
imagedestroy($wk);
?>

Viskas veikia puiktiai tik viena bedele "$wk = imagecreatefrompng('PNG Paveikslelis');" yra su baltu fonu , nors turetu but be fono [permatomas fonas].
Taigi ka blogai darau?

@Avice
tavo klausimai, bet apie watermark google daugiau žino, nei čia gali paklausti, gi visvien pateikei sau atsakymą, kad balti fonai :)