fagediba Опубликовано 18 Сентября 2010 Жалоба Поделиться Опубликовано 18 Сентября 2010 (изменено) 2,3,6 Так от брутфорса вроде как защитился, теперь нужно бороться с проблемой если логин уже попал злоумышленнику Не могу понять как работают уже те настройки что есть: Сбрасывать ключ авторизации пользователей при каждом входе? Проверить браузер пользователя при проверке сессии Вот это установил в значение "да". Проверяю: спокойно могу одновременно авторизоваться в 2 разных браузерах - мозилле и ие. Эти настройки вообще работают? Также допустим у злоумышленника уже есть пароль. Никакое сбрасывание ключей и сессий тут уже не поможет. Единственный выход - смена пароля пользователю. Есть ли какие-то готовые моды чтобы требовать от пользователей смену пароля каждый определенный период? Изменено 18 Сентября 2010 пользователем fagediba Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
habahaba Опубликовано 18 Сентября 2010 Жалоба Поделиться Опубликовано 18 Сентября 2010 Есть ли какие-то готовые моды чтобы требовать от пользователей смену пароля каждый определенный период?Готового подобного ничего не видел. Написать в принципе такое не сложно. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
fagediba Опубликовано 18 Сентября 2010 Автор Жалоба Поделиться Опубликовано 18 Сентября 2010 Я так понимаю нужно еще одно значение хранить "дата установки пароля" Каждый раз при загрузке страницы проверяется: если "дата установки пароля" + "период действия пароля" < Текущей даты => перекидывать юзера на страницу смены пароля. При смене пароля устанавливается новое значение "даты установки пароля" Соответственно в админке настройки: Включить/выключить мод Ввести срок действия пароля в днях. При смене пароля спрашивается текущий пароль и 2 раза новый. Происходит проверки //----------------------------------------- // Allow user to choose... //----------------------------------------- else { if ( $_POST['pass1'] == "" ) { $this->ipsclass->Error( array( LEVEL => 1, MSG => 'pass_blank' ) ); } if ( $_POST['pass2'] == "" ) { $this->ipsclass->Error( array( LEVEL => 1, MSG => 'pass_blank' ) ); } $pass_a = trim($this->ipsclass->input['pass1']); $pass_b = trim($this->ipsclass->input['pass2']); if ( strlen($pass_a) < 3 /* v forme vosstanovleniia parolia proverka na parol */ or strlen($pass_a) < 8 OR is_numeric($pass_a) OR ! preg_match( "/\d/", $pass_a ) OR ! ( stripos( $member['name'] , $pass_a ) === false ) OR ! ( stripos( $pass_a , $member['name'] ) === false ) ) { $this->ipsclass->Error( array( LEVEL => 1, MSG => 'pass_too_short' ) ); } if ( $pass_a != $pass_b ) { $this->ipsclass->Error( array( LEVEL => 1, MSG => 'pass_no_match' ) ); } $new_pass = md5($pass_a); Это мои проверки: от 8 символов, логин не содержит пароль, пароль не содержит логин, должен содержать буквы и цифры. Сколько за такой модуль? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
fagediba Опубликовано 20 Сентября 2010 Автор Жалоба Поделиться Опубликовано 20 Сентября 2010 habahaba изготовил мне модуль автосмены. Отредактировал его как мне нужно и запустил только что, надеюсь все пройдет удачно habahaba отреагировал на это 1 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.