Jump to content

Segurança no registo de utilizadores

nuno_couto

By nuno_couto
in PHP

 Share

Recommended Posts

nuno_couto void

nuno_couto

Posted
Posted

Viva.

A minha questão tem a ver com a segurança dos sistemas de registo de utilizadores.

Como é que se garante que um "bot" não consiga criar automaticamente novos utilizadores?

Estava a pensar em criar um script que obrigue ao envio de um email que contenha um link de confirmação do registo, e para alem disso não permita dois emails iguais... Mas acho que isto não deve ser suficiente.

O famoso sistema da confirmação dos caracteres da imagem é aconselhável? E já agora, o que se deve fazer para que o bot não possa identificar a imagem e apartir poder ser programado para introduzir o texto "x" para a imagem "x"?

portalmundial.net »» criamos sites

nuno_couto void

nuno_couto

Posted
  • Author
Posted

Em relação à confirmação por email, o bot não poderá estar feito para criar contas de email ou redireccionamentos de email num determinado domínio e receber as confirmações?

E relativamente às imagens, se existirem (por exemplo) 20 imagens, 01.jpg 02.jpg ... etc... o bot não pode estar programado para verificar qual o ficheiro e ter já o texto introduzido pelo programador que o criou?

portalmundial.net »» criamos sites

karva boolean user

karva

Posted
Posted

quanto às imagens, eu nao tenho a certeza, mas acho que ele cria a img, tipo as sigs interactivas, com um numero random, introduz esse numero numa BD, e associa-o a uma session id...

Proud LEIC-A@IST student!

Drone boolean user

Drone

Posted
Posted

Por falar em segurança de registo de utilzadores para nao estar a criar um topic novo aproveito este, ate que ponto é seguro ou náo ter a password encriptada com md5 ou sha1 or whatever na base de dados?

Ja vi sites em que na parte que toca a segurança convem ser mto bem protegida e ao fazermos "recuperar a password" ele enviam-nos para o e-mail a nossa password, ou seja para enviar-nos a nossa password ela nao deve estar encriptada na base dados, digo eu...  ?

pedrotuga try-catch user

pedrotuga

Posted
Posted

mesmo ke esteja encriptada, eles devem usar um algoritmo próprio, do qual têm o decriptador...

md5 e sha não são algoritmos de encriptação... sao algoritmos de hashing... ou seja... algoritmos de um só sentodo em que a insformação se perde.

Assim sendo não existe nenhum decriptador destes algoritmos.

Os sites que enviam a pass por email não a podem ter guardade depois de u algoritmo de hash.

md5 e sha não permitem devolver a situção, mas há tecnicas para encontrar um palavra que valide com o mesmo md5 que a original.

Normalmente os ataques são por força bruta... coisa que um bom webmaster prevê e evita, por exemplo com um limite temoporal de 10 segundos.

kingless void

kingless

Posted
Posted

mesmo ke esteja encriptada, eles devem usar um algoritmo próprio, do qual têm o decriptador...

md5 e sha não são algoritmos de encriptação... sao algoritmos de hashing... ou seja... algoritmos de um só sentodo em que a insformação se perde.

Assim sendo não existe nenhum decriptador destes algoritmos.

Os sites que enviam a pass por email não a podem ter guardade depois de u algoritmo de hash.

md5 e sha não permitem devolver a situção, mas há tecnicas para encontrar um palavra que valide com o mesmo md5 que a original.

Normalmente os ataques são por força bruta... coisa que um bom webmaster prevê e evita, por exemplo com um limite temoporal de 10 segundos.

o md5 e sha não deixam de ser encriptadores e ja existem alguns desencriptadores de md5 😄

Guest id194

Guest id194

Posted
Posted

esse tipo de desincriptadores cheira-me que é igual aos muitos que andam por ai que apenas procuram em base de dados enormes por alguma hash que tenham, se não tiverem registo dela, não descobrem.

Mas já existe um algoritmo para descodificar hashes md5... há algum tempo e eu não fazia ideia até à uns dias atras lol e que o código para isso tava na net... vou começar a mudar tudo pa sha-1 pk ai acho que ainda não conseguem descobrir nada.

http://it.slashdot.org/article.pl?sid=05/11/15/2037232

karva boolean user

karva

Posted
Posted

esse tipo de desincriptadores cheira-me que é igual aos muitos que andam por ai que apenas procuram em base de dados enormes por alguma hash que tenham, se não tiverem registo dela, não descobrem.

Mas já existe um algoritmo para descodificar hashes md5... há algum tempo e eu não fazia ideia até à uns dias atras lol e que o código para isso tava na net... vou começar a mudar tudo pa sha-1 pk ai acho que ainda não conseguem descobrir nada.

http://it.slashdot.org/article.pl?sid=05/11/15/2037232

eu nao conheco nenhum algoritmo pa desencriptar md5, so conheco uma cena ke se chama rainbow tables, tabelas que podem chegar a ter 30gb(sim, gigas) de tamanho, onde tao todos os hashes possiveis e imaginarios ate um determinado numero de caracteres

Fika aki o exemplo duma estrutura: (os hashes tao a balda)

portugal - 123456789123456789123456

a - 987654321987654321

programar - 25454651451212121

dps e so buscar o hash que tamos a procura, e ver qual a palavra ou expressao ke kom ele coincide

Proud LEIC-A@IST student!

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share
Go to topic listing
×
×
  • Create New...

Important Information

By using this site you accept our Terms of Use and Privacy Policy. We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.