• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Запретить вход

  • Автор темы Didokz
  • Дата начала
D

Didokz

Подскажите пожалуйста, что необходимо сделать,чтобы пользователи под старыми своим айдишниками не могу зайти. Можно ли сервер пересертифицировать?
 
P

puks

Lotus Team
03.02.2007
1 919
55
BIT
3
А что значит под старыми? Чем они от новых отличаются?
 
D

Didokz

puks сказал(а):
А что значит под старыми? Чем они от новых отличаются?
Нажмите, чтобы раскрыть...
не отличаются ничем ))
в целях безопасности, заново хотим ID-шники раздать пользователям, но уже не всем )))
Дело в том что у некоторых юзеров лежать ID-шиники других пользователей, т.е были случае, они заходили под дргуим пользователем и переписывались :)
А пароль на сервере не менятся, только у клиента в ID файле хранится, правильно ?
Или можно к IP-шнику привязать ? что бы юзер только от своего компа заходил
Можно ли пересертифицировать сервер, что бы старые ID были не действительными
Какие пути решения можете предложить
За ранее спасибо !!!
 
M

morpheus

Вам надо включить проверку паролей
И тогда на сервер будет пускать только те ИД у кого пароль совпадает с хэшем хранимым в АК
 
lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 941
609
BIT
214
ещё вариант - пересоздать юзеров, "поверх" существующих...
минус - если есть шифрованные данные, и прочие ф-ции завязанные на ключи паблик/прайвет - ульдык настанет им :)
 
D

Didokz

lmike сказал(а):
ещё вариант - пересоздать юзеров, "поверх" существующих...
минус - если есть шифрованные данные, и прочие ф-ции завязанные на ключи паблик/прайвет - ульдык настанет им :)
Нажмите, чтобы раскрыть...
ну в первую очередь об этом подумали конечно, но потом выяснили, что некоторые юзеры любят шифроваться )))
этот вариант исключили.
А если сервер переустановить...можно ли сохранить существующих юзеров и все данные юзера ?
 
A

Anfit

Самый лучший вариант - выставить в АК проверку пароля, и всем кому собирались выдать новые ID сообщить, чтобы сменили пароль, таким образом актуальные ID будут только у владельцев.
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ