Eli tiedetään että monille sivuille kun rekiströityy, pitää yleensä tai oikeastaan aina määrätä sekä käyttäjätunnus ja sille salasana. No niin kysymys kuuluu näin: Miten netti sivun ylläpitäjä tietää käyttäjätunnuksen ja salasanan ja voi myös poistaa tunnuksen jos haluaa, eli mihin tämä salasana ja käyttäjätunnus tallentuu ja mistä se saadaan selville. Onko tämä piilotettu lähdekoodiin tai ylläpitäjän johonkin ohjelmaan???
Tietenkin ne laitetaan sivun html-lähdekoodiin talteen :D
Tuollaiset tiedot tallennetaan tietokantaan (joka ei välttämättä ole "oikea" tietokanta, vaan esimerkiksi tavallinen tekstitiedosto), joka sijaitsee jossain paikassa, joka ei näy julkisesti. Ylläpitäjä voi muokata tietoja joko suoraan kantaa sörkkimällä (mysqladmin, tekstieditori...) tai jonkin hallintasovelluksen ("admin-paneelin") kautta.
Muista huolehtia tietoturvasta kryptayksella; PHP:hen saa mainion kirjaston nimeltä MHash.
Ja jos kysyt tätä ikäänkuin käyttäjän, etkä ylläpitäjän näkökulmasta, niin kannattaa todella miettiä sitä salasanaa, kun rekkaa tollasiin kotiporttaaleihin. Läheskään aina ylläpitäjä ei ole tietoinen siitä, miten rekisteröityminen kirjautuminen tehdään ja salasanat saattaa tosiaan olla kaikkien saatavilla vaikka /admin/users.txt-tiedostossa. Olen törmännyt muutamiin - tosin vanhoihin - ihan "kunnon" porttaaleihinkin, joissa tuo salasana on tallennettu suoraan sellaisenaan kantaan ja esimerkiksi omalla profiilisivulla tuo salasana on löytynyt suoraan html-lähdekoodin seasta. Ikävä juttu, jos tuo profiilisivu jää selaimen välimuistiin/historiaan jollekkin julkiselle koneelle :/
ajv kirjoitti:
...salasanat saattaa tosiaan olla kaikkien saatavilla vaikka /admin/users.txt-tiedostossa.
Jep, ja usein jonkun palvelimen ilmoittaman virheen kautta saattaa salasanatiedosto paljastua, ja näkyä pitkäänkin vaikka hakukoneiden välimuistissa.
Azure:
Omatekemissäni sivuilla käyttäjien salasanat eivät ole koskaan näkyneet minulle selkokielellä, korkeintaan jonkinsortin hash-tuloksena. Eli koskaan ei saisi tallentaa salasanaa selkokielisenä.
Mhash ei nimensä mukaisesti taida sisältää varsinaisia kryptausalgoritmia, mcryptistä löytyy niin voit palauttaa käyttäjien unohtamat salasanat kun tiedät avaimen.
Aihe on jo aika vanha, joten et voi enää vastata siihen.