Hei,
Ongelmani:
Minun pitäisi väsätä huonosta graafisesta silmästäni huolimatta eräälle seurakunnalle yksinkertaiset sivut. Ongelma vain piilee siinä, että he haluaisivat sivuille ajankohtaista sivuston, jota he sitten itse päivittelisivät. Onnistuuko PHP:llä helposti tehdä semmoinen kirjautumissysteemi, joka ei tarvitse tietokantaa ja tässä tulee myös selville se ettei sivuston päivityskään tapahdu sitä kautta vaan jotenkin muuten se pitäisi toteuttaa. Haluaisivat vissiin kuitenkin niin, että netin kautta mentäisiin sivulle x ja siellä kirjoitettaisiin se hommeli ja sitten se näkyisi sivulla y. Eli tähänhän tarvitsisi kirjautumisen sivustolle x. Onnistuuko tämä mitenkään järkevästi kun en ole tällä tavalla tekniikkaan tutustunut. Aikaisemmin olen vain laittanut sivut lukemaan jonkin .txt tiedoston ja nakannut sen aina palvelimelle, mutta ei se oikein ole toimiva ratkaisu sekään.
Jos palvelin on Apache, niin sitten .htaccess ja .htpasswd ajavat asian. Löydät niistä infoa aika runsaastikin vaikka Googlella. Tunnuksia voi tehdä useita. Ei vaadi ollenkaan PHP:ta.
Sekö on semmoinen, että sitä ei ohiteta tuosta nuin vain.
Opettele tekemään itse. Täällä on hyviä esimerkkejä ja oppaita.
Noitahan kirjautumis ja uutis systeemejä on pilvin pimein. Jopa valmiina, mutta suosittelen tekemään sen itse niin oppii tekemään.
Salasanat voit heittää MD5-funktion läpi. Sitten voit turvallisesti tallentaa ne tiedostoon.
KingOfTheWorld kirjoitti:
Salasanat voit heittää MD5-funktion läpi. Sitten voit turvallisesti tallentaa ne tiedostoon.
Ei nyt ihan noinkaan. Ilkeät hakkerit voivat laskea etukäteen suuria määriä MD5-hasheja (rainbow table) ja saadessaan käsiinsä hashin, verrata sitä tuota tauluansa vastaan. Sopivan heikko salasana murtuu hetkessä.
Onkin hyvä idea ns. suolata hashit, eli laskea hashi ei vain salasanasta, vaan jostain mielivaltaisesta merkkijonosta plus siitä salasanasta, jolloin hakkerin valmiiksilasketut taulut muuttuvat hyödyttömiksi.
ts. md5('hehhassua' . $salasana);
On tietty silti hyvä idea yrittää estää suolattujenkin hashien joutuminen hakkereiden käsiin, esimerkiksi tallentamalla ne sellaiseen tiedostoon, joka on www-palvelimen juuren ulkopuolella.
:D
Niin tietty, mutta riittävän pitkä salasana, eikä rosmotakaan tunnuksia! Oletetaan, että salasana voi sisältää 70 erilaista merkkiä. (29*2 kirjainta, upper- ja lowercasessa, sitten numerot, hakasulut, viivat, huuto- ja kysymysmerkit ym.)
1-merkkisiä salasanoja on 70.
2-merkkisiä salasanoja on 702.
3-merkkisiä salasanoja on 703.
4-merkkisiä salasanoja on 704.
5-merkkisiä salasanoja on 705.
jne.
Ups. Tulin ajatelleeksi, että 2*29=58. Nyt kirjaimet ovat. Sitten 10 numeroa. Lisäksi piste, pilkku, viiva, kaksoispiste, puolipiste, alaviiva, huutomerkki, kysymysmerkki ym. Ehkäpä 85 merkkiä. :)
EDIT: Mikä huutava offtopic.
KingOfTheWorld: Niin, paitsi jos käytetään hasheja, niin todennäköisyyshän ei menekään aina noin. Sama hash voi tulla vaikka yhdellä merkille ja 29 merkkiselle salasanalle. Siksi olisikin hyvä pakottaa käyttäjät käyttämään vähintään 8 merkkisiä salasanoja ja olla ottamatta login-kentän tietoja huomiotta jos annettu salasanan pituus on alle sallitun määrän. Hashattaessa voi tulla vain tietty määrä erilaisia vaihtoehtoja.
Kiitoksia vastauksistanne. Taidanpa kaivella putkan varastoista jonkun oppaan ja rupean selvittämään lopullista ratkaisuani tähän ongelmaan.
Eiköhän niistä jotakin irtoa.
No Blazen esimerkki kyllä ajaa asiansa. Hashaat esim. md5:lla eli luot oman salaus funktion, joka pitää sisällään jotakin tällaista:
md5("Suola_Mukaan_1298!_".$post_salasana);
Ja pidät huolen että annetut salasanat on kahdeksan tai useamman merkin mittaisia.
Aihe on jo aika vanha, joten et voi enää vastata siihen.