Je bezpečné mít heslo v Identity?
- pave.kucera
- Člen | 122
Zdravím.
Jestli vše dobře chápu, identita přihlášeného uživatele je uložena
v sessions(?), odkud by ji teoreticky mohl útočník získat(?). Je pak
bezpečné mít heslo v identitě?
P.S.: do kradení sessions moc nevidím – pokud plácám blbosti, opravte mě prosím
- pave.kucera
- Člen | 122
V identitě mám momentálně všechny informace o přihlašeném uživateli, ať jsou jednoduše přístupné – ty data jsou potřeba všude možně. Ale z Tvého dotazu mě pomalu mrazí v zádech :)) – je můj přístup ,,správný", anebo by identita měla primárně obsahovat pouze data identifikující uživatele?
- Filip Procházka
- Moderator | 4668
Nevidím důvod proč bys tam nemohl mít data o uživateli. A pokud to neni plain text tak to tuplem nevadí. Ovšem je na místě otázka naco tam potřebuješ heslo.
- blacksun
- Člen | 177
Mrazit tě nemusí, jde opravdu jen o to, proč bys tam chtěl mít heslo. Běžné údaje o uživateli samozřejmě ano – jméno, login, poslední přihlášení atp, ale k čemu heslo?
Jednou ho ověřím při přihlášení a už není potřeba ho tahat všude.
Pokud by bylo v md5 či sha1, tak ještě budiž.. proč ale ;) ?
- pave.kucera
- Člen | 122
Heslo je v identitě uložené jako sha1 hash a používal jsem ho k ověření platnosti přihlášení (např. při změně hesla ,,vyšší mocí" byl uživatel odhlášen).
