Usamos cookies para medir audiência e melhorar sua experiência. Você pode aceitar ou recusar a qualquer momento. Veja sobre o iMasters.
Seguinte pessoa quando alguem se cadastra no site a senha do usuario é criptografada no banco de dados ultilizando phpass!
Quando a pessoa entra no site ela se loga pra entrar,o sistema pega a senha digitada e pega a senha vinda do banco e ultiliza o phpass para verificar se estao corretas,se estiver correta ele cria uma cookie para manter o usuario logado durante 30 dias,so que neste cookie ele insere a mesma senha criptografada que esta no banco ou seja:
>
Senha que esta no banco : KfcG32b6
Senha que esta no cookie: KfcG32b6
Isso nao esta meio estranho nao? Apesar de que eu defini meus cookies para http only! Mas mesmo assim nao me sinto seguro! Eu acho que o forum.imasters ultiliza a mesma tecnica pois eu ja me loguei e sai varias vezes e os cookies de usuario e senha continuam os mesmos!!!
Pra min o certo seria antes de criar o cookie pegar a senha do banco e hasheala novamente e inserir no cookie,fazendo assim toda vez que o usuario se loga-se ele iria ver cookies com senhas diferentes!
Ou estou pensando tudo errado?
Carregando comentários...
