|
Сообщение от Diego
|
|
значит, что всю безопасность обеспечивает passkey?
|
Нет конечно, он лишь подтверждает то что юзер когда-то залогинелся. А если злоумышленник узнает passkey то он ему совершенно ничего не даст, так как помимо этого нужно знать и пароль пользователя и логин пользователя и ID пользователя в БД.. потому как все это связано между собой и любое изменение этих параметров приведет к тому что юзер вылетит из сайта, со своего аккаунта и ему придется авторизоваться снова.
|
Сообщение от Diego
|
|
то есть как ответ из бд вернутся не данные, а количество строк, в которых сумма хешей совпадает данным из куки?
|
Да, но хеш код уникален, поэтому всегда будет возвращаться лишь одна строка если совпадение найдено, либо не одной если не найдено.
|
Сообщение от Diego
|
|
Если у злоумышленника сгенерированый по данным его компа passkey не совпадет с passkey пользователя, то защита работает?
|
не переживайте через эту систему ему вечность ломать придется вас