Какие должны быть проверки безопасности при создании страницы-обработчика смены пароля?

Question

[idccc]

Смена пароля реализована стандартным образом:

На странице-обработчике определенной заведомо функцией сверяются введенный из post-запроса пароль и хеш из базы данных для текущего пользователя (считаем в рамках вопроса, что id подделать нельзя, поскольку в противном случае профиль пользователя уже можно считать взломанным).

В случае, если проверка прошла успешно, определенной заведомо функцией вычисляется хеш нового пароля и руками (обычным запросом) заносится в БД для текущего пользователя.

Какие тут могут быть подводные камни, если считать, что в качестве пароля со стороны пользователя может прийти какое угодно чудо-юдо?

Например, известно, при загрузке файла на сайт желательно со стороны php-кода провести следующие профилактические проверки:

• Проверка на домен, с которого происходит загрузка файла;
  
• Проверка на сессию пользователя;
  
• Главное: проверка на расширение файла (получаем с помощью getimagesize) и принудительное присвоение нужного расширения;
  
• Важное: присвоение рандомного имени;
  
• etc.
  

Существует ли аналогичный маст-хэв для смены пароля пользователя при такой постановке вопроса? Ведь по идее новый пароль, каким бы он ни был, пройдет через хеш-функцию и станет обычной строкой.

Answer 1

[D']

Столько умных слов, просто чтобы спросить "Как реализовать Восстановление/Смену пароля на сайте".
Надо быть проще.

Какая разница что приходит от пользователя, если пароль хешируется?
Правила два:
- Не хранить открытый пароль
- Не использовать быстрые алгоритмы хеширования

Всё.

Comments

[idccc]

Если написать «Как реализовать Восстановление/Смену пароля на сайте», то ответ будет «Иди читай азы», что справедливо. Но смену пароля уже реализовал, интересны мелочи, которые мог упустить.

> Не использовать быстрые алгоритмы хеширования
Для хеширования используется готовый API, так что этот пункт выполнен.

[D']

idccc: Какие мелочи? Если не врубать paranoia mode, то ничего кроме вышеуказанного не нужно.

Если врубить параною, то можно такого нагородить... но есть ли смысл?

[idccc]

D' Normalization: ну, в таком случае могу еще переформулировать вопрос. Есть сайт на wordpress, в котором у пользователя по умолчанию нет возможности сменить пароль без входа в админку.

Я реализую эту возможность отдельной страницей с использованием прямых запросов в БД и предусмотренного API для хеширования (иначе в случае обновления алгоритмов хеширования буду в пролете).

Нужно ли мне во всех подробностях ознакомиться с такими понятиями как https, ssl (как пишут ниже) и пока забить на все это дело? Или нет. Подожду еще может кто что скажет.

[D']

idccc: ssl нужен если есть вероятность что кто-то будет устраивать mitm. Если у вас сайт с рецептами выпечки, то шанс, что кто-то устроит mitm - чуть больше чем нулевой.

Единственное что нужно добавить - CSRF токен, на всякий случай.

PS
В вордпрессе своих багов хватает. И шанс что ломанут через левый плагин - намного выше, чем шанс, что будут пытаться использовать какие-то хитрые методы для взлома.

[idccc]

D' Normalization: поэтому большую часть функциональностей, связанных с обращением к БД, реализовал своими руками, попутно обучаясь новому. Особенно не стоит, конечно, ставить плагины для управления юзерами/ролями и т. д., да и в остальном по-минимуму.

А чистый вордпресс не такой уж дырявый, как тот же друпал.

Ок, понял, спасибо за ответ.