Dla PHPowców dałbym takie podsumowanie tego odcinka: "I właśnie dlatego do obsługi sesji warto używać gotowych funkcji tj. session_start(). Jeśli będziesz chciał/a wymyślać koło na nowo i implementować mechanizm sesji samodzielnie, to prawie na pewno zapomnisz o którymś z tych bardzo ważnych aspektów wymienionych w tym odcinku."
Czyli jeżeli po kliknięciu "przypomnij hasło" dostajemy na maila hasło, a nie link do resetu to by znaczyło, że w bazie mają zapisane hasła w postaci plain tekstu. W końcu hashowanie nie jest odwracalne. Czy jako sól może być wykorzystany login, email? Przy warunkach, że hasło nie może zawierać imienia, nazwiska, jakiś słów, to sprawdzane to zapewne jest przed hashowaniem, a co z przypadkiem podobieństwa do poprzedniego hasła? Otrzymany hash nie może być w jakimś procencie taki sam jak poprzedni?
Obawiam się, że popełniłeś błąd dotyczący sesji zalogowanej. Jeśli użytkownik może wejść w panel administratora z poziomu swojego konta to jest to błąd autoryzacji a nie uwierzytelnienia. Błąd uwierzytelnienia byłby wtedy, gdyby użytkownik mógłby zalogować się na konto administratora i wówczas skorzystać z tej funkcji.
Sukcesywnie tłumaczę większość filmów z tego kanału na mój drugi, angielski kanał - więc istnieje spora szansa, że za jakiś czas i ta seria doczeka się tłumaczenia.
![[OWASP Top 10] A3: Sensitive Data Exposure - Ekspozycja wrażliwych danych](http://i.ytimg.com/vi/yauzWsEjTXA/mqdefault.jpg)
![[OWASP Top 10] A3: Sensitive Data Exposure - Ekspozycja wrażliwych danych](/img/tr.png)
![Beginner to T-SQL [Full Course]](http://i.ytimg.com/vi/cACat4KNncg/mqdefault.jpg)
Dla PHPowców dałbym takie podsumowanie tego odcinka:
"I właśnie dlatego do obsługi sesji warto używać gotowych funkcji tj. session_start(). Jeśli będziesz chciał/a wymyślać koło na nowo i implementować mechanizm sesji samodzielnie, to prawie na pewno zapomnisz o którymś z tych bardzo ważnych aspektów wymienionych w tym odcinku."
Fajna treść i wykonanie! Gratulacje, dobra robota! I powodzenia dalej!
Super przypomnienie dla mnie !!! oby więcej takich filmików
Czyli jeżeli po kliknięciu "przypomnij hasło" dostajemy na maila hasło, a nie link do resetu to by znaczyło, że w bazie mają zapisane hasła w postaci plain tekstu.
W końcu hashowanie nie jest odwracalne.
Czy jako sól może być wykorzystany login, email?
Przy warunkach, że hasło nie może zawierać imienia, nazwiska, jakiś słów, to sprawdzane to zapewne jest przed hashowaniem, a co z przypadkiem podobieństwa do poprzedniego hasła? Otrzymany hash nie może być w jakimś procencie taki sam jak poprzedni?
Obawiam się, że popełniłeś błąd dotyczący sesji zalogowanej. Jeśli użytkownik może wejść w panel administratora z poziomu swojego konta to jest to błąd autoryzacji a nie uwierzytelnienia. Błąd uwierzytelnienia byłby wtedy, gdyby użytkownik mógłby zalogować się na konto administratora i wówczas skorzystać z tej funkcji.
komentarz dla statystyk
bardzo fajnie to wygląda, może zrobisz angielską wersję?
Sukcesywnie tłumaczę większość filmów z tego kanału na mój drugi, angielski kanał - więc istnieje spora szansa, że za jakiś czas i ta seria doczeka się tłumaczenia.
Need english subtitle
7:20 wykop.pl :D
Warto zapoznać się z: www.wykop.pl/artykul/4743917/apel-do-zarzadu-wykop-sp-z-o-o-o-dzialajace-uwierzytelnianie-dwuskladnikowe/