[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
09/04/2010 08:17:59 (+0700) | #1 | 208685 |
|
tphong176
Member
|
0 |
|
|
Joined: 15/08/2009 10:18:03
Messages: 25
Offline
|
|
Mình có vài câu hỏi muốn nhờ các bro trong hva giải đáp như sau :
1. Khi mình đăng ký thành viên 1 4rum hay 1 website nào đó, password của mình nhất định là được mã hoá rồi ( mình chỉ mới biết đến thuật toán mã hoá MD5 thôi ^^! ) thì liệu "admin của trang đó có biết được chính xác mật khẩu của mình là j k" ? Nếu mà có thể thì bằng cách nào ? và các 4rum hay website lớn người ta thường dùng thuật toán nào để mã hoá thông tin quan trọng ?
2. 1 email có tên dạng như: abc@def.xyz được cấp trong một tổ chức hay cty, ở đây mình ví dụ def là tên tổ chức. Mình muốn hỏi làm sao để có thể tạo được mail có cấu trúc dạng như thế ? Và những người quản lí về IT trong cty có thể kiểm soát được email mình gửi/nhận hay không ( đọc ) ? ( trên cả 2 phương diện "danh chính ngôn thuận" và "hack" )
3. Khi mình thuê host để đặt website thì bên cung cấp host có thể xâm nhập vào cơ sở dữ liệu của mình hay không ? Hay có thể truy cập vào bất cứ phần nào thuộc website của mình ( ở đây mình muốn hỏi trên mặt "danh chính ngôn thuận" truy cập chứ k phải "hack" )
4. vừa gặp thêm cái trục trặc về ebook đuôi chm, mở cuốn sổ tay đuôi chm thì các mục không coi được j, bật cuốn khác cũng chm thì coi bình thường ?
Tạm thời chỉ có vài câu hỏi như thế Mong các bro giải đáp nhiệt tình và đầy đủ các câu hỏi |
|
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
09/04/2010 12:43:52 (+0700) | #2 | 208697 |
|
talama3000
Member
|
0 |
|
|
Joined: 07/05/2008 23:31:08
Messages: 29
Offline
|
|
tphong176 wrote:
Mình có vài câu hỏi muốn nhờ các bro trong hva giải đáp như sau :
1. Khi mình đăng ký thành viên 1 4rum hay 1 website nào đó, password của mình nhất định là được mã hoá rồi ( mình chỉ mới biết đến thuật toán mã hoá MD5 thôi ^^! ) thì liệu "admin của trang đó có biết được chính xác mật khẩu của mình là j k" ? Nếu mà có thể thì bằng cách nào ? và các 4rum hay website lớn người ta thường dùng thuật toán nào để mã hoá thông tin quan trọng ?
2. 1 email có tên dạng như: abc@def.xyz được cấp trong một tổ chức hay cty, ở đây mình ví dụ def là tên tổ chức. Mình muốn hỏi làm sao để có thể tạo được mail có cấu trúc dạng như thế ? Và những người quản lí về IT trong cty có thể kiểm soát được email mình gửi/nhận hay không ( đọc ) ? ( trên cả 2 phương diện "danh chính ngôn thuận" và "hack" )
3. Khi mình thuê host để đặt website thì bên cung cấp host có thể xâm nhập vào cơ sở dữ liệu của mình hay không ? Hay có thể truy cập vào bất cứ phần nào thuộc website của mình ( ở đây mình muốn hỏi trên mặt "danh chính ngôn thuận" truy cập chứ k phải "hack" )
4. vừa gặp thêm cái trục trặc về ebook đuôi chm, mở cuốn sổ tay đuôi chm thì các mục không coi được j, bật cuốn khác cũng chm thì coi bình thường ?
Tạm thời chỉ có vài câu hỏi như thế Mong các bro giải đáp nhiệt tình và đầy đủ các câu hỏi
thứ nhất khi bạn đăng kí vào một forum nào đó thì password của bạn sẽ được mã hoá = md5 ( tất nhiên)
bt thì các admin của forum thì biết pass mã hoá bằng dạng md5 của bạn thôi (còn muốn biết hẳn pass thì trừ khi các admin đó chèn 1 đoạn php nhỏ lưu pass ở file login.php, nhưng mà thường thì ai lại làm thế),
hiện tại mình thấy các forum hoặc website lớn nếu nói về mã hoá password thì chắc chắn là md5 rồi
2: việc tạo mail như thế là hoàn toàn có thể tôi lấy một ví dụ nhỏ
bạn có một hosting với một tên miền là hvaonline.net
bạn có thể vào host đó rồi vào create mail rồi tạo một cái là têncuaban@hvaonline.net
những người có quyền cao nhất tất nhiên là họ sẽ có quyền để kiểm soát email của bạn rồi, change pass, change info.......
3: nếu bạn thuê host thì người quản trị sẽ có full quyền để vào cơ sở dữ liệu cũng như các thứ trên host của bạn rồi, họ có thể vào tất cả các folder, file và thay đổi các thứ của bạn
|
|
Blog == http://talama.vn |
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
09/04/2010 18:06:34 (+0700) | #3 | 208719 |
|
Z0rr0
Q+WRtaW5pc3RyYXRvc+g
|
Joined: 14/08/2002 12:52:01
Messages: 1323
Location: Underground
Offline
|
|
1. Khi mình đăng ký thành viên 1 4rum hay 1 website nào đó, password của mình nhất định là được mã hoá rồi ( mình chỉ mới biết đến thuật toán mã hoá MD5 thôi ^^! ) thì liệu "admin của trang đó có biết được chính xác mật khẩu của mình là j k" ? Nếu mà có thể thì bằng cách nào ? và các 4rum hay website lớn người ta thường dùng thuật toán nào để mã hoá thông tin quan trọng ?
==> Người quản trị trang web và ứng dụng web đó mới quyết định có mã hoá (bằng thuật toán gì) hay làm gì với mật khẩu của người dùng, không có gì bắt buộc. Do vậy ở một mức độ nào đó, có thể nói admin có thể biết mật khẩu của người dùng là gì.
Bảo vệ mật khẩu thường sẽ được thực hiện bằng cách dùng 1 thuật toán mã hoá đã được cộng đồng kiểm chứng là mạnh, hoặc không lưu mật khẩu dạng plain text mà dạng hash (MD5, SHA).
2. 1 email có tên dạng như: abc@def.xyz được cấp trong một tổ chức hay cty, ở đây mình ví dụ def là tên tổ chức. Mình muốn hỏi làm sao để có thể tạo được mail có cấu trúc dạng như thế ? Và những người quản lí về IT trong cty có thể kiểm soát được email mình gửi/nhận hay không ( đọc ) ? ( trên cả 2 phương diện "danh chính ngôn thuận" và "hack" )
==> Email thuộc 1 domain phải được cấp và xác thực bởi mail server của domain đó, khi gửi và nhận. Muốn có email của domain đó bồ phải liên hệ quản trị của domain. Đương nhiên người quản trị mail server sẽ có cách quản lý hoạt động trên mail server của mình thông qua các công cụ phù hợp.
3. Khi mình thuê host để đặt website thì bên cung cấp host có thể xâm nhập vào cơ sở dữ liệu của mình hay không ? Hay có thể truy cập vào bất cứ phần nào thuộc website của mình ( ở đây mình muốn hỏi trên mặt "danh chính ngôn thuận" truy cập chứ k phải "hack" )
==> Đương nhiên nhà cung cấp host phải quản lý được toàn bộ thông tin trên server của họ, trừ khi bạn thuê server riêng và bạn tự quản lý. Tuy nhiên, một nhà cung cấp tin cậy sẽ có những điều luật liên quan đến bảo vệ thông tin khách hàng.
4. vừa gặp thêm cái trục trặc về ebook đuôi chm, mở cuốn sổ tay đuôi chm thì các mục không coi được j, bật cuốn khác cũng chm thì coi bình thường ?
==> Lần sau nên mở chủ để ở nơi phù hợp.
Trên Windows XP hoặc trước: Xem file Properties, chọn Unblock (chọn chuột phải lên file, chọn Properties)
Trên Windows Vista/7/...: Xem file Properties, chọn tab Security và cấp quyền cho user hiện tại được read.
|
|
Hibernating |
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
09/04/2010 23:29:47 (+0700) | #4 | 208743 |
|
tphong176
Member
|
0 |
|
|
Joined: 15/08/2009 10:18:03
Messages: 25
Offline
|
|
cảm ơn 2 bro đã trả lời các thắc mắc của mình, nhưng mà câu cuối cùng mình vẫn còn bị kẹt, mình đang xài win 7, quyền là admin, tất nhiên mình đã cho là read full rồi, nhưng lạ ở chỗ: có cuốn coi được, có cuốn lại coi không được ? tất cả đều là đuôi CHM
Mong có câu trả lời sớm từ các bro |
|
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
09/04/2010 23:42:23 (+0700) | #5 | 208746 |
|
Z0rr0
Q+WRtaW5pc3RyYXRvc+g
|
Joined: 14/08/2002 12:52:01
Messages: 1323
Location: Underground
Offline
|
|
Không xem được file .chm nó có báo hoặc hiển thị lỗi gì không?
Thử chép file này ra ổ C với tên như C:\a.chm xem đọc được không? |
|
Hibernating |
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
10/04/2010 10:20:35 (+0700) | #6 | 208759 |
rongdennt
Member
|
0 |
|
|
Joined: 08/12/2007 10:19:36
Messages: 55
Offline
|
|
Mình cũng gặp lỗi này rồi. Lỗi này thường là do đặt tên file có dấu, hoặc khoảng cách. Mình có 2 cách khắc phục:
- Đổi tên file thành tên không dấu viết liền hoặc thay dấu cách (space) bằng dấu gạch dưới (_)
- Nếu không được nữa thì bỏ nó vô file nén, rồi đọc file đó ngay trong file nén. (Mình dùng winrar nén file đó lại, mở file nén đó ra chứ không phải extract nha, rồi double click vô file chm trong file nén đó=>đọc ngon lành) |
|
Cổ nhân dạy: Vĩ nhân bàn ý tưởng, thường dân bàn sự kiện, tiểu nhân bàn con người. |
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
10/04/2010 12:25:39 (+0700) | #7 | 208768 |
smile_sad
Member
|
0 |
|
|
Joined: 15/08/2006 19:15:08
Messages: 96
Offline
|
|
Việc không đọc được file .chm cũng có thể là file đó được tạo ra trong linux . Khi chuyển sang windows rất có thể bạn sẽ ko đọc được . Mình cũng đã gặp vấn đề này và có thử down phần mềm xchm for windows để view các file đó. Các bạn có thể thử xem |
|
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
10/05/2010 22:05:16 (+0700) | #8 | 210661 |
housesieuway
Member
|
0 |
|
|
Joined: 23/03/2010 18:24:41
Messages: 1
Offline
|
|
Miềng nghĩ là không biết được pass mô bạn ơi.
ADMIN có thế change pass mới không cần quan tâm đến pass cũ của bạn.
Đơn gian là ri hi:
AD có thể biết tên truy cập bạn, có thể thay pass của bạn, block acc,... nhưng không thể biết được pass của bạn.
Nếu AD biết được pass của thành viên thì có lẻ ngày đó Miềng sẻ thay đổi trật tự giao thức Mạng.
|
|
---LEE VAWN NGOJ----
LAC HONG UNIVERSTY
------0976640466------ |
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
10/05/2010 22:15:57 (+0700) | #9 | 210662 |
|
talama3000
Member
|
0 |
|
|
Joined: 07/05/2008 23:31:08
Messages: 29
Offline
|
|
housesieuway wrote:
Miềng nghĩ là không biết được pass mô bạn ơi.
ADMIN có thế change pass mới không cần quan tâm đến pass cũ của bạn.
Đơn gian là ri hi:
AD có thể biết tên truy cập bạn, có thể thay pass của bạn, block acc,... nhưng không thể biết được pass của bạn.
Nếu AD biết được pass của thành viên thì có lẻ ngày đó Miềng sẻ thay đổi trật tự giao thức Mạng.
đấy là việc của bác admin, đơn giản là bác ấy có muốn biết hay không thôi nếu muốn biết thì vẫn có cách ( nhưng mà admin thì ai lại đi làm thế nhỉ)
|
|
Blog == http://talama.vn |
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
14/05/2010 19:03:00 (+0700) | #10 | 210910 |
|
freeze_love
Member
|
0 |
|
|
Joined: 23/01/2009 23:07:19
Messages: 415
Location: HCMc
Offline
|
|
Hoàn toàn biết được. Admin vào db, truy vấn SQL là sẽ ra ngay pass và đương nhiên đã md5. HIện có 1 số công cụ và trang web giải mã md5 nhưng pass dài hay lằng nhằng quá thì nó cũng bó tay.
Tương tự cho host. |
|
do{
học đến điên;
}while (sống); |
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
24/05/2010 07:54:24 (+0700) | #11 | 211515 |
daigiaIQ_Y2.1K
Member
|
0 |
|
|
Joined: 18/01/2008 08:30:27
Messages: 60
Offline
|
|
Sài cái MD5 Encode ấy , encode được md5 |
|
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
22/07/2010 18:15:44 (+0700) | #12 | 216036 |
huyannet
Member
|
0 |
|
|
Joined: 21/07/2008 00:42:51
Messages: 83
Offline
|
|
Những phần mềm quản lý database có thể mã hoá 1 chuỗi sang MD5, đương nhiên nó có thể làm ngược lại, là giải mã nó ra. Chỉ cần vào database lưu pass user sau đó chọn lại kiểu mã hoá là xem được pass.
1 số file CHM có bài viết liên kết trực tuyến với host, vì thế nhà bác nào không có mạng thì không xem được.
Host die cũng không xem được. |
|
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
22/07/2010 18:35:03 (+0700) | #13 | 216039 |
|
canh_nguyen
Elite Member
|
0 |
|
|
Joined: 23/08/2004 18:55:09
Messages: 775
Location: Broken dream
Offline
|
|
huyannet wrote:
Những phần mềm quản lý database có thể mã hoá 1 chuỗi sang MD5, đương nhiên nó có thể làm ngược lại, là giải mã nó ra. Chỉ cần vào database lưu pass user sau đó chọn lại kiểu mã hoá là xem được pass.
1 số file CHM có bài viết liên kết trực tuyến với host, vì thế nhà bác nào không có mạng thì không xem được.
Host die cũng không xem được.
Bạn chứng mình đoạn màu đỏ hộ mình nhé
Đây là MD5 của một chuỗi "cb7708006e70c9155334d65a1c81d936" được lưu trong MySQL .
|
|
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
22/07/2010 19:08:13 (+0700) | #14 | 216047 |
tuewru
Member
|
0 |
|
|
Joined: 23/05/2008 04:17:26
Messages: 126
Offline
|
|
huyannet wrote:
Những phần mềm quản lý database có thể mã hoá 1 chuỗi sang MD5, đương nhiên nó có thể làm ngược lại, là giải mã nó ra. Chỉ cần vào database lưu pass user sau đó chọn lại kiểu mã hoá là xem được pass.
1 số file CHM có bài viết liên kết trực tuyến với host, vì thế nhà bác nào không có mạng thì không xem được.
Host die cũng không xem được.
Bây giờ mới được biết đến có phương pháp giải mã MD5 đấy
MD5 là hàm hash 1 chiều , nó hash chuỗi plaintext ra rồi so khớp chứ có phải giải mã đâu |
|
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
22/07/2010 19:19:36 (+0700) | #15 | 216052 |
huyannet
Member
|
0 |
|
|
Joined: 21/07/2008 00:42:51
Messages: 83
Offline
|
|
Tềnh hềnh là vấn đề này mình nói lung tung, và nó hơi vớ vẩn, xin các bác đừng trách móc làm em xấu hổ
Tương ứng với mỗi mã MD5 là 1 chuỗi văn bản, không có chuỗi thứ 2.
Vì thế, về lý thuyết thì sẽ có cách giải mã, vấn đề là người ta chưa tìm ra thôi.
Các bác có thể ra ngoài tiệm software mua 1 đĩa DVD băm sẵn pass 8 ký tự mã hoá bằng MD5,
Search vài phút là ra.
Còn pass 9 ký tự trở lên thì chờ các cao thủ chỉ dạy.... |
|
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
22/07/2010 19:34:45 (+0700) | #16 | 216054 |
tuewru
Member
|
0 |
|
|
Joined: 23/05/2008 04:17:26
Messages: 126
Offline
|
|
huyannet wrote:
Tềnh hềnh là vấn đề này mình nói lung tung, và nó hơi vớ vẩn, xin các bác đừng trách móc làm em xấu hổ
Tương ứng với mỗi mã MD5 là 1 chuỗi văn bản, không có chuỗi thứ 2.
Vì thế, về lý thuyết thì sẽ có cách giải mã, vấn đề là người ta chưa tìm ra thôi.
Các bác có thể ra ngoài tiệm software mua 1 đĩa DVD băm sẵn pass 8 ký tự mã hoá bằng MD5,
Search vài phút là ra.
Còn pass 9 ký tự trở lên thì chờ các cao thủ chỉ dạy....
Sai còn cãi cùn
lý thuyết cũng chẳng có cách giải mã hàm hash 1 chiều , một cục thịt cho vào máy xay thì thử hỏi làm cách nào để xếp cái đống thịt xay đó thành cục thịt ban đầu
ở đây đang nói vấn đề giải mã tự dưng nhảy sang ngoài tiệm bán DVD băm sẵn |
|
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
22/07/2010 20:47:29 (+0700) | #17 | 216064 |
|
Ikut3
Elite Member
|
0 |
|
|
Joined: 24/09/2007 23:47:03
Messages: 1429
Location: Nhà hát lớn
Offline
|
|
huyannet wrote:
Các bác có thể ra ngoài tiệm software mua 1 đĩa DVD băm sẵn pass 8 ký tự mã hoá bằng MD5,
Search vài phút là ra. Các bác có thể ra ngoài tiệm software mua 1 đĩa DVD băm sẵn pass 8 ký tự mã hoá bằng MD5,
Search vài phút là ra.
Pro . Mình hay đặt pass 8 kí tự kiểu . bạn decode thử xem ra ko
b@nN9uk! |
|
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
23/07/2010 03:27:22 (+0700) | #18 | 216087 |
Nếu lưu trữ password bằng hash MD5 thì admin khó có thể giải ra.
Nhưng có 1 nhược điểm như vầy : admin lưu pass của bạn (pass đã hash MD5) vào chỗ khác, sau đó tính hash MD5 của "123", rồi ghi đè vào cột password của account của bạn. Vì vậy admin có thể login bằng account của bạn với pass "123", sau đó khôi phục lại pass gốc của bạn Mời mọi người thảo luận làm cách nào để khắc phục vụ này, để cho ông admin cũng không làm như thế được ?
|
|
Spam thêm một bài là góp một viên gạch xây diễn đàn lớn mạnh |
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
23/07/2010 10:05:07 (+0700) | #19 | 216099 |
|
khanhqhi
Member
|
0 |
|
|
Joined: 27/05/2008 18:02:54
Messages: 27
Offline
|
|
invalid-password wrote:
Nếu lưu trữ password bằng hash MD5 thì admin khó có thể giải ra.
Nhưng có 1 nhược điểm như vầy : admin lưu pass của bạn (pass đã hash MD5) vào chỗ khác, sau đó tính hash MD5 của "123", rồi ghi đè vào cột password của account của bạn. Vì vậy admin có thể login bằng account của bạn với pass "123", sau đó khôi phục lại pass gốc của bạn Mời mọi người thảo luận làm cách nào để khắc phục vụ này, để cho ông admin cũng không làm như thế được ?
Mình nghĩ việc này không cần thiết, vì admin có toàn quyền, muốn làm gì thì làm, muốn login bằng account nào chẳng được. Cần gì change pass làm gì cho mệt. |
|
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
23/07/2010 11:10:13 (+0700) | #20 | 216108 |
|
vltn
Member
|
0 |
|
|
Joined: 13/07/2010 23:09:11
Messages: 74
Location: V9F
Offline
|
|
khanhqhi wrote:
Mình nghĩ việc này không cần thiết, vì admin có toàn quyền, muốn làm gì thì làm, muốn login bằng account nào chẳng được. Cần gì change pass làm gì cho mệt.
Không biết đừng góp ý lung tung. |
|
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
23/07/2010 11:46:21 (+0700) | #21 | 216112 |
khanhqhi wrote:
Mình nghĩ việc này không cần thiết, vì admin có toàn quyền, muốn làm gì thì làm, muốn login bằng account nào chẳng được. Cần gì change pass làm gì cho mệt.
Có thể hệ thống rất lớn và admin cũng không nắm được thiết kế đầy đủ. Nếu admin muốn thay đổi dữ liệu dưới danh tính của người khác thì bắt buộc phải login bằng account người khác và thực hiện trên giao diện ứng dụng, chứ không thể chỉ đơn giản mở cái database ra mà insert record mới vào, vì ứng dụng còn làm các công việc liên quan khác khi dữ liệu mới xuất hiện (ví dụ khi mua 1 hoá đơn mới thì ứng dụng không chỉ tạo hoá đơn mà còn phải giảm số lượng mặt hàng, trừ tiền người dùng, giảm bớt 1 hoá đơn, giảm mặt hàng còn lại của 1 hãng, cập nhật lại các thống kê, lưu log thay đổi v.v...). |
|
Spam thêm một bài là góp một viên gạch xây diễn đàn lớn mạnh |
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
23/07/2010 19:39:01 (+0700) | #22 | 216162 |
huyannet
Member
|
0 |
|
|
Joined: 21/07/2008 00:42:51
Messages: 83
Offline
|
|
Để lấy pass thì cách đơn giản nhất là chèn code "chộp password" vào trang đăng nhập, khi nào user đăng nhập thì biết ngay ý mà. |
|
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
27/07/2010 10:18:02 (+0700) | #23 | 216432 |
cvhainb
Member
|
0 |
|
|
Joined: 04/01/2007 14:32:38
Messages: 251
Offline
|
|
invalid-password wrote:
khanhqhi wrote:
Mình nghĩ việc này không cần thiết, vì admin có toàn quyền, muốn làm gì thì làm, muốn login bằng account nào chẳng được. Cần gì change pass làm gì cho mệt.
Có thể hệ thống rất lớn và admin cũng không nắm được thiết kế đầy đủ. Nếu admin muốn thay đổi dữ liệu dưới danh tính của người khác thì bắt buộc phải login bằng account người khác và thực hiện trên giao diện ứng dụng, chứ không thể chỉ đơn giản mở cái database ra mà insert record mới vào, vì ứng dụng còn làm các công việc liên quan khác khi dữ liệu mới xuất hiện (ví dụ khi mua 1 hoá đơn mới thì ứng dụng không chỉ tạo hoá đơn mà còn phải giảm số lượng mặt hàng, trừ tiền người dùng, giảm bớt 1 hoá đơn, giảm mặt hàng còn lại của 1 hãng, cập nhật lại các thống kê, lưu log thay đổi v.v...).
--> Mình không hiểu là tại sao admin lại phải dùng một account khác để thay đổi thông tin dữ liệu từ users trong khi admin có đủ mọi quyền.
--> Sẽ có các modules thực hiện việc này.
Về câu hỏi của chủ topic thì tớ có 2 gợi ý sau:
1. Cách thứ nhất huyanet đã trình bày đó là nhúng một đoạn extra code vào trong module login.
2. Xem chỗ phần đăng ký và đăng nhập bỏ các code dạng mã hoá đi là đc.
Thân,
|
|
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
27/07/2010 10:42:04 (+0700) | #24 | 216434 |
cvhainb wrote:
invalid-password wrote:
Có thể hệ thống rất lớn và admin cũng không nắm được thiết kế đầy đủ. Nếu admin muốn thay đổi dữ liệu dưới danh tính của người khác thì bắt buộc phải login bằng account người khác và thực hiện trên giao diện ứng dụng, chứ không thể chỉ đơn giản mở cái database ra mà insert record mới vào, vì ứng dụng còn làm các công việc liên quan khác khi dữ liệu mới xuất hiện (ví dụ khi mua 1 hoá đơn mới thì ứng dụng không chỉ tạo hoá đơn mà còn phải giảm số lượng mặt hàng, trừ tiền người dùng, giảm bớt 1 hoá đơn, giảm mặt hàng còn lại của 1 hãng, cập nhật lại các thống kê, lưu log thay đổi v.v...).
--> Mình không hiểu là tại sao admin lại phải dùng một account khác để thay đổi thông tin dữ liệu từ users trong khi admin có đủ mọi quyền.
Chẳng hạn admin muốn tạo thông tin giả rằng chính user đó đã thực hiện thao tác xoá dữ liệu chứ không phải user của admin, trong khi admin không thể đọc hiểu ý nghĩa của các table + field, giá trị chứa trong đó được mã hoá. Trong CSDL lại không có storedproc nào để xoá, mà ứng dụng sẽ gọi nhiều query trực tiếp để xoá (nó lần lượt thực hiện các thao tác kiểm tra, thống kê, backup, xoá, ghi log, update các table khác, ...), lúc này admin chỉ có thể gọi chức năng delete từ ứng dụng vì nếu mò vào 1 table xoá trực tiếp mà không biết cách update các table liên quan thì DB sẽ bị inconsistent. Hiểu chưa nào ?
Mình đã từng làm 1 hệ thống ứng dụng chạy Oracle có 10000 tables (10 ngàn table, tưởng tượng nổi không ?), có nhiều table mà tên field chỉ có đúng 3 ký tự. Khi ứng dụng chạy 1 thao tác, nếu có trace ra thì nó thực hiện rất nhiều SQL dài, không biết đâu mà lần.
Không phải db nào cũng dễ hiểu như : để xoá một hoá đơn thì gọi thủ tục sp_XoaHoaDon |
|
Spam thêm một bài là góp một viên gạch xây diễn đàn lớn mạnh |
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
27/07/2010 11:34:33 (+0700) | #25 | 216437 |
cvhainb
Member
|
0 |
|
|
Joined: 04/01/2007 14:32:38
Messages: 251
Offline
|
|
invalid-password wrote:
Chẳng hạn admin muốn tạo thông tin giả rằng chính user đó đã thực hiện thao tác xoá dữ liệu chứ không phải user của admin, trong khi admin không thể đọc hiểu ý nghĩa của các table + field, giá trị chứa trong đó được mã hoá. Trong CSDL lại không có storedproc nào để xoá, mà ứng dụng sẽ gọi nhiều query trực tiếp để xoá (nó lần lượt thực hiện các thao tác kiểm tra, thống kê, backup, xoá, ghi log, update các table khác, ...), lúc này admin chỉ có thể gọi chức năng delete từ ứng dụng vì nếu mò vào 1 table xoá trực tiếp mà không biết cách update các table liên quan thì DB sẽ bị inconsistent. Hiểu chưa nào ?
- Sự thật là tớ ko hiểu cậu đang nói đến việc gì. Tớ chỉ đề cập admin có mọi quyền vì thế có thể chỉnh sửa, thay đổi, nâng cấp tuỳ ý các accounts thì tại sao lại phải dùng một account khác để thực hiện việc này. Ngoài ra việc thay đổi một account(1) bằng một account(2) thì account(2) làm sao thay đổi account(1) ?? Và tại sao admin lại phải tạo một thông tin giả làm gì ?? Ngoài ra chẳng có tên nào delete records từ csdl đâu.
invalid-password wrote:
Mình đã từng làm 1 hệ thống ứng dụng chạy Oracle có 10000 tables (10 ngàn table, tưởng tượng nổi không ?), có nhiều table mà tên field chỉ có đúng 3 ký tự. Khi ứng dụng chạy 1 thao tác, nếu có trace ra thì nó thực hiện rất nhiều SQL dài, không biết đâu mà lần.
Không phải db nào cũng dễ hiểu như : để xoá một hoá đơn thì gọi thủ tục sp_XoaHoaDon
10.000 tables àh . Bạn cho mình biết bạn viết ứng dụng gì đi, mình sẽ nói cho bạn biết mình có tin hay là không nhưng cơ bản hiện giờ là mình không tin.
Thân,
|
|
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
27/07/2010 11:55:32 (+0700) | #26 | 216438 |
cvhainb wrote:
- Sự thật là tớ ko hiểu cậu đang nói đến việc gì. Tớ chỉ đề cập admin có mọi quyền vì thế có thể chỉnh sửa, thay đổi, nâng cấp tuỳ ý các accounts thì tại sao lại phải dùng một account khác để thực hiện việc này.
Tớ thì lại đề cập đến admin chỉnh sửa dữ liệu và gán tội cho một user khác chứ không phải chỉnh sửa thông tin của user đó. VD có CSDL bán hàng, admin muốn tạo ra bằng chứng rằng user A đã sửa dữ liệu doanh thu bán hàng (chứ không phải sửa thông tin user A), trong khi CSDL lại quá phức tạp để có thể sửa trực tiếp, vì vậy admin phải login vào ứng dụng bằng user A để làm. (admin database game online mà add vcoin vào account của mình rồi đem bán thì giàu to). Hiểu chưa nào ?
cvhainb wrote:
10.000 tables àh . Bạn cho mình biết bạn viết ứng dụng gì đi, mình sẽ nói cho bạn biết mình có tin hay là không nhưng cơ bản hiện giờ là mình không tin
Ứng dụng của nước ngoài viết, mình chỉ vận hành thôi. Nó có hàng trăm tính năng mình cũng không biết hết, số table này cũng làm mình bất ngờ. |
|
Spam thêm một bài là góp một viên gạch xây diễn đàn lớn mạnh |
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
27/07/2010 12:31:14 (+0700) | #27 | 216445 |
cvhainb
Member
|
0 |
|
|
Joined: 04/01/2007 14:32:38
Messages: 251
Offline
|
|
invalid-password wrote:
cvhainb wrote:
- Sự thật là tớ ko hiểu cậu đang nói đến việc gì. Tớ chỉ đề cập admin có mọi quyền vì thế có thể chỉnh sửa, thay đổi, nâng cấp tuỳ ý các accounts thì tại sao lại phải dùng một account khác để thực hiện việc này.
Tớ thì lại đề cập đến admin chỉnh sửa dữ liệu và gán tội cho một user khác chứ không phải chỉnh sửa thông tin của user đó. VD có CSDL bán hàng, admin muốn tạo ra bằng chứng rằng user A đã sửa dữ liệu doanh thu bán hàng (chứ không phải sửa thông tin user A), trong khi CSDL lại quá phức tạp để có thể sửa trực tiếp, vì vậy admin phải login vào ứng dụng bằng user A để làm. (admin database game online mà add vcoin vào account của mình rồi đem bán thì giàu to). Hiểu chưa nào ?
- Cậu thử đọc lại xem các câu nói của cậu nhé . Tớ thì chẳng muốn nói nữa ! Cả 2 việc cậu nói nếu là sự thật thì có mà loạn .
invalid-password wrote:
cvhainb wrote:
10.000 tables àh . Bạn cho mình biết bạn viết ứng dụng gì đi, mình sẽ nói cho bạn biết mình có tin hay là không nhưng cơ bản hiện giờ là mình không tin
Ứng dụng của nước ngoài viết, mình chỉ vận hành thôi. Nó có hàng trăm tính năng mình cũng không biết hết, số table này cũng làm mình bất ngờ.
- Nó được vận hành như thế nào ? vận hành ở đây là làm những việc gì ? Tớ nghĩ cậu nói đến đây là được rồi đó
Thân,
|
|
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
27/07/2010 18:14:50 (+0700) | #28 | 216482 |
nhanct
Member
|
0 |
|
|
Joined: 27/07/2010 07:05:02
Messages: 21
Offline
|
|
admin có thể cài keylog thì biết được pass của mem
nhưng cũng tuỳ mã nguồn..mình mới chỉ biết keylog vbb |
|
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
27/07/2010 20:05:25 (+0700) | #29 | 216503 |
ndt2902
Member
|
0 |
|
|
Joined: 22/07/2010 20:45:32
Messages: 1
Offline
|
|
mình nghĩ đọc bài của bác Z0rr0 từ đầu là đã đủ để stop topic ...
|
|
|
[Question] Liệu Admin 1 trang web có biết được chính xác password của mem ? |
29/07/2010 16:27:36 (+0700) | #30 | 216784 |
huyannet
Member
|
0 |
|
|
Joined: 21/07/2008 00:42:51
Messages: 83
Offline
|
|
Topic này chỉ có 1 vấn đề đơn giản nhưng xem ra bàn luộn sôi nổi gớm.
Nói chung vấn đề Admin biết được pass user đã giải quyết xong.
Database 10000 tables thì chỉ có ngân hàng hoặc các cty bảo hiểm mới lớn đến thế.
Admin game online cũng chỉ có được những quyền hạn nhất định thôi, tự do quá thì đúng là loạn thật.
Cho dù là admin có toàn quyền, tạo account game lên tuyệt đỉnh rồi đem bán thì cũng coi như vi phạm pháp luật.
Hi vọng topic này được đóng sớm, cứ để mãi thế này thì anh em bàn luận vui vẻ hết cả lên. |
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|