Mình có vài câu hỏi muốn nhờ các bro trong hva giải đáp như sau : 1. Khi mình đăng ký thành viên 1 4rum hay 1 website nào đó, password của mình nhất định là được mã hoá rồi ( mình chỉ mới biết đến thuật toán mã hoá MD5 thôi ^^! ) thì liệu "admin của trang đó có biết được chính xác mật khẩu của mình là j k" ? Nếu mà có thể thì bằng cách nào ? và các 4rum hay website lớn người ta thường dùng thuật toán nào để mã hoá thông tin quan trọng ? 2. 1 email có tên dạng như: abc@def.xyz được cấp trong một tổ chức hay cty, ở đây mình ví dụ def là tên tổ chức. Mình muốn hỏi làm sao để có thể tạo được mail có cấu trúc dạng như thế ? Và những người quản lí về IT trong cty có thể kiểm soát được email mình gửi/nhận hay không ( đọc ) ? ( trên cả 2 phương diện "danh chính ngôn thuận" và "hack" ) 3. Khi mình thuê host để đặt website thì bên cung cấp host có thể xâm nhập vào cơ sở dữ liệu của mình hay không ? Hay có thể truy cập vào bất cứ phần nào thuộc website của mình ( ở đây mình muốn hỏi trên mặt "danh chính ngôn thuận" truy cập chứ k phải "hack" ) 4. vừa gặp thêm cái trục trặc về ebook đuôi chm, mở cuốn sổ tay đuôi chm thì các mục không coi được j, bật cuốn khác cũng chm thì coi bình thường ? Tạm thời chỉ có vài câu hỏi như thế :D Mong các bro giải đáp nhiệt tình và đầy đủ các câu hỏi :D 

2. 1 email có tên dạng như: abc@def.xyz được cấp trong một tổ chức hay cty, ở đây mình ví dụ def là tên tổ chức. Mình muốn hỏi làm sao để có thể tạo được mail có cấu trúc dạng như thế ? Và những người quản lí về IT trong cty có thể kiểm soát được email mình gửi/nhận hay không ( đọc ) ? ( trên cả 2 phương diện "danh chính ngôn thuận" và "hack" ) 

3. Khi mình thuê host để đặt website thì bên cung cấp host có thể xâm nhập vào cơ sở dữ liệu của mình hay không ? Hay có thể truy cập vào bất cứ phần nào thuộc website của mình ( ở đây mình muốn hỏi trên mặt "danh chính ngôn thuận" truy cập chứ k phải "hack" ) 

4. vừa gặp thêm cái trục trặc về ebook đuôi chm, mở cuốn sổ tay đuôi chm thì các mục không coi được j, bật cuốn khác cũng chm thì coi bình thường ? 

Miềng nghĩ là không biết được pass mô bạn ơi. ADMIN có thế change pass mới không cần quan tâm đến pass cũ của bạn. Đơn gian là ri hi: AD có thể biết tên truy cập bạn, có thể thay pass của bạn, block acc,... nhưng không thể biết được pass của bạn. Nếu AD biết được pass của thành viên thì có lẻ ngày đó Miềng sẻ thay đổi trật tự giao thức Mạng.  

Những phần mềm quản lý database có thể mã hoá 1 chuỗi sang MD5, đương nhiên nó có thể làm ngược lại, là giải mã nó ra. Chỉ cần vào database lưu pass user sau đó chọn lại kiểu mã hoá là xem được pass. 1 số file CHM có bài viết liên kết trực tuyến với host, vì thế nhà bác nào không có mạng thì không xem được. Host die cũng không xem được. 

Những phần mềm quản lý database có thể mã hoá 1 chuỗi sang MD5, đương nhiên nó có thể làm ngược lại, là giải mã nó ra. Chỉ cần vào database lưu pass user sau đó chọn lại kiểu mã hoá là xem được pass. 1 số file CHM có bài viết liên kết trực tuyến với host, vì thế nhà bác nào không có mạng thì không xem được. Host die cũng không xem được. 

=)) Tềnh hềnh là vấn đề này mình nói lung tung, và nó hơi vớ vẩn, xin các bác đừng trách móc làm em xấu hổ :^) Tương ứng với mỗi mã MD5 là 1 chuỗi văn bản, không có chuỗi thứ 2. Vì thế, về lý thuyết thì sẽ có cách giải mã, vấn đề là người ta chưa tìm ra thôi. Các bác có thể ra ngoài tiệm software mua 1 đĩa DVD băm sẵn pass 8 ký tự mã hoá bằng MD5, Search vài phút là ra. Còn pass 9 ký tự trở lên thì chờ các cao thủ chỉ dạy.... 

Các bác có thể ra ngoài tiệm software mua 1 đĩa DVD băm sẵn pass 8 ký tự mã hoá bằng MD5, Search vài phút là ra. Các bác có thể ra ngoài tiệm software mua 1 đĩa DVD băm sẵn pass 8 ký tự mã hoá bằng MD5, Search vài phút là ra.  

Nếu lưu trữ password bằng hash MD5 thì admin khó có thể giải ra. Nhưng có 1 nhược điểm như vầy : admin lưu pass của bạn (pass đã hash MD5) vào chỗ khác, sau đó tính hash MD5 của "123", rồi ghi đè vào cột password của account của bạn. Vì vậy admin có thể login bằng account của bạn với pass "123", sau đó khôi phục lại pass gốc của bạn :) Mời mọi người thảo luận làm cách nào để khắc phục vụ này, để cho ông admin cũng không làm như thế được ?  

Mình nghĩ việc này không cần thiết, vì admin có toàn quyền, muốn làm gì thì làm, muốn login bằng account nào chẳng được. Cần gì change pass làm gì cho mệt.  

Mình nghĩ việc này không cần thiết, vì admin có toàn quyền, muốn làm gì thì làm, muốn login bằng account nào chẳng được. Cần gì change pass làm gì cho mệt.  

khanhqhi wrote:

Mình nghĩ việc này không cần thiết, vì admin có toàn quyền, muốn làm gì thì làm, muốn login bằng account nào chẳng được. Cần gì change pass làm gì cho mệt.  

Có thể hệ thống rất lớn và admin cũng không nắm được thiết kế đầy đủ. Nếu admin muốn thay đổi dữ liệu dưới danh tính của người khác thì bắt buộc phải login bằng account người khác và thực hiện trên giao diện ứng dụng, chứ không thể chỉ đơn giản mở cái database ra mà insert record mới vào, vì ứng dụng còn làm các công việc liên quan khác khi dữ liệu mới xuất hiện (ví dụ khi mua 1 hoá đơn mới thì ứng dụng không chỉ tạo hoá đơn mà còn phải giảm số lượng mặt hàng, trừ tiền người dùng, giảm bớt 1 hoá đơn, giảm mặt hàng còn lại của 1 hãng, cập nhật lại các thống kê, lưu log thay đổi v.v...). 

invalid-password wrote:

Có thể hệ thống rất lớn và admin cũng không nắm được thiết kế đầy đủ. Nếu admin muốn thay đổi dữ liệu dưới danh tính của người khác thì bắt buộc phải login bằng account người khác và thực hiện trên giao diện ứng dụng, chứ không thể chỉ đơn giản mở cái database ra mà insert record mới vào, vì ứng dụng còn làm các công việc liên quan khác khi dữ liệu mới xuất hiện (ví dụ khi mua 1 hoá đơn mới thì ứng dụng không chỉ tạo hoá đơn mà còn phải giảm số lượng mặt hàng, trừ tiền người dùng, giảm bớt 1 hoá đơn, giảm mặt hàng còn lại của 1 hãng, cập nhật lại các thống kê, lưu log thay đổi v.v...). 

--> Mình không hiểu là tại sao admin lại phải dùng một account khác để thay đổi thông tin dữ liệu từ users trong khi admin có đủ mọi quyền.  

Chẳng hạn admin muốn tạo thông tin giả rằng chính user đó đã thực hiện thao tác xoá dữ liệu chứ không phải user của admin, trong khi admin không thể đọc hiểu ý nghĩa của các table + field, giá trị chứa trong đó được mã hoá. Trong CSDL lại không có storedproc nào để xoá, mà ứng dụng sẽ gọi nhiều query trực tiếp để xoá (nó lần lượt thực hiện các thao tác kiểm tra, thống kê, backup, xoá, ghi log, update các table khác, ...), lúc này admin chỉ có thể gọi chức năng delete từ ứng dụng vì nếu mò vào 1 table xoá trực tiếp mà không biết cách update các table liên quan thì DB sẽ bị inconsistent. Hiểu chưa nào :P ? 

Mình đã từng làm 1 hệ thống ứng dụng chạy Oracle có 10000 tables (10 ngàn table, tưởng tượng nổi không ?), có nhiều table mà tên field chỉ có đúng 3 ký tự. Khi ứng dụng chạy 1 thao tác, nếu có trace ra thì nó thực hiện rất nhiều SQL dài, không biết đâu mà lần. Không phải db nào cũng dễ hiểu như : để xoá một hoá đơn thì gọi thủ tục sp_XoaHoaDon :P  

- Sự thật là tớ ko hiểu cậu đang nói đến việc gì. Tớ chỉ đề cập admin có mọi quyền vì thế có thể chỉnh sửa, thay đổi, nâng cấp tuỳ ý các accounts thì tại sao lại phải dùng một account khác để thực hiện việc này.  

10.000 tables àh :-) . Bạn cho mình biết bạn viết ứng dụng gì đi, mình sẽ nói cho bạn biết mình có tin hay là không nhưng cơ bản hiện giờ là mình không tin 

cvhainb wrote:

- Sự thật là tớ ko hiểu cậu đang nói đến việc gì. Tớ chỉ đề cập admin có mọi quyền vì thế có thể chỉnh sửa, thay đổi, nâng cấp tuỳ ý các accounts thì tại sao lại phải dùng một account khác để thực hiện việc này.  

Tớ thì lại đề cập đến admin chỉnh sửa dữ liệu và gán tội cho một user khác chứ không phải chỉnh sửa thông tin của user đó. VD có CSDL bán hàng, admin muốn tạo ra bằng chứng rằng user A đã sửa dữ liệu doanh thu bán hàng (chứ không phải sửa thông tin user A), trong khi CSDL lại quá phức tạp để có thể sửa trực tiếp, vì vậy admin phải login vào ứng dụng bằng user A để làm. (admin database game online mà add vcoin vào account của mình rồi đem bán thì giàu to). Hiểu chưa nào :D ? 

cvhainb wrote:

10.000 tables àh :-) . Bạn cho mình biết bạn viết ứng dụng gì đi, mình sẽ nói cho bạn biết mình có tin hay là không nhưng cơ bản hiện giờ là mình không tin 

Ứng dụng của nước ngoài viết, mình chỉ vận hành thôi. Nó có hàng trăm tính năng mình cũng không biết hết, số table này cũng làm mình bất ngờ.