Email or username:

Password:

Forgot your password?
Alexey's posts Post Back to profile
Alexey Skobkin

2022 год.
Запускается игра.
В форме регистрации запрещают использовать пароль длиннее 20 символов.

Вы там его, сука, плейнтекстом что ли храните и экономите на сторедже?

😑

#web #dev #shit #log #games

8 Aug 2022 at 15:31 | Open on lor.sh
23 comments
[DATA EXPUNGED]
[DATA EXPUNGED]
DELETED

@skobkin
В тему.

Почему никто не хэширует пароль client-side, прямо перед отправкой на сервер? Понятно что он на сервере захэшируется, но перед этим он может пройти через cloudflare-nginx-конечный софт и где-нибудь в теории утечь. Почему никто сразу не предотвращает проблему?

8 Aug 2022 at 15:58 | Open on zhub.link
Alexey Skobkin
DELETED

@skobkin
ID пользователя? А при регистрации можно бронировать этот ID.

8 Aug 2022 at 16:03 | Open on zhub.link
Alexey Skobkin

@cofob
Ну тогда это как бы не мешает устраивать переборы по радужным таблицам, просто их придётся генерировать самостоятельно, но зато по ним можно проверять сразу всю слитую базу.

8 Aug 2022 at 16:05 | Open on lor.sh
DELETED

@skobkin
От радуги это не защитит, но ведь я выше описал вариант использования. Повторю: защита от слива по пути, через все хопы идёт мешанина хэша. Юзер спокоен, потому что сервер не знает его пароля в plain text и никак не может узнать.

8 Aug 2022 at 16:06 | Open on zhub.link
Alexey Skobkin

@cofob
А какую проблему это решает?
Ну вот узнал сервер твой пароль в plain text, прохэшировал с солью и забыл.
В чём беда?

От перехвата по дороге это не помогает потому что если сервер проводит аутентификацию по хэшу, то перехвативший знает этот хэш.

8 Aug 2022 at 16:09 | Open on lor.sh
DELETED

@skobkin
Знает хэш != знает пароль. Если он знает пароль то это уже проблема другого порядка. Если утекет хэш то утекет только аккаунт от этого сервиса, а пароль может использоваться на нескольких сервисах.

А насчет того что сервер прохэшил и забыл, ты в этом точно уверен? Уверен в том что сервис не складывает все пароли в отдельную базу? Допустим бренду ты доверяешь, а если сервер взломан?

8 Aug 2022 at 16:12 | Open on zhub.link
Alexey Skobkin

@cofob
Ты сейчас смешиваешь личную политику безопасности пользователя и политики безопасности сервиса, которым абсолютно похер взломают ли ещё чей-то аккаунт после взлома аккаунта у них.

Личная часть со стороны пользователя решается уникальными паролями. К проблеме передачи по сети или хранения в БД это не имеет никакого отношения.

8 Aug 2022 at 16:14 | Open on lor.sh
DELETED

@skobkin
Разве будет лишним то что сервис не знает пароля? Мне кажется нет.

8 Aug 2022 at 16:16 | Open on zhub.link
Alexey Skobkin

@cofob
С точки зрения сервиса этот вопрос бессмысленен.
А с точки зрения пользователя - несколько глуповат. Потому что это полезно только если у тебя одинаковые пароли. А это мягко говоря уже повод беспокоиться.

8 Aug 2022 at 16:18 | Open on lor.sh
DELETED

@skobkin
Да и как ты проверишь то по радуге? Она тут неприменима, потому что есть соль, то есть брутить можно только 1 пароль.

8 Aug 2022 at 16:08 | Open on zhub.link
Alexey Skobkin

@cofob
Радуга применима в том смысле, что она может быть предгенерирована. Просто её генерация заметно дороже, но всё ещё возможна.

8 Aug 2022 at 16:10 | Open on lor.sh
🕉

@skobkin @cofob
А можно солить еще несколько раз, количество известно только серверу

9 Aug 2022 at 5:10 | Open on rusoc.xyz
Go Up