1

Тема: Оцініть сайт

Хелоу.
Зробив якийсь час тому словник сленгу, щось типу урбан дікшіонарі, але по-нашому.
https://www.slangzone.net

Трохи намахався, щоб створити якесь людське меню на мобілки, типу шоб якнайменше кліків треба було , щоб куди-небудь дістатися. Якщо в когось був подібний кейс, з радістю вислухаю.

Подякували: karmeljuk, leofun01, tan3

2

Re: Оцініть сайт

Цікаво. Схоже на цей старіший проект https://myslovo.com/

3

Re: Оцініть сайт

А зареєструватися без ботнету можна?

Подякували: leofun011

4

Re: Оцініть сайт

bebyk написав:

А зареєструватися без ботнету можна?

Кажучи «ботнет» маєш на увазі вхід через соцмережі? Якщо так, то:
1. хз що спільного має ботнет з входом через соцмережі
2. ні, немає можливості придумати собі пароль, я не хочу нести відповідальність (хоч і лише репутаційну/моральну), якщо хтось введе пароль від свого інтернет-банкінгу, а мою базу зламають.

5

Re: Оцініть сайт

strat1 написав:
bebyk написав:

А зареєструватися без ботнету можна?

...
2. ні, немає можливості придумати собі пароль, я не хочу нести відповідальність (хоч і лише репутаційну/моральну), якщо хтось введе пароль від свого інтернет-банкінгу, а мою базу зламають.

Для цього є хеші.
На сервер приходить HTTP-запит від користувача, який містить пароль.
Береш пароль, додаєш сіль (стрічку, яка була рандомно згенерорвана в час створеня пароля, і зберігається в базі даних), запихаєш все це в функцію хешування, отриманий хеш перевіряєш чи збігається з значеням з бази даних. Якщо треба зберегти новий пароль, то в базу записуєш сіль і хеш.
Це був короткий опис того, як не зберігати паролі користувачів.

Детальніше читай в темі "Нащо потрібна сіль при хешуванні?",
або дивись видиво

Як не зберігати паролі (en)
Подякували: tan1

6

Re: Оцініть сайт

leofun01 написав:
strat1 написав:
bebyk написав:

А зареєструватися без ботнету можна?

...
2. ні, немає можливості придумати собі пароль, я не хочу нести відповідальність (хоч і лише репутаційну/моральну), якщо хтось введе пароль від свого інтернет-банкінгу, а мою базу зламають.

Для цього є хеші.
На сервер приходить HTTP-запит від користувача, який містить пароль.
Береш пароль, додаєш сіль (стрічку, яка була рандомно згенерорвана в час створеня пароля, і зберігається в базі даних), запихаєш все це в функцію хешування, отриманий хеш перевіряєш чи збігається з значеням з бази даних. Якщо треба зберегти новий пароль, то в базу записуєш сіль і хеш.
Це був короткий опис того, як не зберігати паролі користувачів.

Детальніше читай в темі "Нащо потрібна сіль при хешуванні?",
або дивись видиво

Як не зберігати паролі (en)

з сіллю ніколи не розумів як це працює, завжди лише хешував. І я думаю не я один такий. Он в фейсбуку взагалі паролі плейн текстом лежали в базі.

З іншого боку, завжди можна мати базу «популярних» паролів і мати їхні захешовані варіанти, тоді підбір паролю зводиться лише до порівняння стрінгів, так шо теж такий собі варіант. До того ж, з кожним роком компи все потужніші, а час підбору паролю все менший, ще років з 10-15 і на квантових процесорах це буде робитися за 20 хвилин, а не за 300 років. А я не планую видаляти свій словник через 10 років:)

Загалом, найкращий варіантом був би пасвордлесс https://developer.mozilla.org/uk/docs/W … cation_API
Але воно малопопулярне, важке для розуміння, і, як я розумію, треба мати якийсь зовнішній носій для автентикації. Що теж такий собі варіант, загубиш носій — ти в дупі.

7

Re: Оцініть сайт

strat1 написав:

з сіллю ніколи не розумів як це працює, завжди лише хешував. І я думаю не я один такий.

Ну то треба як найшвидше переглянути хоча би видиво, щоб розуміти причини.

strat1 написав:

Он в фейсбуку взагалі паролі плейн текстом лежали в базі.

Мордокнига не еталон і навіть не нормальний сайт. Вони взагалі не дотримуються стандартів.

strat1 написав:

З іншого боку, завжди можна мати базу «популярних» паролів і мати їхні захешовані варіанти, тоді підбір паролю зводиться лише до порівняння стрінгів

Це ти описав варіант без сілі. А тепер попробуй повторити таке з базою, яка містить сіль.

strat1 написав:

До того ж, з кожним роком компи все потужніші, а час підбору паролю все менший,

Не бачу проблеми. Хеш-функцію можна замінити, довжину сілі можна збільшити.

strat1 написав:

ще років з 10-15 і на квантових процесорах це буде робитися за 20 хвилин, а не за 300 років.

Десь таку ж кількість років я чую байки про квантові компютери.

strat1 написав:

А я не планую видаляти свій словник через 10 років:)

Ти видалиш його з інших причин.

strat1 написав:

Загалом, найкращий варіантом був би пасвордлесс https://developer.mozilla.org/uk/docs/W … cation_API

Якщо вже зайшла мова про найкращий варіант, то сайт мав би давати користувачу можливість виконувати вхід через базову HTTP аутентикацію і обробляти відповідні заголовки.

strat1 написав:

... пасвордлесс ...
Але воно малопопулярне, ... треба мати якийсь зовнішній носій для автентикації. Що теж такий собі варіант, загубиш носій — ти в дупі.

Тут згідний. Від себе додам: Треба не допустити поширеня цієї технології.

8

Re: Оцініть сайт

leofun01 написав:

Мордокнига не еталон і навіть не нормальний сайт. Вони взагалі не дотримуються стандартів

Так і я про це, внаслідок криворукости девів з ФБ маємо в мережі мільйони паролів користувачів

Тому, більшість людей, які сіль не використовують, будуть мати проблеми, тому що:

leofun01 написав:
strat1 написав:

З іншого боку, завжди можна мати базу «популярних» паролів і мати їхні захешовані варіанти, тоді підбір паролю зводиться лише до порівняння стрінгів

Це ти описав варіант без сілі. А тепер попробуй повторити таке з базою, яка містить сіль.

leofun01 написав:
strat1 написав:

До того ж, з кожним роком компи все потужніші, а час підбору паролю все менший,

Не бачу проблеми. Хеш-функцію можна замінити, довжину сілі можна збільшити.

Це розв’яже проблему для сайту на кілька сотень/кілька тисяч людей. Глобально – це дорога внікуди.

leofun01 написав:
strat1 написав:

Загалом, найкращий варіантом був би пасвордлесс https://developer.mozilla.org/uk/docs/W … cation_API

Якщо вже зайшла мова про найкращий варіант, то сайт мав би давати користувачу можливість виконувати вхід через базову HTTP аутентикацію і обробляти відповідні заголовки.

Дурниці, base64 — ніяк не шифр, а мен ін зе мідл ніхто не відміняв.

leofun01 написав:
strat1 написав:

... пасвордлесс ...
Але воно малопопулярне, ... треба мати якийсь зовнішній носій для автентикації. Що теж такий собі варіант, загубиш носій — ти в дупі.

Тут згідний. Від себе додам: Треба не допустити поширеня цієї технології.

Теж дурниці, дія так працює, де носієм є твій телефон, який додатково верифікується банком.

9

Re: Оцініть сайт

Прихований текст

Он в фейсбуку взагалі паролі плейн текстом лежали в базі.

Он бачив як пожежник на заправці курив, а мені чо не можна.

10

Re: Оцініть сайт

strat1 написав:

Дурниці, base64 — ніяк не шифр, а мен ін зе мідл ніхто не відміняв.

Я не казав що base64 це шифр, і за вказаними мною посиланями не написано що це шифр. Читаємо уважно

Безпека базової аутентикації (en)

As the user ID and password are passed over the network as clear text (it is base64 encoded, but base64 is a reversible encoding), the basic authentication scheme is not secure. HTTPS/TLS should be used with basic authentication. Without these additional security enhancements, basic authentication should not be used to protect sensitive or valuable information.

Перекладаємо (uk):
Так як ідентифікатор користувача і пароль передаються через мережу як чистий текст (він закодований в base64, але base64 можна розкодувати), то базова аутентикація (через чистий HTTP) є не безпечна. HTTPS/TLS має бути використаний з базовою аутентикацією. Без цих додаткових покращень безпеки базова аутентикація має не використовуватися, щоб захистити вразливу або важливу інформацію.

Тут нам тільки звертають увагу на важливість HTTPS.

strat1 написав:
leofun01 написав:
strat1 написав:

... пасвордлесс ...
Але воно малопопулярне, ... треба мати якийсь зовнішній носій для автентикації. Що теж такий собі варіант, загубиш носій — ти в дупі.

Тут згідний. Від себе додам: Треба не допустити поширеня цієї технології.

Теж дурниці, дія так працює, де носієм є твій телефон, який додатково верифікується банком.

З мого досвіду додаток Дія в Android не працює. І навіть завантажити валідний файл *.apk дуже проблемно.