Ви не увійшли. Будь ласка, увійдіть або зареєструйтесь.
Ласкаво просимо вас на україномовний форум з програмування, веб-дизайну, SEO та всього пов'язаного з інтернетом та комп'ютерами.
Будемо вдячні, якщо ви поділитись посиланням на Replace.org.ua на інших ресурсах.
Для того щоб створювати теми та надсилати повідомлення вам потрібно Зареєструватись.
Український форум програмістів → Оцінка сайтів → Оцініть сайт
Сторінки 1
Для відправлення відповіді ви повинні увійти або зареєструватися
Хелоу.
Зробив якийсь час тому словник сленгу, щось типу урбан дікшіонарі, але по-нашому.
https://www.slangzone.net
Трохи намахався, щоб створити якесь людське меню на мобілки, типу шоб якнайменше кліків треба було , щоб куди-небудь дістатися. Якщо в когось був подібний кейс, з радістю вислухаю.
Цікаво. Схоже на цей старіший проект https://myslovo.com/
А зареєструватися без ботнету можна?
А зареєструватися без ботнету можна?
Кажучи «ботнет» маєш на увазі вхід через соцмережі? Якщо так, то:
1. хз що спільного має ботнет з входом через соцмережі
2. ні, немає можливості придумати собі пароль, я не хочу нести відповідальність (хоч і лише репутаційну/моральну), якщо хтось введе пароль від свого інтернет-банкінгу, а мою базу зламають.
bebyk написав:А зареєструватися без ботнету можна?
...
2. ні, немає можливості придумати собі пароль, я не хочу нести відповідальність (хоч і лише репутаційну/моральну), якщо хтось введе пароль від свого інтернет-банкінгу, а мою базу зламають.
Для цього є хеші.
На сервер приходить HTTP-запит від користувача, який містить пароль.
Береш пароль, додаєш сіль (стрічку, яка була рандомно згенерорвана в час створеня пароля, і зберігається в базі даних), запихаєш все це в функцію хешування, отриманий хеш перевіряєш чи збігається з значеням з бази даних. Якщо треба зберегти новий пароль, то в базу записуєш сіль і хеш.
Це був короткий опис того, як не зберігати паролі користувачів.
Детальніше читай в темі "Нащо потрібна сіль при хешуванні?",
або дивись видиво
strat1 написав:bebyk написав:А зареєструватися без ботнету можна?
...
2. ні, немає можливості придумати собі пароль, я не хочу нести відповідальність (хоч і лише репутаційну/моральну), якщо хтось введе пароль від свого інтернет-банкінгу, а мою базу зламають.Для цього є хеші.
На сервер приходить HTTP-запит від користувача, який містить пароль.
Береш пароль, додаєш сіль (стрічку, яка була рандомно згенерорвана в час створеня пароля, і зберігається в базі даних), запихаєш все це в функцію хешування, отриманий хеш перевіряєш чи збігається з значеням з бази даних. Якщо треба зберегти новий пароль, то в базу записуєш сіль і хеш.
Це був короткий опис того, як не зберігати паролі користувачів.Детальніше читай в темі "Нащо потрібна сіль при хешуванні?",
або дивись видиво▼Як не зберігати паролі (en)
з сіллю ніколи не розумів як це працює, завжди лише хешував. І я думаю не я один такий. Он в фейсбуку взагалі паролі плейн текстом лежали в базі.
З іншого боку, завжди можна мати базу «популярних» паролів і мати їхні захешовані варіанти, тоді підбір паролю зводиться лише до порівняння стрінгів, так шо теж такий собі варіант. До того ж, з кожним роком компи все потужніші, а час підбору паролю все менший, ще років з 10-15 і на квантових процесорах це буде робитися за 20 хвилин, а не за 300 років. А я не планую видаляти свій словник через 10 років:)
Загалом, найкращий варіантом був би пасвордлесс https://developer.mozilla.org/uk/docs/W … cation_API
Але воно малопопулярне, важке для розуміння, і, як я розумію, треба мати якийсь зовнішній носій для автентикації. Що теж такий собі варіант, загубиш носій — ти в дупі.
з сіллю ніколи не розумів як це працює, завжди лише хешував. І я думаю не я один такий.
Ну то треба як найшвидше переглянути хоча би видиво, щоб розуміти причини.
Он в фейсбуку взагалі паролі плейн текстом лежали в базі.
Мордокнига не еталон і навіть не нормальний сайт. Вони взагалі не дотримуються стандартів.
З іншого боку, завжди можна мати базу «популярних» паролів і мати їхні захешовані варіанти, тоді підбір паролю зводиться лише до порівняння стрінгів
Це ти описав варіант без сілі. А тепер попробуй повторити таке з базою, яка містить сіль.
До того ж, з кожним роком компи все потужніші, а час підбору паролю все менший,
Не бачу проблеми. Хеш-функцію можна замінити, довжину сілі можна збільшити.
ще років з 10-15 і на квантових процесорах це буде робитися за 20 хвилин, а не за 300 років.
Десь таку ж кількість років я чую байки про квантові компютери.
А я не планую видаляти свій словник через 10 років:)
Ти видалиш його з інших причин.
Загалом, найкращий варіантом був би пасвордлесс https://developer.mozilla.org/uk/docs/W … cation_API
Якщо вже зайшла мова про найкращий варіант, то сайт мав би давати користувачу можливість виконувати вхід через базову HTTP аутентикацію і обробляти відповідні заголовки.
... пасвордлесс ...
Але воно малопопулярне, ... треба мати якийсь зовнішній носій для автентикації. Що теж такий собі варіант, загубиш носій — ти в дупі.
Тут згідний. Від себе додам: Треба не допустити поширеня цієї технології.
Мордокнига не еталон і навіть не нормальний сайт. Вони взагалі не дотримуються стандартів
Так і я про це, внаслідок криворукости девів з ФБ маємо в мережі мільйони паролів користувачів
Тому, більшість людей, які сіль не використовують, будуть мати проблеми, тому що:
strat1 написав:З іншого боку, завжди можна мати базу «популярних» паролів і мати їхні захешовані варіанти, тоді підбір паролю зводиться лише до порівняння стрінгів
Це ти описав варіант без сілі. А тепер попробуй повторити таке з базою, яка містить сіль.
strat1 написав:До того ж, з кожним роком компи все потужніші, а час підбору паролю все менший,
Не бачу проблеми. Хеш-функцію можна замінити, довжину сілі можна збільшити.
Це розв’яже проблему для сайту на кілька сотень/кілька тисяч людей. Глобально – це дорога внікуди.
strat1 написав:Загалом, найкращий варіантом був би пасвордлесс https://developer.mozilla.org/uk/docs/W … cation_API
Якщо вже зайшла мова про найкращий варіант, то сайт мав би давати користувачу можливість виконувати вхід через базову HTTP аутентикацію і обробляти відповідні заголовки.
Дурниці, base64 — ніяк не шифр, а мен ін зе мідл ніхто не відміняв.
strat1 написав:... пасвордлесс ...
Але воно малопопулярне, ... треба мати якийсь зовнішній носій для автентикації. Що теж такий собі варіант, загубиш носій — ти в дупі.Тут згідний. Від себе додам: Треба не допустити поширеня цієї технології.
Теж дурниці, дія так працює, де носієм є твій телефон, який додатково верифікується банком.
Дурниці, base64 — ніяк не шифр, а мен ін зе мідл ніхто не відміняв.
Я не казав що base64 це шифр, і за вказаними мною посиланями не написано що це шифр. Читаємо уважно
Перекладаємо (uk):
Так як ідентифікатор користувача і пароль передаються через мережу як чистий текст (він закодований в base64, але base64 можна розкодувати), то базова аутентикація (через чистий HTTP) є не безпечна. HTTPS/TLS має бути використаний з базовою аутентикацією. Без цих додаткових покращень безпеки базова аутентикація має не використовуватися, щоб захистити вразливу або важливу інформацію.
Тут нам тільки звертають увагу на важливість HTTPS.
leofun01 написав:strat1 написав:... пасвордлесс ...
Але воно малопопулярне, ... треба мати якийсь зовнішній носій для автентикації. Що теж такий собі варіант, загубиш носій — ти в дупі.Тут згідний. Від себе додам: Треба не допустити поширеня цієї технології.
Теж дурниці, дія так працює, де носієм є твій телефон, який додатково верифікується банком.
З мого досвіду додаток Дія в Android не працює. І навіть завантажити валідний файл *.apk дуже проблемно.
Сторінки 1
Для відправлення відповіді ви повинні увійти або зареєструватися
