- 1
- 2
- 3
https://news.ycombinator.com/item?id=20426997
LiveJournal data breach impacts 33M users with plaintext passwords
Нашли или выдавили из себя код, который нельзя назвать нормальным, на который без улыбки не взглянешь? Не торопитесь его удалять или рефакторить, — запостите его на говнокод.ру, посмеёмся вместе!
0
https://news.ycombinator.com/item?id=20426997
LiveJournal data breach impacts 33M users with plaintext passwords
Идиотия, кретинизм, олигофрения, и другие способы стать разработчиком в livejournal
MAKAKA 27.05.2020 17:37 # +1
nblXOMAKAKA 27.05.2020 17:58 # 0
MAKAKA 27.05.2020 18:01 # 0
???
>>MD5
блядь
ну ладно, допустим это 1999й.
но даже тогда ПЛЕЙЕН ПЛЯТЬ ТЕКСТАОМ
nblXOMAKAKA 27.05.2020 18:11 # 0
nblXOMAKAKA 27.05.2020 18:04 # 0
В эпоху до повсеместного внедрения HTTPS «ЖЖ» решил защитить пароли пользователя от перехвата. Для этого у клиента перехватывалось событие сабмита формы, пароль кокококонкатенировался с одноразовым токеном, хэшировался/шифровался и в таком виде уже отправлялся на сервер. Сервер производил те же самые операции и сравнивал результаты.
Поскольку перед конкатенацией пароль не хэшировался, серверу было необходимо хранить нехэшированный пароль, иначе он не сможет повторить эти операции.
Эту схему можно было исправить: перед конкатенацией хэшировать пароль, тогда на сервере придётся хранить несолёные хэши либо передавать клиенту соль.
nblXOMAKAKA 27.05.2020 18:06 # 0
Значит, на сервере их плейнтекстом хранить не нужно, достаточно сохранить MD5.
MAKAKA 27.05.2020 18:12 # 0
Но всё равно пиздец: пусть бы хоть хешировали с известной солью
nblXOMAKAKA 27.05.2020 18:17 # 0
Лучше, конечно, заменить md5_hex($pass) на хэширование хотя бы с постоянной известной солью, но даже в имеющемся варианте плейнтекст не нужен.
bormand 27.05.2020 18:19 # 0
Учитывая то, как быстро считается md5, это ничем не отличается от хранения самого пароля.
guest8 27.05.2020 18:44 # −999
bormand 27.05.2020 18:45 # 0
nblXOMAKAKA 27.05.2020 18:51 # +2
MAKAKA 27.05.2020 18:19 # 0
bormand 27.05.2020 18:20 # 0
MAKAKA 27.05.2020 18:38 # +2
Хеши для словарных паролей без соли уже известны, их ломать не надо.
А в случае с неизвестной солю нужен перебор.
Win7 + Strawberry perl 5.34
Ubuntu 20.04 WSL, Perl 5.26
Вводим хеш в гугол
https://md5.gromweb.com/?md5=bed128365216c019988915ed3add75fb
nblXOMAKAKA 27.05.2020 18:46 # 0
bormand 27.05.2020 18:55 # 0
guest8 27.05.2020 18:57 # −999
bormand 27.05.2020 18:58 # 0
nblXOMAKAKA 27.05.2020 19:01 # 0
bormand 27.05.2020 19:03 # 0
1024-- 27.05.2020 21:09 # 0
Потому, что учётки 95% пользователей веб-сайтов не имеют ценности, и потому защищены соответствующе.
MAKAKA 27.05.2020 21:11 # +2
Проблема в том, что точно такой же пароль у меня от электронной почты, госуслуг, и рабочего компьютера.
nblXOMAKAKA 27.05.2020 21:44 # 0
KOPOHABuPYC 04.06.2020 20:29 # 0
MAKAKA 27.05.2020 19:04 # 0
MAKAKA 27.05.2020 19:03 # +2
А еще лучше OAuth и пусть у гугла голова болит.
А програмные клиенты пусть генерят пару ключей, и сдают тебе публичный. Нехуя чужие секреты хранить
nblXOMAKAKA 27.05.2020 18:18 # 0
http://srp.stanford.edu/
https://en.wikipedia.org/wiki/Password-authenticated_key_agreement
guest8 27.05.2020 21:53 # −999
guest8 27.05.2020 21:53 # −999
MAKAKA 27.05.2020 21:54 # 0
Какиры ломают говно не чтобы забесплатно отдать его миллионам питухоф
guest8 30.05.2020 01:42 # −999
guest8 04.06.2020 09:13 # −999