1. Куча / Говнокод #26929

    −3

    1. 1
    https://twitter.com/sberbank/status/1302843162533208065

    Какая безопасность)))

    Запостил: roflannister, 07 Сентября 2020

    Комментарии (34) RSS

    • Кому хочется безопасности - пусть иероглифы с "emoji" вставляют. Лично меня, напротив, заебало это вездесущее требование включать в состав пароля хотя бы одну строчную букву, одну прописную, одну цифру и какой-нибудь спецсимвол. Я сам должен решать, насколько взламываемым должен быть мой аккаунт.
      Ответить
      • Здравствуйте, Геннадий Петрович!..
        Ответить
    • показать все, что скрытоvanished
      Ответить
    • Уринотерапия была очень популярна в Камеруне. Жители этой страны верили, что употребление человеческой мочи лечит геморрой, язву желудка, бесплодие и нейтрализует змеиные укусы. Увлечение уринотерапией в стране дошло до таких масштабов, что Министерство здравоохранения Камеруна выступило с официальным обращение к народу, в котором предупредила об опасности употребления мочи[9].
      Ответить
    • Там пишут, что дело не в падении криптостойкости (меньше бита на символ), а в том, что пароли хранятся в открытом виде. Хотя это же не обязательно так - можно сразу приводить пароль к нижнему регистру как при задании, так и при проверке. Или это несовместимо с какими-то стандартными механизмами? (ну типа вместо <input type="password"> придется городить что-то свое)
      Ответить
      • Эм, ну сервак без проблем может lower() позвать перед подсчётом хеша (и при регистрации и при проверке). Так что и обычный input=password сойдёт.
        Ответить
        • «Граватар» так и делает для подсчёта хэша емейла.
          Ответить
        • Ну да, если сервер получает сам пароль, то да. (а защита от прослушивания обеспечивается протоколом передачи данных, скажем, HTTPS)

          Просто хочется какую-нибудь забавную ситуацию выдумать. Скажем, сервер вообще не имеет права видеть пароли, только хеши. И вдруг приходит требование обеспечить регистронезависимость... Тогда на клиенте придется генерировать табличку хешей всех комбинаций (например, 10 букв 4 цифры - 1024 варианта) и отсылать.
          Ответить
          • Эм, ну ты на клиенте тогда сделай lower и при регистрации и при проверке. В чём проблема то?

            Или типа регистронезависимость решили прикрутить пост-фактум, когда клиенты уже понарегались?
            Ответить
            • Да, я именно это имел в виду.
              Ответить
              • Ну это пиздец уже, на самом деле. Хотя можно после успешного перебора сразу же сменить хеш на lower. И больше никогда для этого юзера не перебирать.
                Ответить
                • Поискать исходный пароль в базе hashes.org, сделать lower и снова посчитать хэш.

                  P.S. Hashes.org is currently unavailable.

                  Какой багор )))
                  Ответить
          • да просто при следующем заходе юзера обновлять его пароль на lower(пароль)
            Ответить
    • показать все, что скрытоvanished
      Ответить
    • показать все, что скрытоvanished
      Ответить
    • показать все, что скрытоvanished
      Ответить

    Добавить комментарий