ddda5f16d...54.jpeg, 44 KB, 550x405, exif ggl iq id3 |
Весьма интересный момент при написании модуля аутентификации для альтерчана заключается в том, что аутентификация по одному только паролю менее надёжна, чем по паре логин-пароль. Прикол в том, что если добавить к хешу уникальную соль, а к хешу нужно добавлять соль, то чтобы найти потом такой хеш по одному только паролю, надо перебирать весь список пользователей, хешируя пару пароль+соль и сравнивая хеш, иначе никак. Очевидных решения только два — не солить хеши, что плохо, либо резать пароль на составные части. Может есть и какие-нибудь неочевидные ещё, но я их пока не нахожу.
Хотя я не совсем точно выразился - она менее надёжна только в том случае, если её криво запилить. Во всех других случаях она более надежна, поскольку в ней нет логина, по которому можно было бы попытаться идентифицировать его хозяина.
>>8q0
А ты вспомни аутизм с "уязвимостью" анонимности из-за механизма скрытия. Права семенов и прочий бред.
>>8q0
Причина в том, что всё это вообще имеет шанс как-то сработать только в случае, если оно будет сделано хорошо. В противном случае делать все это и вовсе смысла не имеет.
>>8q1
Но это ведь уязвимость. И упирается в то же самое - если посты одного анонима возможно отследить нажатием одной кнопки, то надо либо крестик снять и сделать пони-форум с аватарками, либо штаны надеть.
>>8q3
Или избавиться от максимализма и черно-белого мышления. Всегда есть третий вариант.
>>8q0
Нужно чтоб вайпали и набегали?
На Нульчане когда-то и капчи не было, даже в /б/. Какое-то время даже жили — не тужили, в то время как завсегдатаи ментачей и тиречей плавали в говне и ниграх, надев ласты и куклоскрипты. Последним разделом, в котором была включена капча по моей просьбе, когда script-kiddie начал перемешивать и уводить в бамплимит треды, был /d/raw, и тот продержался до 2010, что ли, только потому что там нельзя было треды создавать без java-рисовалки (которая потом на хрен сломалась), чего вайперы не осиливали. А сейчас такое трудно представить.
>>8q4
Альтерчую. And my axe похуй. На уязвимость можно было забить, не слушать аутистов. Но и в том, что её тогда убрали и запилили новый движок, вижу больше хорошего, чем плохого, что бы там ни говорили.
>>8pY
>>8pZ
Ну, от кгбанб юзеров это не спасёт, ведь так? Только от какого-нибудь спиздинга баз с сервера? Или от идентификации пользователей на клиентской стороне через расшифровку за 100 лет на квантовой числодробилке? Которая всё равно мало что даст, ведь есть возможность менять пароли-логины и постить с капчей. Я полный профан в криптографии и не до конца понял, о чём ты и где в этом кроется потенциальная угроза или потенциальный профит.
>>8q7
>Нужно чтоб вайпали и набегали?
Интересные треды нужны. А иначе нам собственно и охранять нечего.
>>8q7
> Ну, от кгбанб юзеров это не спасёт, ведь так?
Так. Более того, даже от каких-нибудь озлобленных сотрудников хостинга не спасет, т.к. при желании они смогут сопоставить пост с IP-адресом по дате и времени запросов к серверу. В принципе, можно было бы сделать рандомную задержку в постинге, но тут еще от наплыва посетителей зависит. Задержка даже в 10 минут при скорости борды 2 поста/день не даст ничего.
> потенциальная угроза
Сложно себе представить на данном этапе.
> потенциальный профит
Профиты отсутствуют.
> зачем это всё тогда
Как-то само складывается. Просто мне показалось забавным, что авторизация по паролю н�� самом деле не является тем, чем кажется на первый взгляд. Сначала ты думаешь "ну и нахрена эти логины-пароли, если можно обойтись одним только паролем?", а потом оказывается, что всё в любом случае скатывается именно к паре логин-пароль.
>>8qa
Я все еще не понял, почему нужен логин.
Есть мысли сделать свой сайт (не борду) с упрощенной/улучшенной системой логина, чтобы обходиться без навязчивой традиционной регистрации, но иметь привязку действий и постов юзера к его аккаунту, поэтому данная тема мне интересна.
Что же до кгб, что-то я за все время пребывания здесь (еще со времен 2.0 борды на нульче) не заметил сколько бы то ни было незаконных постов.
>>8qb
> Я все еще не понял, почему нужен логин.
Без обид, но думаю дело в том, что ты не до конца понимаешь зачем нужна соль для хешей и с какой стороны пароля её конкатенировать. Думаю, если ты потратишь некоторое время чтобы разобраться с этим вопросом, то сразу поймешь в чем тут соль.
>>8qe
Если логин заменяет соль, то зачем вообще придумали соль, когда в 99% сайтов с регистрацией есть логин с самого начала?
>>8qk
> Если логин заменяет соль
Лол, о таком извращении я как раз и не подумал. Хотя что-то в этой идее не так, но что именно — от меня ускользает, может и всё так. Обычные логины не могут заменить соль, поскольку в них мало рандомности.
>>8qk
Вот тут еще резонно замечают, что если использовать логин как соль, то нельзя будет сменить логин пользователя, не поменяв пароля.
https://stackoverflow.com/questions/5565040/salt-and-hashing-why-not-use-username
>>8qn
Пароль меняют куда чаще логина, я вообще мало где видел возможность его смены.