@mamontoff8 окт 2010 в 10:28

Клиентоориентированный подход: версия Яндекса

1 мин

422

Чулан

+21

Комментарии 15

@b00taNik 8 окт 2010 в 10:32

Ну зачем гнать на яндекс? Вполне вероятно что раньше он просто отрезал первые 20 символов от пароля и от них брал хеш — Вам все равно без разницы :)

@mamontoff 8 окт 2010 в 10:35

Как без разницы, если у меня фактически изменился пароль. Без предупреждения.

@masterbo 8 окт 2010 в 13:18

Вы не разобрались. Хеш от x и от x[:20] не могут совпасть для х.length > 20

@masterbo 8 окт 2010 в 13:20

это я к тому, что по вашей версии сейчас они перестали обрезать пароли перед хешированием, но предупредили об этом сообщением. есть логика?

@b00taNik 8 окт 2010 в 14:17

я о том, что они и раньше резали пароль до 20 символов, но только сейчас стали об этом предупреждать

@mamontoff 8 окт 2010 в 14:27

В таком случае проблем с доступом к аккаунту не возникло бы…

@bondbig 8 окт 2010 в 10:38

Теперь мне как минимум известно что Яндекс хранит пароли в открытом виде.

вывод неверный. В первом комменте вам уже рассказали, какой вывод — верный.

@mamontoff 8 окт 2010 в 10:47

Ну я бы к примеру не додумался бы до такого ибо смысла ноль. С чего вы решили что разработчики Яндекса сделали именно так?

@ishua 8 окт 2010 в 11:39

вообще обе версии странны…
1) хранят хеш и обрезали при предыдущем входе — тогда какого фига, не сказать об этом пользователю, пара строк в код…
2) хранят пароль и обрезали в базе — тогда какого фига, неужели нельзя было об этом заранее пользователям сказать (тем у кого больше 20 символов пароль)?

причем, как бы обидно не было, вторая версия выглядит правдоподобнее…

@recompileme 8 окт 2010 в 11:32

@Inquirer 8 окт 2010 в 12:32

Чума. Ради чего, спрашивается, трогать ранее заданную аутентификационную информацию?

НЛО прилетело и опубликовало эту надпись здесь

@masterbo 8 окт 2010 в 13:22

Не ожидал от Яндекса такой неразумной политики безопасности. Или они решили сэкономить на спичках или открытые пароли нужны им для каких-то неэтичных планов.

@gribozavr 8 окт 2010 в 14:56

Ещё возможен такой вариант. Изначально считался хеш солёного пароля, как полагается. Когда решили перейти на новую систему хранения (например, с более длинной солью, но почему-то с этим ограничением на 20 символов), старая система оставалась работать. Что происходит при логине? Сначала смотрят в базу новой системы, есть ли там хеш пароля или там стоит флажок, что новый хеш ещё неизвестен. Если в новой базе хеш есть, то по ней и происходит проверка. Если там нет хеша, то происходит обращение к старой базе, происходит проверка пароля по ней. Если пароль верный, то от него считается хеш для новой системы и заносится в новую базу.

НЛО прилетело и опубликовало эту надпись здесь

Зарегистрируйтесь на Хабре, чтобы оставить комментарий