mamontoff Oct 8 2010 at 10:28

Клиентоориентированный подход: версия Яндекса

1 min

402

Lumber room

+21

Comments 15

b00taNik Oct 8 2010 at 10:32

Ну зачем гнать на яндекс? Вполне вероятно что раньше он просто отрезал первые 20 символов от пароля и от них брал хеш — Вам все равно без разницы :)

mamontoff Oct 8 2010 at 10:35

Как без разницы, если у меня фактически изменился пароль. Без предупреждения.

masterbo Oct 8 2010 at 13:18

Вы не разобрались. Хеш от x и от x[:20] не могут совпасть для х.length > 20

masterbo Oct 8 2010 at 13:20

это я к тому, что по вашей версии сейчас они перестали обрезать пароли перед хешированием, но предупредили об этом сообщением. есть логика?

b00taNik Oct 8 2010 at 14:17

я о том, что они и раньше резали пароль до 20 символов, но только сейчас стали об этом предупреждать

mamontoff Oct 8 2010 at 14:27

В таком случае проблем с доступом к аккаунту не возникло бы…

bondbig Oct 8 2010 at 10:38

Теперь мне как минимум известно что Яндекс хранит пароли в открытом виде.

вывод неверный. В первом комменте вам уже рассказали, какой вывод — верный.

mamontoff Oct 8 2010 at 10:47

Ну я бы к примеру не додумался бы до такого ибо смысла ноль. С чего вы решили что разработчики Яндекса сделали именно так?

ishua Oct 8 2010 at 11:39

вообще обе версии странны…
1) хранят хеш и обрезали при предыдущем входе — тогда какого фига, не сказать об этом пользователю, пара строк в код…
2) хранят пароль и обрезали в базе — тогда какого фига, неужели нельзя было об этом заранее пользователям сказать (тем у кого больше 20 символов пароль)?

причем, как бы обидно не было, вторая версия выглядит правдоподобнее…

recompileme Oct 8 2010 at 11:32

Inquirer Oct 8 2010 at 12:32

Чума. Ради чего, спрашивается, трогать ранее заданную аутентификационную информацию?

UFO landed and left these words here

masterbo Oct 8 2010 at 13:22

Не ожидал от Яндекса такой неразумной политики безопасности. Или они решили сэкономить на спичках или открытые пароли нужны им для каких-то неэтичных планов.

gribozavr Oct 8 2010 at 14:56

Ещё возможен такой вариант. Изначально считался хеш солёного пароля, как полагается. Когда решили перейти на новую систему хранения (например, с более длинной солью, но почему-то с этим ограничением на 20 символов), старая система оставалась работать. Что происходит при логине? Сначала смотрят в базу новой системы, есть ли там хеш пароля или там стоит флажок, что новый хеш ещё неизвестен. Если в новой базе хеш есть, то по ней и происходит проверка. Если там нет хеша, то происходит обращение к старой базе, происходит проверка пароля по ней. Если пароль верный, то от него считается хеш для новой системы и заносится в новую базу.

UFO landed and left these words here