Comments 216
Этот мир сошел с ума…
"… и мне придется спятить, отвечая требованиям моды"(ц)
Это не мир сошел с ума, это хабр сошел с ума, где люди верят самым желтейшим заголовкам на Земле и норовят сразу закричать «Франция в перде!» В оригинале же написано:
Т.е. хранить нужно последнюю версию пароля, либо данные для его проверки или изменения.
В западных интернетах все уже перетерли, да, данные нужно хранить в течении года, но никто не настаивает на использовании открытого пароля.
Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour;
Т.е. хранить нужно последнюю версию пароля, либо данные для его проверки или изменения.
В западных интернетах все уже перетерли, да, данные нужно хранить в течении года, но никто не настаивает на использовании открытого пароля.
А в чем разница? Что такое «последняя версия пароля»? Кто-то хранит историю смены паролей? И что подразумевается под данными для проверки или изменения?
А хеш не является данными для проверки или изменения? Для проверки он и так используется, а для изменения достаточно поменять хеш в базе.
Стало быть, все и так выполняют законодательство, храня либо пароль, либо хеш.
Не?
Стало быть, все и так выполняют законодательство, храня либо пароль, либо хеш.
Не?
то есть под данными для проверки можно считать хеш пароля + алгоритм, верно?
Тут есть один интересный нюанс: если сами данные хранятся не в зашифрованном виде, то что захеширован пароль, что незахеширован — разницы почти нет.
PS: и да, внизу уже отписали, что заголовок не соответствует содержанию закона.
PS: и да, внизу уже отписали, что заголовок не соответствует содержанию закона.
UFO just landed and posted this here
Думаю ваш 5-ый слева по счёту тег, коротко и ёмко указал оценочное суждение по данному вопросу :)))
«Было им прибавлено и существительное к слову „заплатанной“, очень удачное, но неупотребительное в светском разговоре, а потому мы его пропустим. Впрочем, можно догадываться, что оно выражено было очень метко, потому что Чичиков, хотя мужик давно уже пропал из виду и много уехали вперед, однако ж все еще усмехался, сидя в бричке. Выражается сильно российский народ! и если наградит кого словцом, то пойдет оно ему в род и потомство, утащит он его с собою и на службу, и в отставку, и в Петербург, и на край света».
Нажимая на заголовок поста, чтобы увидеть комменты, уже думал написать «феерические ...» как раз с применением этого слова, но вы выразились более красиво)
[irony]Это потеря-потерь![/irony]
А если серьезно, это похоже на маниакальную борьбу не пойму с чем…
А если серьезно, это похоже на маниакальную борьбу не пойму с чем…
Т.е. пароли нужно хранить в открытом виде?
Да, теперь вместо «6c9b8b27dea1ddb845f96aa2567c6754» гугл должен хранить «pa$$w0rd».
Респект всем кто, как и я, первым делом перепроверил хэш :)
Но вы же не знаете соль. Или вы всерьез думаете, что гугл хранит пресные хеши?
UFO just landed and posted this here
Это уже кто как «придумает». Но обычно — конечно же нет.
UFO just landed and posted this here
Куда можно запихнуть соль, что бы это имело хоть какой-нибудь смысл в плане безопасности?
UFO just landed and posted this here
Задачи соли — сделать невозможным применение радужных таблиц и сделать хэши одинаковых паролей разными.
Первую задачу ваш вариант решает, а вторую — нет.
Первую задачу ваш вариант решает, а вторую — нет.
Гугль настолько суров что хэширует даже соль…
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
Что-то в этом году, весенние обострение какое-то неимоверно сильное.
Непонятно зачем. Владелец сервиса, если полиция попросит сам сменит пароль на «1234» и даст эти «1234» полиции.
Искренне верю, что гугл не такой…
Зря. Вспомните как Гугл выдал данные пользователя, который ничего не совершал, не то что полиции, а банку. А в данном случае будет двойное «усиление» ситуации: 1) пользователь не просто не пойми кто, а подозреваемый в совершении преступления (или вообще обвиняемый), 2) запрос идёт от полиции, а не от коммерческой организации.
Так что, боюсь, и сменит, и выдаст.
Так что, боюсь, и сменит, и выдаст.
еще проще просто дать полицейскому аккаунту право видеть все
Ну например чтобы знать если пароль — 'i_hate_niggas'… :)
Очень понятно зачем. Смененный пароль — первый звоночек, даже набат — «в моем аккаунте кто-то что-то делает».
никто не мешает после того, как с этим 1234 зашли и посмотрели что надо, вернуть туда изначальный хэш.
Для начала, службы не настолько быстрые, чтобы «смените, мы щас 5 минуточек глянем и обрптно верните». Также бюрократические проволочки будут также делать свое дело.
Для продолжения — а кто говорит, что на момент смены пароля пользователь не будет в своем аккаунте?
Для продолжения — а кто говорит, что на момент смены пароля пользователь не будет в своем аккаунте?
вы о чем вообще?
если у кого-то есть полный доступ к данным, то он может сделать что угодно (даже не зная пароля, если конечно все данные не шифруются функцией от пароля), и если захочет — то тот, кого «просматривают» об этом никогда не узнает.
— этому пользователю можно показать страничку «тут чип и дейл что-то чинят, вернитесь чуть позже»
— на основании данных о пользователя можно сначала узнать, когда именно он бывает онлайн.
— можно вообще поднять копию системы, а пользователь пусть работает с живой системой.
если у кого-то есть полный доступ к данным, то он может сделать что угодно (даже не зная пароля, если конечно все данные не шифруются функцией от пароля), и если захочет — то тот, кого «просматривают» об этом никогда не узнает.
— этому пользователю можно показать страничку «тут чип и дейл что-то чинят, вернитесь чуть позже»
— на основании данных о пользователя можно сначала узнать, когда именно он бывает онлайн.
— можно вообще поднять копию системы, а пользователь пусть работает с живой системой.
завести второй пароль
Думаю такие гиганты как Google изрядно потреплют правительству мозги. Так же вполне вероятен такой исход, что гугл уберёт свое представительство во Франции. А французы будут сидеть хоть через google.ru — кто им это запретит?
Думаю всё это очередное преувеличение правительства, дабы потом великодушно откатить назад такие законы и стать всеми любимыми…
Дурдооооом… Докатились… Может, опомнятся?
Такие меры правительства той или иной страны вызваны страхом. Правительство понимает, что население ушло в онлайн, а правительство отстаёт. Так как правительство спокойно только тогда, когда население под контролем — бредовые с точки зрения населения законы лишь дело времени.
Скоро потребуют ежемесячный отчет о посещённых сайтах.
UFO just landed and posted this here
Не даром Медведев призывает чиновников освоить блоги и соц.сети…
Маразм крепчал, придурки ликовали…
Эх, пойду я сделаю свой интернет. Как все уже догадались, с Uplink'ом и хакершами…
Страны-борцы с безопасностью (в лице Сарко-Путведева) доиграются и Googlю (и т.д. по списку) станет дешевле выиграть выборы и привести во власть своих людей, тем паче, что у Google такая мощная инвестиционная программа.
Интересная мысль, надо сказать. Одного не понимаю: почему еще не?
Дык уже. А вы и не заметили. :)
Да я политикой как-то мало интересуюсь, кто есть кто — так это только президентов знаю. Кто из гугля не подскажете? ;-)
Медвед из Эппла — айПады рекламирует.
Ну хотя бы так:
money.cnn.com/2009/10/21/technology/obama_google.fortune/
www.youtube.com/watch?v=m4yVlPqeZwo
Если спросить любителей теорий заговоров можно получить еще больше аргументов… :)
money.cnn.com/2009/10/21/technology/obama_google.fortune/
www.youtube.com/watch?v=m4yVlPqeZwo
Если спросить любителей теорий заговоров можно получить еще больше аргументов… :)
Теория заговора может объяснить все, что угодно :-)
Струнные теории — тоже. Но физики только рады :)
«Теория заговора» — идиотский термин, именно поэтому к ней мало кто серьёзно и относится. Каждый день слушать новости про всякие рейдерские захваты, миллионные откаты, убитых бизнессменов, «удачно» ограбленных инкассаторов с кучей денег на какой-нибудь тихой улице и всё такое прочее, но при этом верить, что в политике все исключительно честные и благородные — это по меньшей мере наивно. Такое ощущение, что теорией заговора стали называть всё, что не показывается по вечерним новостям.
Зря вы считаете, что Гугл богаче тех кто у власти.
OAuth/OpenID сервис в другой стране = PROFIT
UFO just landed and posted this here
«К сожалению, Ваш пароль совпадает с паролем пользователя Michael»
Гораздо интереснее как быть с «одноразовыми паролями» и прочими генерируемыми на лету опознавалками.
Не вариант, судя по источнику, закон обязует сайт по первому требованию отдавать в открытом виде все данные, включая пару логин/пароль. Да и идея не очень, логин же надо проверять на уникальность…
Webmoney и так в открытом виде хранит))
Им просто лень брутить хэши, в надежде на то, что мы будем у них как на ладони. Это же противоправно, в конце концов!
Очередной подтверждение тому, что даже в развитых европейских странах правовой статус интернета сильно оторван от реальности.
пару минут назад в «последний дозор» прочитал — дежурный стрелочник — это тот на кого валят все шишки.
если постаратьс не думать, что мы айтишники самые умные, а они все тупые, то приходим к мысли, что явная глупость кому-то нужна.
ну, например.
дежурный стрелочник начинает бороться с интернетом, хомячки испуганы и здесь приходит самый чЭсный политик, поливают грязью стрелочника, и получает нужное количество голосов. а стрелочник уходит на покой в тёплое и хорошо оплачиваемое место предоставленное пожалованное за заслуги чЭсным политиком.
если постаратьс не думать, что мы айтишники самые умные, а они все тупые, то приходим к мысли, что явная глупость кому-то нужна.
ну, например.
дежурный стрелочник начинает бороться с интернетом, хомячки испуганы и здесь приходит самый чЭсный политик, поливают грязью стрелочника, и получает нужное количество голосов. а стрелочник уходит на покой в тёплое и хорошо оплачиваемое место предоставленное пожалованное за заслуги чЭсным политиком.
Собственно, это тот вариант событий, который первым приходит в голову (по-моему). Так что, наверное, хомячки всё-же должны проявлять беспокойство и иногда вписываться в план, а то иначе потом и не такое придумают…
Уверен, что этот закон не будет принят в окончательном чтении или будет пересмотрен.
«А все веселье начнется с того момента, как Google, Facebook, eBay и другие интернет-сервисы уберутся из Франции, дабы не противоречить французскому законодательству»
UFO just landed and posted this here
Естественно, полиция, налоговики, таможенники и прочие «органы безопасности» получают полный доступ к этим данным — а это ваше утверждение из чего следует? Совершенно не естественно, если есть решение суда, то и до принятия данного закона пароли и доступы к аккаунту тот же Google выдавал без проблем и не важно как пароли хранились — в хеше или вне оного :-)
if your government shuts down the internet — shut down your government
Прежде, чем ставить минусы, дам вам шанс.
Где б..?
Где в заметке BBC слова о запрете хранить пароли в хешированном виде? Там возмущаются дегкостью доступа к персональным данным большого количества госструктур. Может есть какой-то другой источник, ссылку на который вы «забыли» привести?
Где б..?
Где в заметке BBC слова о запрете хранить пароли в хешированном виде? Там возмущаются дегкостью доступа к персональным данным большого количества госструктур. Может есть какой-то другой источник, ссылку на который вы «забыли» привести?
*легкостью
Справедливости ради:
The law obliges a range of e-commerce sites, video and music services and webmail providers to keep a host of data on customers.
This includes users' full names, postal addresses, telephone numbers and passwords. The data must be handed over to the authorities if demanded.
The law obliges a range of e-commerce sites, video and music services and webmail providers to keep a host of data on customers.
This includes users' full names, postal addresses, telephone numbers and passwords. The data must be handed over to the authorities if demanded.
И где здесь о хешах? Сказано, что они обязаны хранить пароли и передавать их по требованию, но нигде не сказано, что запрещено хешировать.
Хранить хэшированные пароли вместе с паролями в открытом виде как-то бессмысленно, вам не кажется? А хэш != пароль, если вы об этом.
Не забывайте, что это юристы. И что подразумевает вольную интерпретацию, то её и получит.
Хранение хеша пароля логически равно хранению пароля. Уверен, что они еще зубы покрошат обсуждая это.
Хранение хеша пароля логически равно хранению пароля. Уверен, что они еще зубы покрошат обсуждая это.
Если используется соль, то уже никак нельзя утверждать, что это хеш пароля, т.к. хеширование пароля без оной — будет другой хеш.
Это можно назвать как-нибудь в стиле «данные для аутентификация пользователя»
Это можно назвать как-нибудь в стиле «данные для аутентификация пользователя»
А можно назвать и «усовершенствованный алгоритм хэширования». Это кому как выгоднее.
Да как не назови, с солью результат уже не является хешом пароля.
Хэш — это не только md5. Я имею в виду что с солью результат не является хэшем md5, но является хэшем другой хэш-функции (например такой же как md5, только с солью).
Я разве где-то упомянул про md5? Результат работы любой хэш-функции является хэш. Если пароль хэшируется без соли — один результат = его можно считать «отпечатком» пароля. Если с солью (а если она ещё и динамическая или рандомная), то результат является лишь данными для аутентификации пользователя. Даже если захотеть, пароль практически (не будет вдаваться в коллизии) не возможно получить из результата хорошо проработанной системы генерации хэшей (множественное в том числе)
Для вольной интерпретации придумали вольные названия. Переименовываем приправленый хешированный пароль в уникальный идентификатор пользователя, а в качестве пароля устанавливаем имя пользователя. Аутентификацию делаем по трем параметрам. С юридической точки зрения все законно, а вот только наличие логина и пароля ничего уже не решает.
Хотя нужно читать текст закона.
Хотя нужно читать текст закона.
Пароль хранится в виде, достаточном для его проверки. Также как видео можно хранить во множестве форматов, в том числе и непригодных к восприятию человеком без дополнительных преобразований.
Чтобы потребовать открытые пароли, им придется сначала отменить например тайну переписки.
Чтобы потребовать открытые пароли, им придется сначала отменить например тайну переписки.
Я лично категорически против такого вмешательства в частную жизнь, но, справедливости ради, хотелось бы прояснить момент с паролями с технической стороны.
Правительству важно, что бы по запросу они могли получить данные, включая не зашифрованный пароль. Таким образом ничто не мешает для нормальной работы сайта пароль хэшировать, а для правительства шифровать пароль открытым ключом и хранить в отдельной таблице. Надежность практически та же.
Правительству важно, что бы по запросу они могли получить данные, включая не зашифрованный пароль. Таким образом ничто не мешает для нормальной работы сайта пароль хэшировать, а для правительства шифровать пароль открытым ключом и хранить в отдельной таблице. Надежность практически та же.
В статьи написано, что пароль должен лежать в открытом доступе. Т.е. сейчас, технически говоря, гугл не знает моего пароля, т.к. он лежит в закрытом, хэшированном виде. Если кто-то украдет эту базу хэшей, еще далеко не факт, что он сможет подобрать такой пароль, чтобы получился хэш к этому паролю.
Франция же предлагает обязательно хранить пароль в абсолютно открытом виде.
Франция же предлагает обязательно хранить пароль в абсолютно открытом виде.
> В статьи написано, что пароль должен лежать в открытом доступе.
Пожалуйста цитату, и дословный ее перевод.
> гугл не знает моего пароля
Вы не знаете, что Гугл не знает, не так ли? :) Не так давно Гугл уволил одного кадра из саппорта, за то что тот читал почту юзеров, не помните?
Пожалуйста цитату, и дословный ее перевод.
> гугл не знает моего пароля
Вы не знаете, что Гугл не знает, не так ли? :) Не так давно Гугл уволил одного кадра из саппорта, за то что тот читал почту юзеров, не помните?
На кой этому кадру пароль, если он имел доступ к бд?
«The French government wants access to a range of data stored by Google, eBay and others»
Французское правительство хочет получить доступ к целому ряду данных, хранящихся в Google, eBay и других компаниях.
«The law obliges a range of e-commerce sites, video and music services and webmail providers to keep a host of data on customers.»
Закон обязывает ряд сайтов электронной коммерции, видео и музыкальных сервисов, а также почтовиков хранить множество данных о клиентах.
«This includes users' full names, postal addresses, telephone numbers and passwords. The data must be handed over to the authorities if demanded.»
Данные включает в себя пользовательские полные имена, почтовые адреса, телефонные номера и пароли. Данные должны быть переданы властям, если потребуется.
«Police, the fraud office, customs, tax and social security bodies will all have the right of access.»
Полиция, Бюро по борьбе с мошенничеством, таможня, налоговые и социальные органы безопасности будут иметь право доступа (к этим данным).
Что, собственно, Вам не нравится?
Я написал, что технически говоря — не знают. Отмаза «мы не храним пароли пользователей» будет, в принципе, верна, т.к. хэш — это не пароль, а «слепок» для проверки подлинности пароля.
Французское правительство хочет получить доступ к целому ряду данных, хранящихся в Google, eBay и других компаниях.
«The law obliges a range of e-commerce sites, video and music services and webmail providers to keep a host of data on customers.»
Закон обязывает ряд сайтов электронной коммерции, видео и музыкальных сервисов, а также почтовиков хранить множество данных о клиентах.
«This includes users' full names, postal addresses, telephone numbers and passwords. The data must be handed over to the authorities if demanded.»
Данные включает в себя пользовательские полные имена, почтовые адреса, телефонные номера и пароли. Данные должны быть переданы властям, если потребуется.
«Police, the fraud office, customs, tax and social security bodies will all have the right of access.»
Полиция, Бюро по борьбе с мошенничеством, таможня, налоговые и социальные органы безопасности будут иметь право доступа (к этим данным).
Что, собственно, Вам не нравится?
Вы не знаете, что Гугл не знает, не так ли? :)
Я написал, что технически говоря — не знают. Отмаза «мы не храним пароли пользователей» будет, в принципе, верна, т.к. хэш — это не пароль, а «слепок» для проверки подлинности пароля.
хм, а гугл соберет большую «расхешировалку» для уже существующих паролей?
Неужели Мистер Пу добрался до Франции?
UFO just landed and posted this here
Так теперь пароли самому нужно хэшировать?
Следующим этапом будет декларирование гражданами в налоговой пин-кодов к банковским карточкам и передача дубликатов ключей к дому и сейфу в местное отделение жандармерии.
а вынести базу с паролями за пределы Франции?
Массовый переход на системы удалённой аутентификации (банально, тот же OpenID) спасёт мир. Быстро, легко и дёшево! Один-два крупных сервиса где-нибудь подальше от таких законов, и коллекция гуглов-яндексов-ипр, которая авторизует пользователя по сторонним credentials. Как-то так.
Другой вариант, более затратный — спрашивать «Под каким законом вы хотите обслуживать свой аккаунт. У нас есть США, Франзция, Китай (ссылка на сравнение). Убедитесь что вы не нарушаете законов своей страны при указании.» Вуаля! ЖЖ такой фокус один раз делали, кстати.
Другой вариант, более затратный — спрашивать «Под каким законом вы хотите обслуживать свой аккаунт. У нас есть США, Франзция, Китай (ссылка на сравнение). Убедитесь что вы не нарушаете законов своей страны при указании.» Вуаля! ЖЖ такой фокус один раз делали, кстати.
Мож они ещё нам напишут указ как переменные называть?
Так все к паспортам для доступа в сеть придет, но только зачем?
Добавьте, пожалуйста, к пятому тегу слово «сказочные».
мороз крепчал…
А что тут думать… олени у власти везде, мир вперде! Если бы этот весь зоопарк на нас не сказывался можно было бы просто ржать, а так ещё и грустить получается…
>>>мир вперде!
Вы не Очепятались?
Вы знаете как получается на самом деле, по идеи это мы должны ржать над властями, но они видимо решили без нашего согласия поменяться местами) теперь они над нами ржут… :(
Вы не Очепятались?
Вы знаете как получается на самом деле, по идеи это мы должны ржать над властями, но они видимо решили без нашего согласия поменяться местами) теперь они над нами ржут… :(
Эхх… вообще сугубо имхо конечно, но по идее власти должны обеспечивать хорошую жизнь людям, как бы инвестировать в условия, тем самым увеличивая отдачу для себя, и за тяжелый труд (действительно тяжелый труд, делать жизнь нации лучше если на самом деле) получать хорошие гонорары. Власти должны быть как владельцы своего бизнеса, а люди как ценные сотрудники. а ржать над конкурентами) я думаю так :)
UFO just landed and posted this here
Чувствую, грядет новый мем и пачка демотиваторов. Наряду с «Британские ученые доказали...» будет «Франция запретила...»
Сначала подумал, что ТС видимо запоздал с 1 апреля, перешёл на оригинал — тоже не 1 апреля. о_О Маразм.
Лично я думаю, что кто-то там уж окончательно пиздонулся
Кстати, ТС
Не стоит писать такие громкие заявления, не разобравшись в вопросе. Как журналисты прям. Правительство тут не при чём. Какой-то долбоёб из ФСБ решил пропиарить себя (гы-гы), да вышло наоборот.
Не только в России правительство хочет полностью контролировать частную жизнь своих граждан, запрещая им пользоваться сервисами с надежным шифрованием.
Не стоит писать такие громкие заявления, не разобравшись в вопросе. Как журналисты прям. Правительство тут не при чём. Какой-то долбоёб из ФСБ решил пропиарить себя (гы-гы), да вышло наоборот.
Получилось и правда желтовато.
Но насчет пропиарить себя — хз. Все равно соберут какую-то «межведомственную рабочую группу», она выработает какие-то предложение, кто-то эти предложения может подписать.
Я помню, у нас хотели отменить транспортный налог и повысить акциз на бензин. В конечном итоге и оставили транспортный налог, и повысили акциз, да еще и в качестве бонуса ввели какой-то экологический закон.
Или взять в пример закон с болванками — многие кричали, что такого бреда никто не подпишет. Ага. Стара чудес.
Так что я бы не утверждал, что правительство не хочет иметь доступ к данным своим граждан. Хотя явно, конечно, про это нигде не говорится, получилась моя вольная интерпретация слов долбоебов из ФСБ.
Но насчет пропиарить себя — хз. Все равно соберут какую-то «межведомственную рабочую группу», она выработает какие-то предложение, кто-то эти предложения может подписать.
Я помню, у нас хотели отменить транспортный налог и повысить акциз на бензин. В конечном итоге и оставили транспортный налог, и повысили акциз, да еще и в качестве бонуса ввели какой-то экологический закон.
Или взять в пример закон с болванками — многие кричали, что такого бреда никто не подпишет. Ага. Стара чудес.
Так что я бы не утверждал, что правительство не хочет иметь доступ к данным своим граждан. Хотя явно, конечно, про это нигде не говорится, получилась моя вольная интерпретация слов долбоебов из ФСБ.
В ФСБ до крупного начальника долбоёб скорее всего не дослужится. В данном случае он сделал то, что было велено. И поддержка Пу говорит о том, что пока неизвестно насколько наоборот вышло…
У французов национальная забава — революция. Они не рискнут такие законы принимать.
Да пусть просто законодательно выдвинут
пароль — дата рождения
секретная фраза — девичья фамилия матери
пароль — дата рождения
секретная фраза — девичья фамилия матери
Это они так пытаются отвлечь аудиторию от факапов в Ливии?
Гугл с Фейсбуком засудят Францию, и поставят на аукцион на ебей или же Гугл просто купит францию, что бы та не мешала)
Большинство пользователей используют один универсальный пароль на всех сервисах, и выполнение нового закона резко повысит вероятность для пользователя потерять доступ ко всем своим данным при взломе только одного из используемых сервисов. Не верю, что правительство Франции не учтёт мнение экспертов по безопасности, которые наверняка уже поседели от текущей формулировки закона.
OpenID в зонах оффшора, недорого.
Интересно, сколько людей до сих пор не понимают, что гражданин Оруэлл описывал светлое капиталистическое завтра?
Бред. Оптимальная стратегия — дать всем возможность защищаться, но отобрать возможность — атаковать (пр: газовый балон — разрешить, огнестрелку — запретить). Если все будут иметь защиту в виде шифрования значит: если мне что-то не понравится — пойду в террористы (не я, образно), если все будет ок — буду нормально себе жить. Получаем стимул для власти и других — играть честнее, не перегибать палку, служить народу. Но это же — тяжело. Хочется чего-то и своровать, а журналюги — разнюхают, и народ — начнет бузить. Конечно, проще — контролировать шифрование.
А с корпоративными паролями — таже история? А че, может какая-то организация что-то замышляет.
А с корпоративными паролями — таже история? А че, может какая-то организация что-то замышляет.
Ну а как же операционные системы? они то тоже хранят пароли не в открытом виде? т.е. у них же свой бд где содержится инфа о пользователе — логин, хеш пароля. тогда это получается запрещено практически любое ПО?
или это только для web у них такие законы?
или это только для web у них такие законы?
UFO just landed and posted this here
Идиотизм како-то…
Следующий шаг запретить SSL
По теме: зачем им мой пароль? Можно обратиться в тот же магазин или форум и пользователю заменят хэш на требуемый, а если нужно, то и обратно вернут.
По теме: зачем им мой пароль? Можно обратиться в тот же магазин или форум и пользователю заменят хэш на требуемый, а если нужно, то и обратно вернут.
С недавних пор задумываюсь — поднять Postfix на своем домене и мылом с него пользоваться.
Мне кажется заголовок статьи очень желтый и в корне не верный. Во Франции требуют хранить определенный ряд персональных данных с целью возможности их передать полиции в течении года. Для магазинов и сервисов ничего не меняется. В их базе должен быть хеш, хотя бы с позицици элементарной безопасности. А вот личные данные и пароли, в открытом виде получаемые на этапе регистрации, должны храниться на жестком диске в сейфе за семью печатями. А проблема в законе другая. Большой Брат хочешь следить за всеми нашими действиями и все знать о нас. Так доживем до того, что анонимуса запретят в интернете :)
UFO just landed and posted this here
UFO just landed and posted this here
Потерпите ребята. Старые технически неподкованные пердуны уже лет через 20 полностью уйдут на покой и их место займут если и не честные, добрые и хорошие, то по крайней мере в технологиях подкованные представители нынешнего поколения, и такого дурдома уже не будет.
i want to believe.
i want to believe.
Теоретически, можно отказаться от паролей и использовать авторизацию по смс. После ввода логина, просят ввести номер телефона, указанный при регистрации, и на него отсылают одноразовый пароль. Кому-то левому удастся авторизоваться, только получив доступ к телефону или sim-карте.
Статья похожа на утку со стороны BBC.
В моем понимании — нет никакой разницы межлу паролем и хешем парооля (даже с солями), потому что и пароль и его хеш позволяют получить доступ к данными юзера в этом магазине.
Все что нужно делать магазину — юзерам отправлять обычные пароли, а налоговикам хеши, но говорить что это обычные пароли. Profit?
В моем понимании — нет никакой разницы межлу паролем и хешем парооля (даже с солями), потому что и пароль и его хеш позволяют получить доступ к данными юзера в этом магазине.
Все что нужно делать магазину — юзерам отправлять обычные пароли, а налоговикам хеши, но говорить что это обычные пароли. Profit?
Очередной раз задумался, что пора бы поменять стандартный регистрационный пароль…
Хочется сказать словами известного Жорика Вартанова: «Саркози, тормози!»
Ванга была права.
Какой-то Pi все же наступает.
Какой-то Pi все же наступает.
Ализар негодует, такой заголовок пропустить. )
Для тех кто не будет читать первые комменты, а автор топика не решится вписать апдейт:
Заголовок переврал суть. Суть в том, чтобы иметь возможность расшифровать данные, т.е обратимое шифрование, алгоритм каждый может придумать свой. Если после этого вам все равно хочется написать коммент в стиле:«Куда катитсяфидо интернет», начинайте вспоминать про СОРМ, сие оборудование снифит вообще весь ваш трафик, и если попросят, то хабрахабр выдаст все ваши данные.
Заголовок переврал суть. Суть в том, чтобы иметь возможность расшифровать данные, т.е обратимое шифрование, алгоритм каждый может придумать свой. Если после этого вам все равно хочется написать коммент в стиле:«Куда катится
Какое ещё обратимое шифрование? Что, бывает необратимое, что ли? Это как — зашифровал, а расшифровать не можешь? :D
Про СОРМ — железный агрумент. Ну, раз СОРМ всё равно про вас всё выдаст, так выкладывайте все свои переписки, включая личные, не дожидаясь ФСБилов — всё равно же прочитают.
Про СОРМ — железный агрумент. Ну, раз СОРМ всё равно про вас всё выдаст, так выкладывайте все свои переписки, включая личные, не дожидаясь ФСБилов — всё равно же прочитают.
Md5 — необратимое шифрование.
Вы путаете тёплое с мягким: MD5 — это алгоритм хеширования, а не шифрования. См. ru.wikipedia.org/wiki/MD5
Не прочитают, оно на Gmail по https :D
Оо, это очень просто реализуется
function decode($string)
{
$result="";
for($i=1;$i<=strlen($string);$i++)
{
$result .= md5(rand(1,1000));
}
return $result;
}
Чисто теоретически, если к Хабру обратится ФСБ, то Хабр может попросить у них основание, а то и постановление суда (для выдачи личной переписки). Конечно же, большинство отечественных сайтов без всяких постановлений и оснований выдадут с потрохами любого, лишь бы к ним ФСБ не приставало.
Однако есть крупные иностранные компании, например, тот же Google. Вот они уже вполне могут упереться и показать большой шиш. Собственно, не зря же ФСБ нападает на Gmail, Hotmail, Skype. Тут, ИМХО, по большей части кое-чьи экономические интересы, но и возможность читать чужую переписку чекистов тоже греет.
Однако есть крупные иностранные компании, например, тот же Google. Вот они уже вполне могут упереться и показать большой шиш. Собственно, не зря же ФСБ нападает на Gmail, Hotmail, Skype. Тут, ИМХО, по большей части кое-чьи экономические интересы, но и возможность читать чужую переписку чекистов тоже греет.
Не стоит вспоминать о СОРМ, поскольку стоит сие оборудование в намного меньшем кол-ве чем положено. И «снифать» траффик — не говорит ни о чем. А хотя бы для DPI на **дцать ГБит, его совсем мало по сравнению с требуемым.
Огромную кучу CMS придется переписывать с целью выпилить «безопасность»?
Фейсбук уже сейчас так поступает.
После удаления аккаунта по-прежнему можно войти под своим старым именем и паролем.
После удаления аккаунта по-прежнему можно войти под своим старым именем и паролем.
Читаю хабр, жду заголовка: Германия запретила «пузырьковую» сортировку.
«Маразм крепчал — медведи пели» ©
Всегда найдется какой-нибудь сторонний сервис авторизации, находящийся в стране, законы которой позволяют хранить пароли и шифровать все что угодно как угодно. На этот сервис в случае чего все и перейдут. И будет тогда так: авторизация в, допустим, США, пароли там же, а сам сайт — во Франции. Ведь это возможно?
Да интернет явно хотят прокатить по наклонной.
Я не понимаю зачем властям наши пароли? Ладно там Бог с ними с данными, это понятно что их хотят знать, а пароль то им зачем?
Завтра нас попросят выложить PIN код от симки и от Кредитки?
Я не понимаю зачем властям наши пароли? Ладно там Бог с ними с данными, это понятно что их хотят знать, а пароль то им зачем?
Завтра нас попросят выложить PIN код от симки и от Кредитки?
А разве есть разница как хранится пароль? Если спец служба предъявит законное прошение на получение хранимых файлов и писем того или иного подозреваемого, разве сервис не предоставит эти данные так и так? Давным давно помню делал какой-то сайт по заказу, и сделал себе бекдор вида
if (md5(password)==password || password==«мой супер пользовательский пароль») { войти в систему; }
и я мог при желании любоваться любым профилем, с целью отладки на живых людях, чтобы смотреть как там всё выглядит в профилях >:)
if (md5(password)==password || password==«мой супер пользовательский пароль») { войти в систему; }
и я мог при желании любоваться любым профилем, с целью отладки на живых людях, чтобы смотреть как там всё выглядит в профилях >:)
UFO just landed and posted this here
Отключить Францию от гугла и прочих сервисов, что Францию не устраивают.
Будем ждать дампы баз данных, ldap серверов на торрентах =)
Лучшебы занимались проблемами по важнее, пол страны чужие кредитки дропает (на личном опыте проверил), а им пароли в открытом виде подавай!
Лучшебы занимались проблемами по важнее, пол страны чужие кредитки дропает (на личном опыте проверил), а им пароли в открытом виде подавай!
Sign up to leave a comment.
Франция запретила хранить пароли в хешированном виде