Не обязательно использовать хэш для идентификации юзера. Можно нужную информацию (user id, время, IP, http_user_agent и тд.) зашифровать обычным симметричным шифром, и это сохранить в кукис. Такую печеньку брутфорсить вообще смысла нет.
Моей армаде ю-эй-ви (днём и ночью парящих на высоте 2 км, способных находится в воздухе пол дня, управляемых через спутник с использованием ИИ, оснащенных тепловизорами и приборами ночного видения, с 50 калиберной пушкой и 400 патронами на борту) ваша и-эм-пи не угроза :)
Достаточно интересная имплементации правил игры в железке. Система таких фиговин соединенных в сеть и управляемых компьютером может значительно упростить, например, массивную страйкбольную игру.
Стараюсь комментировать свой код даже если функция интуитивно ясна и понятна в данный момент. Через пол года я тоже ничего помнить не буду :) Сам часто пользуюсь несколькими точками возврата.
«Дело вкуса» может регулироватся обстоятельствами. У меня такого не было, но предпологаю что «правило одного ретурна» (или какое-нибудь другое жесткое правило) может входит в гайдлайны стиля компании/группы/сообщества.
Смотря кто этот код будет читать и где код будет дальше изпользоватся. Если я один — сделаю как будет удобно мне. Если это написано в компании где существуют правила по написанию кода — буду писать по правилам.
В любом случае, если функция очень сложная, в камментах можно оставить напоминалку себе (и другим) что результат может возвращаться в нескольких местах.
zem_contact_reborn, zem_contact_lang — для обратной связи и сложных форм, антиспам.
pap_section_list — для создания меню (секция не может ссылатся на себя, ссылка перестает быть активной)
rss_admin_db_manager — для быстрого и удобного бэкапа эскюэльных датабейсов.
Робу Сейблу отправил этим летом несколько долларов на кофе.
Опечатка: не 1000 вариантов, а 10000. 4 цифры от нуля до девяти это 13,28 бит энтропии (4 × 3,32 бит = 13,28 бит). При том что угадывать можно только 3 раза, 10000 вариантов дают достаточно сильную зашиту от брутфорса.
Вот так можно из одного пароля сделать много одноразовых со своим алфавитом: www.grc.com/ppp
В мой интернет банк сейчас можно попасть только если знаешь а)логин б)длинный многоразовый пароль и в) одноразовый пароль из 4 цифр (это 1000 вариантов). Если одноразовый пароль вводится 3 раза неправильно, аккаунт блокируется и нужно самому идти в банк просить выдать новый набор одноразовых паролей. Когда на бумажке одноразовые пароли начинают заканчиватся, банк сам высылает новый набор по почте.
Источник энтропии здесь это то что выходит из блочного алгоритма. Все знают что шифрованный данные неотличимы от случайного набора символов, это и используется для создания криптостойких паролей.
Тут источником энтропии является то что выходит из блочного алгоритма шифрования. Т.е. двухсторонная функция изпользуется в качестве односторонней (типа хэш).
Согласен что атакующий сможет воссоздать пароли если узнает значения (key, iv, blob и тд), поэтому они и хранятся в тайне и изменяются. (Не гарантирую что мой код без ошибок.)
Ну счетчик у меня тут, так, для красоты. Лучше бы его запихнуть в сам текст и сделать тоже секретным. Вектор изменяется каждый цикл, сейчас его 16 символов используются не на все катушку, надо будет как-нибудь его переписать.
Суть топика использования «вывернутого наизнанку и зацикленного на себе» симметричного блочного алгоритма в режиме сцепления блоков в качестве односторонней хэш функции как источника высококачественной энтропии.
Или вы хотите сказать что не я этот метод придумал? Так я это и так знаю.
Использовать md5(uid) без соли — грех.
Если к такому манипулятору прикрепить снайперскую винтовку и запустить на UAV типа Predator или Global Hawk то любой пехоте придет конец.
«Дело вкуса» может регулироватся обстоятельствами. У меня такого не было, но предпологаю что «правило одного ретурна» (или какое-нибудь другое жесткое правило) может входит в гайдлайны стиля компании/группы/сообщества.
В любом случае, если функция очень сложная, в камментах можно оставить напоминалку себе (и другим) что результат может возвращаться в нескольких местах.
zem_contact_reborn, zem_contact_lang — для обратной связи и сложных форм, антиспам.
pap_section_list — для создания меню (секция не может ссылатся на себя, ссылка перестает быть активной)
rss_admin_db_manager — для быстрого и удобного бэкапа эскюэльных датабейсов.
Робу Сейблу отправил этим летом несколько долларов на кофе.
Вы хотите сказать что я не существую?
В мой интернет банк сейчас можно попасть только если знаешь а)логин б)длинный многоразовый пароль и в) одноразовый пароль из 4 цифр (это 1000 вариантов). Если одноразовый пароль вводится 3 раза неправильно, аккаунт блокируется и нужно самому идти в банк просить выдать новый набор одноразовых паролей. Когда на бумажке одноразовые пароли начинают заканчиватся, банк сам высылает новый набор по почте.
Тут источником энтропии является то что выходит из блочного алгоритма шифрования. Т.е. двухсторонная функция изпользуется в качестве односторонней (типа хэш).
Согласен что атакующий сможет воссоздать пароли если узнает значения (key, iv, blob и тд), поэтому они и хранятся в тайне и изменяются. (Не гарантирую что мой код без ошибок.)
Тут можно почитать еще на эту тему.
Суть топика использования «вывернутого наизнанку и зацикленного на себе» симметричного блочного алгоритма в режиме сцепления блоков в качестве односторонней хэш функции как источника высококачественной энтропии.
Или вы хотите сказать что не я этот метод придумал? Так я это и так знаю.