Ну, я имел в виду — чью сторону представлять.
Вообще, сдается мне, представление Григория насчет этого диспута может отличаться от представлений других заявленных участников :)
Вообще, в заявках может оказаться любая тема, чисто by design — форма подачи открыта для всех.
А вот дальше уже идет голосование и отбор. Сказать по правде, я только вчера эту заявку обнаружил, и тоже несколько удивился.
Это заблуждение, на самом деле.
Предубеждение вообще мешает воспринимать информацию адекватно, а в данном вопросе, где каждый школьник мнит себя экспертом — и подавно. Когда же доходит до дела — при написании чуть более сложных запросов, чем выборка по первичному ключу, или даже просто при обсуждении связанных вопросов — на свет вываливается фантастическая дремучесть таких «всезнаек». Что, в частности, неоднократно случалось при обсуждении темы здесь, на Хабре.
С чисто практической точки зрения я скорее согласен с этим утверждением.
Но с методологической, или, даже — философской…
— Уже есть один отличный, проверенный временем тип орудий. Им разделывают шкуры мамонтов, рубят деревья, убивают зверей на охоте. Ну зачем ещё увеличивать энтропию и делать из блестящего, но бесполезного металла, который задумывался исключительно для украшений, вот такого франкенштейна?
На самом деле пути эволюции неисповедимы. В мире разработаки она, собственно, только и держится на энтузиазме. И это прекрасно. Без проб и ошибок нет и развития. При этом никто не может предсказать, что получится в итоге. Никто. В этом-то и прелесть. Поэтому обязательно надо пробовать новое. Разумеется, некоторые ростки обязательно окажутся тупиковыми. Ничего страшного — это так и задумано. Важно понимать, что без тупиковых ветвей не бывает прорывов. Так что безумству храбрых стоит петь песню, а не держать их за штаны и не пущать.
PS. Ну зачем ещё увеличивать энтропию и делать из Perl, который задумывался для совсем других целей, вот такого франкенштейна — набор утилит Pretty Home Page / Form Interpreter? ;)
Я не большой спец в серверах, но куда там дуют вентиляторы?
Судя по фото — в глухую крышку, закрывающую процессорный отсек. Это так и задумано или я чего-то очевидного не понимаю в конструкции?
Запрос в любом случае будет один.
Если речь об обращении к функциям API, то никак — обращений будет два.
Первый оператор выполнит запрос, а второй получит id
Противоречий тут очень много.
Начиная с того, что комментаторы при упоминании сложного пароля тут же начинают воображать себе злой сайт с дубинкой. И начинают спорить с этим воображаемым сайтом. При этом минусуя комментарий, в котором не было ни слова ни про сайт, ни про дубинку.
«Сайтами, которые вымогают регистрацию» интернет не ограничивается. Рассказывать про одни сайты и умалчивать в своем комментарии о других — это или шулерство или глупость.
Это уже вторая статья, которая претендует на роль всеобъемлющего руководства по хэшированию. И в ней тоже не упоминается такой важный элемент, как стойкость пароля.
«Сайт не должен обеспечивать безопасность тем пользователям, кому она нафиг не сдалась» — это тоже очень смешное высказывание. Для аудитории хабра вполне годится, но для дискуссии о безопасности, увы — нет.
Удивительно. Почему-то у среднего хабраюзера прямо-таки аллергия на упоминание стойкости паролей.
Это тем более странно, что если авторы предыдущей статьи хотя бы предлагали альтернативу — тот самый перец — то здесь-то и вовсе крыть нечем. То есть, пароли вида 12345 и vasya — это неизбежный фейл.
Фейл, который сведет на нет любые ухищрения с хешированием. Это в буквальном смысле навешивание бронированной двери на картонный сарай.
10 000 самых распространённых паролей будут перепробованы за считанные секунды. А это много. Все ваши любимые имена-отчества включая ласкательно-уменьшительные, наряду с датами рождения плюс весь ваш словарный запас в английском языке.
Пароль длиной в 6 символов, состоящий из одних латинских букв, будет взломан за считанные часы. И никакая соль, никакой алгоритм не помогут.
Заявления «у меня нестойкий пароль потому что воровать нечего» совершенно смехотворны в контексте обсуждаемого вопроса. Если вас не волнует безопасность пароля, то уж тем более проблема перцев и хэшей не должна волновать и подавно. Но почему-то обе статьи на эту тему вызвали довольно большой ажиотаж. Неувязочка получается.
Здесь да — виноват. Формулировка подкачала.
Имелось в виду то же, что и выше — «Проектируя систему так, чтобы её безопасность зависела от „локального параметра“, вы вносите в неё заведомо слабое звено».
В рамках парадигмы «пароли находятся в безопасности для случая сферической базы в вакууме» система получается безопасной. Проблема в том, что взломщик не будет связывать себя такими смехотворными рамками — «ломать только базу, и больше ничего» :)
Нигде я не писал, что введением своего параметра вы ослабляете систему. Я говорю, что она остаётся изначально дырявой, даже при наличии костыля.
Про сложность пароля не стоило спрашивать, если у вас нет своих цифр.
Пока у нас есть только те, что приведены в статье. Если они вас не устраивают — предъявляйте претензии автору, а не мне.
Это не решение, а костыль.
Ваше «решение» оставляет потенциальную дыру — параметр, хранящийся в открытом виде.
Когда вы, наконец, это признаете, мы сможем двигаться дальше.
Вы придумали себе очень удобную сказку про «отдельный параметр», назначили его неуязвимым, и от этого строите дальше свою защиту. Это не защита, а фуфло.
Я могу принять такой вариант, как трейдофф между юзабилити и безопасностью, но вот не надо преподносить его, как серебряную пулю.
При этом систему, которая в костылях не нуждается, вы ну наотрез отказываетесь даже рассматривать. Ну что за детский сад? :)
А какой, кстати по вашему мнению, слабый пароль
Хороший вопрос. Давайте считать. Насчет виртексов не знаю, возьмём цифры из статьи:
8,5 k/s полученных на карточке AMD Radeon 7990 стоимостью менее $1000 (даже по старому курсу):
соответственно, за месяц у нас получится (8,500 × 3600 × 24 × 30) ~ 22М вариантов.
Это очень приятная цифра, с ней и пароль из 8 букв, с его миллиардами комбинаций уже становится неплохим вариантом.
Если у вас «десяток virtex-ов» — приводите их цифры, будем на них смотреть.
Вот этот комментарий уже лучше, чем предыдущая бессмыслица про
соль… затрудняет или делает невозможным брут
но опять на мотив старой песни «локальный параметр».
Брут с неизвестной солью не нужен.
Точнее, это костыль для слабых паролей. В таком контексте о нём и надо говорить.
Разговоры про «X тяжелее чем Y» при том, что X достаточно для выполнения задачи, напоминают бородатые каламбуры про «расстрелять через повешение с последующим утоплением» :)
Вы тоже не понимаете основных принципов и оперируете ложными посылками.
Соль у нас служит не против брута, а против радуги.
И она считается по определению известной. Это не секретный ключ, а наоборот — открытый.
Вообще, сдается мне, представление Григория насчет этого диспута может отличаться от представлений других заявленных участников :)
А вот дальше уже идет голосование и отбор. Сказать по правде, я только вчера эту заявку обнаружил, и тоже несколько удивился.
Я, правда, не уверен в общей реализуемости затеи.
Предубеждение вообще мешает воспринимать информацию адекватно, а в данном вопросе, где каждый школьник мнит себя экспертом — и подавно. Когда же доходит до дела — при написании чуть более сложных запросов, чем выборка по первичному ключу, или даже просто при обсуждении связанных вопросов — на свет вываливается фантастическая дремучесть таких «всезнаек». Что, в частности, неоднократно случалось при обсуждении темы здесь, на Хабре.
Но с методологической, или, даже — философской…
На самом деле пути эволюции неисповедимы. В мире разработаки она, собственно, только и держится на энтузиазме. И это прекрасно. Без проб и ошибок нет и развития. При этом никто не может предсказать, что получится в итоге. Никто. В этом-то и прелесть. Поэтому обязательно надо пробовать новое. Разумеется, некоторые ростки обязательно окажутся тупиковыми. Ничего страшного — это так и задумано. Важно понимать, что без тупиковых ветвей не бывает прорывов. Так что безумству храбрых стоит петь песню, а не держать их за штаны и не пущать.
PS. Ну зачем ещё увеличивать энтропию и делать из Perl, который задумывался для совсем других целей, вот такого франкенштейна — набор утилит Pretty Home Page / Form Interpreter? ;)
Либо там эти вентиляторы попросту не нужны, либо процессоры не охлаждаются.
Судя по фото — в глухую крышку, закрывающую процессорный отсек. Это так и задумано или я чего-то очевидного не понимаю в конструкции?
Если речь об обращении к функциям API, то никак — обращений будет два.
Первый оператор выполнит запрос, а второй получит id
Начиная с того, что комментаторы при упоминании сложного пароля тут же начинают воображать себе злой сайт с дубинкой. И начинают спорить с этим воображаемым сайтом. При этом минусуя комментарий, в котором не было ни слова ни про сайт, ни про дубинку.
«Сайтами, которые вымогают регистрацию» интернет не ограничивается. Рассказывать про одни сайты и умалчивать в своем комментарии о других — это или шулерство или глупость.
Это уже вторая статья, которая претендует на роль всеобъемлющего руководства по хэшированию. И в ней тоже не упоминается такой важный элемент, как стойкость пароля.
«Сайт не должен обеспечивать безопасность тем пользователям, кому она нафиг не сдалась» — это тоже очень смешное высказывание. Для аудитории хабра вполне годится, но для дискуссии о безопасности, увы — нет.
Это тем более странно, что если авторы предыдущей статьи хотя бы предлагали альтернативу — тот самый перец — то здесь-то и вовсе крыть нечем. То есть, пароли вида 12345 и vasya — это неизбежный фейл.
Фейл, который сведет на нет любые ухищрения с хешированием. Это в буквальном смысле навешивание бронированной двери на картонный сарай.
10 000 самых распространённых паролей будут перепробованы за считанные секунды. А это много. Все ваши любимые имена-отчества включая ласкательно-уменьшительные, наряду с датами рождения плюс весь ваш словарный запас в английском языке.
Пароль длиной в 6 символов, состоящий из одних латинских букв, будет взломан за считанные часы. И никакая соль, никакой алгоритм не помогут.
Заявления «у меня нестойкий пароль потому что воровать нечего» совершенно смехотворны в контексте обсуждаемого вопроса. Если вас не волнует безопасность пароля, то уж тем более проблема перцев и хэшей не должна волновать и подавно. Но почему-то обе статьи на эту тему вызвали довольно большой ажиотаж. Неувязочка получается.
Имелось в виду то же, что и выше — «Проектируя систему так, чтобы её безопасность зависела от „локального параметра“, вы вносите в неё заведомо слабое звено».
В рамках парадигмы «пароли находятся в безопасности для случая сферической базы в вакууме» система получается безопасной. Проблема в том, что взломщик не будет связывать себя такими смехотворными рамками — «ломать только базу, и больше ничего» :)
Про сложность пароля не стоило спрашивать, если у вас нет своих цифр.
Пока у нас есть только те, что приведены в статье. Если они вас не устраивают — предъявляйте претензии автору, а не мне.
Ваше «решение» оставляет потенциальную дыру — параметр, хранящийся в открытом виде.
Когда вы, наконец, это признаете, мы сможем двигаться дальше.
Вы придумали себе очень удобную сказку про «отдельный параметр», назначили его неуязвимым, и от этого строите дальше свою защиту. Это не защита, а фуфло.
Я могу принять такой вариант, как трейдофф между юзабилити и безопасностью, но вот не надо преподносить его, как серебряную пулю.
При этом систему, которая в костылях не нуждается, вы ну наотрез отказываетесь даже рассматривать. Ну что за детский сад? :)
Хороший вопрос. Давайте считать. Насчет виртексов не знаю, возьмём цифры из статьи:
соответственно, за месяц у нас получится (8,500 × 3600 × 24 × 30) ~ 22М вариантов.
Это очень приятная цифра, с ней и пароль из 8 букв, с его миллиардами комбинаций уже становится неплохим вариантом.
Если у вас «десяток virtex-ов» — приводите их цифры, будем на них смотреть.
но опять на мотив старой песни «локальный параметр».
Брут с неизвестной солью не нужен.
Точнее, это костыль для слабых паролей. В таком контексте о нём и надо говорить.
Разговоры про «X тяжелее чем Y» при том, что X достаточно для выполнения задачи, напоминают бородатые каламбуры про «расстрелять через повешение с последующим утоплением» :)
Почитайте сначала, что есть брут, а что радуга. Когда поймёте, что это не одно и то же — продолжим.
Соль у нас служит не против брута, а против радуги.
И она считается по определению известной. Это не секретный ключ, а наоборот — открытый.