Экскаватор сила. В 2000 проложил из офиса в цех оптоволокно, очень бронированное, в колодце. Крысы грызли его лет 10 но не осилили. Через 10 лет приехал экскаватор и я внезапно получил звонок от коллеги, который сменил меня на этой должности «Тут у нас сеть внезапно между офисом и цехом пропала, ты не знаешь, в чем может быть дело?»…
Посетители офиса компании с лампами приходят в восторг вот уже несколько лет.
А посетители офиса с ураном просто светятся от счастья!
Я так понимаю, они используют эти случайные данные как иницилиализирующие значения для ПДСЧ. Интересно, они как-то проводят проверку их случайности по известным методикам?
Вот только ХАБР не использует md5)
В случае же аутентификации по md5 можно не брутить пароль, а найти коллизию, т.е. другой пароль, дающий тот же хеш и с ним войти. В этом проблема использования md5, а не в возможности реверса. Хотя радужных таблиц для популярных паролей под него достаточно.
Это уже боль какая-то. Т.е. на стороннем ресурсе у пользователя такой же пароль? Зачем? Не проще ли сделать SSO? Хотя реализации всякие бываю, согласен.
Тут вопрос где хранить ключ, которым вы будете это проверять? Видел варианты «В той же БД, что и пароли»… Если в переменных окружения, то при SQL инъекции спасёт, при RCE нет.
Ассиметричные ключи не панацея, если не уметь их готовить.
Категорически против идеи хранить пароли шифрованными. Проверку на неповторяемость можно реализовать и на уровне хеша.Шифрование видел т у одного разработчика, причем ключ шифрования был зашит прямо в код, в итоге реверснув его можно было на любой инсталляции показывать «магию», доставая из БД пароли пользователей в открытом виде…
. Ну ладно, что шифрование не может быть некриптографическим, иначе это уже не шифрование. Но как можно шифровать ПО? Или они под этим термином спрятали TLS? Поясните, пожалуйста, кто в теме…
Очень напоминает загрузку Spectrum с кассеты) Наверняка можно в качестве аудиодорожки положить к роликам привычный цифровой шум.
А посетители офиса с ураном просто светятся от счастья!
Я так понимаю, они используют эти случайные данные как иницилиализирующие значения для ПДСЧ. Интересно, они как-то проводят проверку их случайности по известным методикам?
Я же говорил про хеширование в контексте формы логина/аутентификации.
В случае же аутентификации по md5 можно не брутить пароль, а найти коллизию, т.е. другой пароль, дающий тот же хеш и с ним войти. В этом проблема использования md5, а не в возможности реверса. Хотя радужных таблиц для популярных паролей под него достаточно.
Ассиметричные ключи не панацея, если не уметь их готовить.
Когда начались проблемы с картами, ребята оперативно прикрутили российский процессинг.