Приставка рандомная к паролю. Скажем, если у нас хранится просто хэш в поле password то у всех у кого одинаковый пароль - одинаковый и хэш будет. А там делаем что-то в стиле SELECT * FROM users WHERE password = hash('password') и получаем всех пользователей у которых пароль - password. Чтобы усложнить жизнь взломщикам, просто добавляем колонку salt где храним для каждой записи случайный набор символов который приклеиваем к отправленному юзером при сверке. И теперь у двух пользователей с паролем например тем же password, данные в базе будут выглядеть примерно вот так.
user_id password salt
1 (хэш от passwordJ9N%z) J9N%z
2 (хэш от password4D#oR) 4D#oR
Что заставляет взломщика перебирать пароли по каждому пользователю отдельно, а не по всей базе сразу. Я упрощаю конечно, там есть какие-то криптографически особенности как правильно солить а не просто конкатенировать, но это уже маны по конкретным имплементациям алгоритмов читать надо, главное что основная суть не меняется.
Поэтому существуют более эффективные техники вскрытия парольных хэшей, в том числе атаки по словарю, по радужным таблицам, а в последнее время — с применением генетических алгоритмов и нейросетей
Насколько это вообще актуально про радужные таблицы? Баловался перебором лет 15 назад, уже тогда это казалось глупостью забивать диск хламом когда видеокарты перебирают миллиарды хэшей в секунду, а с тех пор так только ленивые и совсем злоумышленники не обновили еще алгоритмы или хотя-бы не засолили хэши. Да и вроде как 12 лет уж как все используют стратегию словарь+замены которая выявляет 95%+ паролей.
Аналогично, часто бывает что в форме регистрации ограничение длины одно, а в форме логина - другое. Причем, что самое тупое, бывает что подрезанный пароль тоже не считается верным. И когда оригинальный пароль, отправленный через консоль в обход фронтовой валидации, не проходит валидацию уже на бэке. Получается, единственный способ залогиниться - это сбрасывать. Бонусные очки тем, у кого и в форме восстановления лимит тоже не соответствует предыдущим.
А у них еще осталась поддержка? Сейчас же модно и прогрессивно делать приложения вообще без саппорта. Единственный способ хоть как-то обратить их внимание на проблемы - доканывать SMM-щиков в твиттере.
Ну, тут палка о двух концах. С другой стороны, когда почтовый провайдер совсем наглеет, например, читает письма и сам спамит, можно уехать вместе с доменом к другому. Чувство, будто переиграл систему, как смена телефонного провайдера с сохранением номера только с почтой. Того же регистратора тоже вполне можно сменить, единственное что приходится все-таки выбирать либо нацдомен и быть вечно "под флагом", либо gTLD, которые не факт что завтра не обанкротятся.
Впринципе, если бы этот подход натягивался бы на википедию, Джимми не так сильно бы грустил каждый год собирая взносы. К сожалению, большинство персоналий которые людям интересны на википедии не то чтобы... живы... и вряд ли смогут оплатить мзду. А на твиттере все равно одни только бренды пиарятся, почему бы и нет. Особенно когда можно содрать с них уплату за бесполезный и ничего не значащий бэджик.
Давно пора. Эта галка изначально была какой-то глупой затеей. Прям классовое разделение при котором решает "достоин ли ты" этой галки не какой-то объективный показатель, а индусы на аутсорсе которые за копейки по каким-то своим неведомом критериями оценивают знаменитость.
Статью точно не потяну, потому что я не эксперт - все знания у меня из того что задавал те же самые вопросы разным людям в курилке. А в личку - потому что под NDA, не хочется ляпнуть чего лишнего в публичном пространстве и подставить и себя и ребят :)
мне кажется если сделать счётчик с некоторы унимерсальным интерфейсом на который можно повешать любой из возможных обработчиков lora/zigbee/ble/gsm/wifi/etc
Привет, коллега. Перед тем как поработать недолго буквально напротив вас, работал на заводе в том же городе, там так и поступили - производят счетчики с ИК-портом, на который уже навешиваются адаптеры - GSM, USB, RS-485. LoRa и другие протоколы насколько мне известно, тоже в разработке. Пока что производство небольшое, производят нишевые продукты и на Российском рынке их найти тяжело, но работа идет, возможно скоро появятся. Если вы про то чтобы стандартизировать сам протокол счетчик<->адаптер и выбраться из проприетарной ямы, я лично не вижу этого в сколь либо обозримом будущем, могу если интересно в личку расписать причины.
Странно что ни в посте ни в комметах слова про инвертор подсветки - у меня так 5 ноутов подряд и два монитора почили. Мониторы удалось вернуть к жизни заменой плат, а вот за ноуты никто не брался. Благо, все были на гарантии, и чтобы не срывать пломб, сидел с фонариком в монитор стягивал данные :)
UPD: Нагнал зря. Оказывается, вкладка отзывов скрыта только на доменах кроме .ru, .by, .kz, .uz. В остальных странах идут редиректы на локальные домены если в настройках не выставлен вручную один из городов России. Зачем и почему так коряво сделано - в процессе выяснения.
В индии, вобщем-то, так и делают. Например, JioPhone - копеечный кнопочный телефон, на котором вполне неплохо так работают современные приложения типа ютуба. Трюк как в том, что работают они на серверах провайдера, а на телефон транслируется чисто картинка. Цена вопроса - 2000 рупий ($27) за телефон с двухлетней подпиской. В условиях индийского рынка вполне оправданная штука, но мне лично больше по душе если телефон не превратится в тыкву как только закончится подписка.
Яндекс такой яндекс. Помнится, слушал их доклад на тему как они нагрузку на ТП снижали. Решение было гениальным - они просто убрали форму обратной связи. Видимо, теперь занялись вопросом плохих магазинов, вечно жалующихся на "сливающих рейтинг конкурентов", - и убрали форму отзыва. По крайней мере на я.картах больше нет возможности посмотреть и оставить отзывы, остались только звёздочки непонятно откуда берущиеся и непонятно что измеряющие.
Повезло в какой-то мере. Есть люди не понимающие шуток и глубоко обижающиеся даже на общие фразы
Прям мое описание. На "давай аккуратней, не упади с лестницы" я точно бы обозлился — потому что не вижу в этом юмора. Особенно если это с усмешкой сделано. Типа, если хочешь пошутить - ну напой там Stairway to heaven, или пошути из стиля "Теперь я знаю, сколько программистов нужно чтобы вкрутить лампочку". А если серьезно беспокоишься что упаду, так и скажи "чувак, у тебя лестница шатается, давай подержу". А так получается - ни шило ни мыло, как интерпретировать это — вообще не понятно, кроме прочесть в этом намек на то что я неуклюжий.
Есть еще беда, что некоторым людям вот прямо очень хочется воткнуть что-то личное. Образно говоря, взять плоскую шутку, но добавить что-то из образа собедника чтобы вот прямо его вставить в шутку. Что-то из разряда рассказать анекдот про чукчу и телефон, но в конце добавить "чукча не дурак, чукча ездит на цивике". И тут не понятно, у тебя проблемы с цивиками, или ты меня хочешь чукчей назвать, что это вообще значит? Зачем переходить на личности? И я не говорю про трибализм или даже насмешки непосредственно над какими-то личными чертами, а именно когда к шутке добавляется совершенно нерелевантная личная черта собеседника.
При этом не сказать что я какой-то особо обидчивый человек. Спокойно отношусь к совершенно чернейшему, тыкающему меня в мои недостатки юмору, и даже со стороны казалось бы угрозам, если они являются отсылками к прошлым шуткам. А так, без индикатора в виде непосредственно юмора или отсылки к нему, как я пойму что это шутка а не глумление? Просто смеяться для этого недостаточно,
C 1-3 полностью согласен. Я неправильно выразился. Действительно, победа будет засчитана уже при получении пакета, а в зависимости от неткода может пройти и ничья, когда соперники пристрелят друг друга, даже с хитскановым, не считающим скорость пуль неткодом.
Не могу сказать точно за 7/8мс, но по субъективному опыту разница обновлений мыши между 125гц, 250гц и 500гц хорошо ощущается на мониторе рисующем 100фпс под 100гц. Разница между 500гц и 1000гц мыши в таком сетапе уже не особо чувствуется, но предполагаю что это будет более ощутимо на большей частоте кадров и более быстром мониторе. К сожалению, я не кибер-котлета с монитором на 360гц и видеокартой способной тянуть 500фпс, даже без мыши на 8000гц, поэтому точно сказать не могу.
Приставка рандомная к паролю. Скажем, если у нас хранится просто хэш в поле password то у всех у кого одинаковый пароль - одинаковый и хэш будет. А там делаем что-то в стиле SELECT * FROM users WHERE password = hash('password') и получаем всех пользователей у которых пароль - password. Чтобы усложнить жизнь взломщикам, просто добавляем колонку salt где храним для каждой записи случайный набор символов который приклеиваем к отправленному юзером при сверке. И теперь у двух пользователей с паролем например тем же password, данные в базе будут выглядеть примерно вот так.
Что заставляет взломщика перебирать пароли по каждому пользователю отдельно, а не по всей базе сразу.
Я упрощаю конечно, там есть какие-то криптографически особенности как правильно солить а не просто конкатенировать, но это уже маны по конкретным имплементациям алгоритмов читать надо, главное что основная суть не меняется.
Вы кажется веткой ошиблись, товарищ ? Радужные таблицы это про то чтобы заранее обсчитывать хэши, а у вас про... генерацию случайных?
Насколько это вообще актуально про радужные таблицы? Баловался перебором лет 15 назад, уже тогда это казалось глупостью забивать диск хламом когда видеокарты перебирают миллиарды хэшей в секунду, а с тех пор так только ленивые и совсем злоумышленники не обновили еще алгоритмы или хотя-бы не засолили хэши. Да и вроде как 12 лет уж как все используют стратегию словарь+замены которая выявляет 95%+ паролей.
Аналогично, часто бывает что в форме регистрации ограничение длины одно, а в форме логина - другое. Причем, что самое тупое, бывает что подрезанный пароль тоже не считается верным. И когда оригинальный пароль, отправленный через консоль в обход фронтовой валидации, не проходит валидацию уже на бэке. Получается, единственный способ залогиниться - это сбрасывать. Бонусные очки тем, у кого и в форме восстановления лимит тоже не соответствует предыдущим.
А у них еще осталась поддержка? Сейчас же модно и прогрессивно делать приложения вообще без саппорта. Единственный способ хоть как-то обратить их внимание на проблемы - доканывать SMM-щиков в твиттере.
Ну, тут палка о двух концах. С другой стороны, когда почтовый провайдер совсем наглеет, например, читает письма и сам спамит, можно уехать вместе с доменом к другому. Чувство, будто переиграл систему, как смена телефонного провайдера с сохранением номера только с почтой. Того же регистратора тоже вполне можно сменить, единственное что приходится все-таки выбирать либо нацдомен и быть вечно "под флагом", либо gTLD, которые не факт что завтра не обанкротятся.
Впринципе, если бы этот подход натягивался бы на википедию, Джимми не так сильно бы грустил каждый год собирая взносы. К сожалению, большинство персоналий которые людям интересны на википедии не то чтобы... живы... и вряд ли смогут оплатить мзду. А на твиттере все равно одни только бренды пиарятся, почему бы и нет. Особенно когда можно содрать с них уплату за бесполезный и ничего не значащий бэджик.
Так и есть, постоянно удаляют страницы о людях значимость которых не обусловлена ВП:КЗП.
Давно пора. Эта галка изначально была какой-то глупой затеей. Прям классовое разделение при котором решает "достоин ли ты" этой галки не какой-то объективный показатель, а индусы на аутсорсе которые за копейки по каким-то своим неведомом критериями оценивают знаменитость.
Статью точно не потяну, потому что я не эксперт - все знания у меня из того что задавал те же самые вопросы разным людям в курилке. А в личку - потому что под NDA, не хочется ляпнуть чего лишнего в публичном пространстве и подставить и себя и ребят :)
Привет, коллега. Перед тем как поработать недолго буквально напротив вас, работал на заводе в том же городе, там так и поступили - производят счетчики с ИК-портом, на который уже навешиваются адаптеры - GSM, USB, RS-485. LoRa и другие протоколы насколько мне известно, тоже в разработке. Пока что производство небольшое, производят нишевые продукты и на Российском рынке их найти тяжело, но работа идет, возможно скоро появятся. Если вы про то чтобы стандартизировать сам протокол счетчик<->адаптер и выбраться из проприетарной ямы, я лично не вижу этого в сколь либо обозримом будущем, могу если интересно в личку расписать причины.
Странно что ни в посте ни в комметах слова про инвертор подсветки - у меня так 5 ноутов подряд и два монитора почили. Мониторы удалось вернуть к жизни заменой плат, а вот за ноуты никто не брался. Благо, все были на гарантии, и чтобы не срывать пломб, сидел с фонариком в монитор стягивал данные :)
UPD: Нагнал зря. Оказывается, вкладка отзывов скрыта только на доменах кроме .ru, .by, .kz, .uz. В остальных странах идут редиректы на локальные домены если в настройках не выставлен вручную один из городов России. Зачем и почему так коряво сделано - в процессе выяснения.
Маленькими самолетами, лишь бы не слишком быстрыми, уже проворачивали такое.
https://en.wikipedia.org/wiki/Airborne_aircraft_carrier#Akron-class
В индии, вобщем-то, так и делают. Например, JioPhone - копеечный кнопочный телефон, на котором вполне неплохо так работают современные приложения типа ютуба. Трюк как в том, что работают они на серверах провайдера, а на телефон транслируется чисто картинка. Цена вопроса - 2000 рупий ($27) за телефон с двухлетней подпиской. В условиях индийского рынка вполне оправданная штука, но мне лично больше по душе если телефон не превратится в тыкву как только закончится подписка.
Яндекс такой яндекс. Помнится, слушал их доклад на тему как они нагрузку на ТП снижали. Решение было гениальным - они просто убрали форму обратной связи.
Видимо, теперь занялись вопросом плохих магазинов, вечно жалующихся на "сливающих рейтинг конкурентов", - и убрали форму отзыва. По крайней мере на я.картах больше нет возможности посмотреть и оставить отзывы, остались только звёздочки непонятно откуда берущиеся и непонятно что измеряющие.
Так автор говорил про один орех, в единичном числе. Видимо, только один надо качать? Какой из?
Так а что за орех в итоге то?
Прям мое описание. На "давай аккуратней, не упади с лестницы" я точно бы обозлился — потому что не вижу в этом юмора. Особенно если это с усмешкой сделано. Типа, если хочешь пошутить - ну напой там Stairway to heaven, или пошути из стиля "Теперь я знаю, сколько программистов нужно чтобы вкрутить лампочку". А если серьезно беспокоишься что упаду, так и скажи "чувак, у тебя лестница шатается, давай подержу". А так получается - ни шило ни мыло, как интерпретировать это — вообще не понятно, кроме прочесть в этом намек на то что я неуклюжий.
Есть еще беда, что некоторым людям вот прямо очень хочется воткнуть что-то личное. Образно говоря, взять плоскую шутку, но добавить что-то из образа собедника чтобы вот прямо его вставить в шутку. Что-то из разряда рассказать анекдот про чукчу и телефон, но в конце добавить "чукча не дурак, чукча ездит на цивике". И тут не понятно, у тебя проблемы с цивиками, или ты меня хочешь чукчей назвать, что это вообще значит? Зачем переходить на личности? И я не говорю про трибализм или даже насмешки непосредственно над какими-то личными чертами, а именно когда к шутке добавляется совершенно нерелевантная личная черта собеседника.
При этом не сказать что я какой-то особо обидчивый человек. Спокойно отношусь к совершенно чернейшему, тыкающему меня в мои недостатки юмору, и даже со стороны казалось бы угрозам, если они являются отсылками к прошлым шуткам. А так, без индикатора в виде непосредственно юмора или отсылки к нему, как я пойму что это шутка а не глумление? Просто смеяться для этого недостаточно,
C 1-3 полностью согласен. Я неправильно выразился. Действительно, победа будет засчитана уже при получении пакета, а в зависимости от неткода может пройти и ничья, когда соперники пристрелят друг друга, даже с хитскановым, не считающим скорость пуль неткодом.
А вот про четвертый пункт и заметку, есть подобное про мониторы, где FPS больше чем частота монитора действительно влияет и очень сильно - источники:
https://www.youtube.com/watch?v=uzp8z1i5-Hc
https://youtu.be/OX31kZbAXsA?t=1910
Не могу сказать точно за 7/8мс, но по субъективному опыту разница обновлений мыши между 125гц, 250гц и 500гц хорошо ощущается на мониторе рисующем 100фпс под 100гц. Разница между 500гц и 1000гц мыши в таком сетапе уже не особо чувствуется, но предполагаю что это будет более ощутимо на большей частоте кадров и более быстром мониторе. К сожалению, я не кибер-котлета с монитором на 360гц и видеокартой способной тянуть 500фпс, даже без мыши на 8000гц, поэтому точно сказать не могу.