1) я очень сомневаюсь, что вы запомните 12 совершенно неосмысленных символов надолго ) хотя, возможно, стоит попробовать. кстати, алфавит на самом деле 33+33+10=76 символов длины.
2) найдут методы. всегда существует промежуток от взлома предыдущего метода до появления нового устойчивого к некоторому взлому. именно в эти 2 недели каждые 3 месяца (сократить оба периода с учетом скорости роста компьютерной индустрии) будут отрезать пальцы, изымать глаза и записывать на мегадиктофон голос. возможно, некоторые подумают, что я боюсь будущего. они правы.
1) а если включить только эти дополнительные символы в брутфорс? вы предполагаете об устойчивости этих паролей, так как думаете что взломщики используют весь знакодиапазон (32 символа). в то же время, практика использования этих самых символов для брутфорса широкоизвестна и верить в нереальность взлома не стоит.
2) не боитесь, что вам ночью отрежут палец? )) я боюсь...
делая первый шаг на пути к интересному обсуждению, выкладываю хеш своего пароля не от хабра, который я по глупости неоднократно юзол: 59A8621067F38AC32ECDC0628AFE27F4. (Не хочу стать qweqwe) Чтобы помочь интересующимся, скажу, что я тогда занимался разработкой маленькой игры.
даешь Rainbow Tables (http://www.antsight.com/zsl/rainbowcrack/)! используя предвычисление таблиц (для некотрого диапазона) вы избавляетесь от необходимости тратить время на брутфорс. просто юзоешь маленькую программку и таблицу. за несколько секунд/минут происходит процесс, почти равный соответстующему брутфорсу по тому же диапазону. так вот, к чему бы это я... короче говоря, брутфорс сильно устарел. скоро выложу свою подробную статью. если у меня конечно хватит кармы чтоб опубликовать ее хотя бы в своем блоге...
зы да простят меня за весьма грубые допущения в этом объяснении. самое грубое - наличие salt.
ззы попробуйте запомнить 14ти символьный пароль, не имеющий для человека смысла. Имеющий уже не будет обладать такой устойчивостью, ибо будет существовать некоторая функция для повышения релевантности поиска.
зззы ipshaiteg наверное имел ввиду 200 млн паролей в секунду, а не тысяч...
я хотел это сказать, но собственно пост был бы бессмысленным, хотя сейчас именно так и есть. даешь панику и анархию )
кстати, легко проверить хешируются пассы или нет. посмотрите кто-нить в восстановление пароля плз ) если высылаются сами пароли, то о хешировании нет и речи. иначе - неизвестно, ибо это не критерий и достаточного условия здесь нет.
хотя все же... я сомневаюсь что наши уважаемые авторы позволили бы себе сказать о неуязвимости сайта еще при его создании и беспечно хранить незахешированные пароли. я уверен, там и соль есть.
Не распространяйте слухи, пожалуйста )
Все пароли хранятся в виде хешей. Восстановить из хеша пароль (за неэкспоненциальное от его сложности) время нельзя. И посмотреть просто так они не смогут.
зы здесь админы не такие как на каких-нибудь одноклассниках. я верю.
1) пароль, основанный на человеческой лексике неустойчив. НЕзавимио от раскладки. a UDC (http://the-udc.com/rus/) это великолепно подтверждает.
2) если пароль будет получен как минимум с одного из ресурсов этого уровня, простым поиском по нику хацкир получит доступ к остальным.
3) ICQ ограничивает пароль 8 символами. Разные сервисы тоже так делают. От этого или разрушится ваша трехуровневая система за необходимостью введения новых паролей, или сильно пострадает их устойчивость. Тем более, взломанный более короткий пароль сузит пространство поиска при взломе для более длинного.
зы В первую очередь пост направлен на читателя.
Все же попытаюсь разъяснить. Слово "упячка" можно написать как "YnR4KA", но это уже будет совсем другое и так никто не напишет. Наличие своеобразной идеологии и единого образца (upyachka.ru) сильно сужает возможности для изменения слов.
Ничего не могу сказать про Одноклассников, но: зоделал себе мыло на mail.ru, просто для того чтобы где-то зарегаться. Потом регаться передумал и про мыло забыл. Зашел где-то через 2 недели. На ни разу не свеченое мыло пришло 6 спамовых писем.
Обычно это происходит от утечек базы мыл на крупных (багообильных) сайтах. На mail.ru они происходят еженедельно.
Спасибо за статью, было весьма интересно. Однако между упячкоспамом и матом есть существенные разлчлия. Во-первых, там весьма ограничен словарный набор. Во-вторых, почти всегда слова находятся в верхнем регистре и перемежаются с !, 1 и одынодын. Построение скрипта, который вычисляет процентное отношение упячкоспама нормальной речи (хотя и к неизвестным ему доселе словам), - дело несложное. Скрипт с таким алгоритмом не удалит, например, это сообщение. Для улучшения качества можно добавить историю упячкозасорения юзерами (здесь уже не так просто). Ну, наконец, придется подкорректировать админский интерфейс, дабы он выдавал информацию о проштрафившихся упячкопользователях.
Хочу добавить, что если "говнюки из форума будут специально маскировать маты в сообщениях" (та самая статья "Фильтруй базар" с сохранением оригинальных эпитетов), то тут уж без модеров не обойтись. Но это - самая крайняя мера.
я полагаю очень многие против модерирования. предлагаю решать проблемы исключительно с помощью грамотно написанных скриптов, а не переменчивых и устающих людей, даже таких как уважаемый автор )
и, наверное, первое, что стоит добавить - фильтр упячкоспама. при всем уважении к оному, появляется все больше людей, использующих его в не очень подходящих местах и нещадно минусуемых. исправьте меня, если я не прав.
Ну, это можно сделать даже несколькими вариантами ) обычно нумерация идет в порядке их графического следования.
Очень приятно было увидеть что хоть кто-то задумался над этим. Имхо таких людей катастрофически не хватает в майкрософт.
зы автор не возражает если я буду пользоваться таким дизайном?
должен с вами не согласиться. про конструктивность критики писали не раз наверное, поэтому посторяться не буду.
излагаю здесь некоторые аспекты, которые, возможно, послужили причиной вашего недовольства. итак, на самом деле, существует стандарт по коррекции кода браузерами. именно благодаря ему мы можем видеть что-либо на неправильно написанной странице. не вдаваясь в недостатки этого стандарта, хотелось бы указать, что автора интересует валидация кода (который вполне может быть синтаксически верен), с условием сохранения первоначальной верстки, т.е. совершенно недостижимая таким образом цель.
из сложившегося положения я вижу единственный выход - отслеживание истории. точно описать алгоритм я пока что не берусь, однако определенно надо рассматривать некоторую разновидность деревьев кода и вести по ним историю.
извиняюсь за чрезмерно утомительное сообщение и что продолжил нить рассуждения denver'а. было весьма обидно за товарища по профессии.
Приведу контрпример нерекурсивной структуры:
<u><b>Hello, World!</u></b>
Можно локализовать ошибку рекурсивным парсером (выполнять до тех пор пока на границах передаваемого отрезка есть два парных тега).
Я правильно понял твою мысль? Тогда собственно дело за реализацией. Никаких конкретных решений предложить не могу, сам я программист и верстку делаю только базовую (шаблоны). Если появится время, напишу программку на PHP.
Спасибо за новость, мне всегда нравился синтаксис питона, но никогда не было аргументов, для того чтобы начать его изучать. Теперь наконец-то смогу носить компилятор хоть чего-нибудь с собой.
Я извиняюсь ч то вмешиваюсь в чужое обсуждение, но...
Теги, например , очень часто бывают вложены друг в друга. Будем считать их за круглые скобки.
Тогда ((()) может быть исправлено и как ()(()) и как ((())). Алгоритм исправления недетерминирован для HTML.
Если имелись ввиду различные тэги, то они могут и пересекаться, напр. , так что пример не понятен.
2) найдут методы. всегда существует промежуток от взлома предыдущего метода до появления нового устойчивого к некоторому взлому. именно в эти 2 недели каждые 3 месяца (сократить оба периода с учетом скорости роста компьютерной индустрии) будут отрезать пальцы, изымать глаза и записывать на мегадиктофон голос. возможно, некоторые подумают, что я боюсь будущего. они правы.
2) не боитесь, что вам ночью отрежут палец? )) я боюсь...
делая первый шаг на пути к интересному обсуждению, выкладываю хеш своего пароля не от хабра, который я по глупости неоднократно юзол: 59A8621067F38AC32ECDC0628AFE27F4. (Не хочу стать qweqwe) Чтобы помочь интересующимся, скажу, что я тогда занимался разработкой маленькой игры.
зы да простят меня за весьма грубые допущения в этом объяснении. самое грубое - наличие salt.
ззы попробуйте запомнить 14ти символьный пароль, не имеющий для человека смысла. Имеющий уже не будет обладать такой устойчивостью, ибо будет существовать некоторая функция для повышения релевантности поиска.
зззы ipshaiteg наверное имел ввиду 200 млн паролей в секунду, а не тысяч...
кстати, легко проверить хешируются пассы или нет. посмотрите кто-нить в восстановление пароля плз ) если высылаются сами пароли, то о хешировании нет и речи. иначе - неизвестно, ибо это не критерий и достаточного условия здесь нет.
хотя все же... я сомневаюсь что наши уважаемые авторы позволили бы себе сказать о неуязвимости сайта еще при его создании и беспечно хранить незахешированные пароли. я уверен, там и соль есть.
Все пароли хранятся в виде хешей. Восстановить из хеша пароль (за неэкспоненциальное от его сложности) время нельзя. И посмотреть просто так они не смогут.
зы здесь админы не такие как на каких-нибудь одноклассниках. я верю.
2) если пароль будет получен как минимум с одного из ресурсов этого уровня, простым поиском по нику хацкир получит доступ к остальным.
3) ICQ ограничивает пароль 8 символами. Разные сервисы тоже так делают. От этого или разрушится ваша трехуровневая система за необходимостью введения новых паролей, или сильно пострадает их устойчивость. Тем более, взломанный более короткий пароль сузит пространство поиска при взломе для более длинного.
зы В первую очередь пост направлен на читателя.
Обычно это происходит от утечек базы мыл на крупных (багообильных) сайтах. На mail.ru они происходят еженедельно.
Хочу добавить, что если "говнюки из форума будут специально маскировать маты в сообщениях" (та самая статья "Фильтруй базар" с сохранением оригинальных эпитетов), то тут уж без модеров не обойтись. Но это - самая крайняя мера.
и, наверное, первое, что стоит добавить - фильтр упячкоспама. при всем уважении к оному, появляется все больше людей, использующих его в не очень подходящих местах и нещадно минусуемых. исправьте меня, если я не прав.
Очень приятно было увидеть что хоть кто-то задумался над этим. Имхо таких людей катастрофически не хватает в майкрософт.
зы автор не возражает если я буду пользоваться таким дизайном?
излагаю здесь некоторые аспекты, которые, возможно, послужили причиной вашего недовольства. итак, на самом деле, существует стандарт по коррекции кода браузерами. именно благодаря ему мы можем видеть что-либо на неправильно написанной странице. не вдаваясь в недостатки этого стандарта, хотелось бы указать, что автора интересует валидация кода (который вполне может быть синтаксически верен), с условием сохранения первоначальной верстки, т.е. совершенно недостижимая таким образом цель.
из сложившегося положения я вижу единственный выход - отслеживание истории. точно описать алгоритм я пока что не берусь, однако определенно надо рассматривать некоторую разновидность деревьев кода и вести по ним историю.
извиняюсь за чрезмерно утомительное сообщение и что продолжил нить рассуждения denver'а. было весьма обидно за товарища по профессии.
<u><b>Hello, World!</u></b>
Можно локализовать ошибку рекурсивным парсером (выполнять до тех пор пока на границах передаваемого отрезка есть два парных тега).
Я правильно понял твою мысль? Тогда собственно дело за реализацией. Никаких конкретных решений предложить не могу, сам я программист и верстку делаю только базовую (шаблоны). Если появится время, напишу программку на PHP.
Теги, например , очень часто бывают вложены друг в друга. Будем считать их за круглые скобки.
Тогда ((()) может быть исправлено и как ()(()) и как ((())). Алгоритм исправления недетерминирован для HTML.
Если имелись ввиду различные тэги, то они могут и пересекаться, напр. , так что пример не понятен.