С какого момента нарушение абстракции? Это индекс, по которому мы находились в изначальном потоке данных, явно принадлежит элементу. Или номер дома дому не принадлежит?
Просто хэшированный пароль можно перехватить и использовать в дальнейшем. Потому как:
1) Сервер не может гарантировать уникальность соли. (И попытки это сделать — серьезное усложнение.)
2) Для того, чтобы каждый раз предлагать новую соль, необходимо держать пароль на сервере в открытом виде. (Что, конечно, используется, но крайне нежелательно. И совсем уж стыдно об этом упоминать в контексте статьи.)
Уж если думать в соленом направлении, то клиент должен посылать соль и хэш(соль+пароль). Или, чтобы не требовать от сервера хранения пароля в открытом виде, соль и хэш(соль+хэш(пароль)). А еще лучше — соль1 и хэш(соль1+хэш(пароль+соль2)), где соль2 получена от сервера.
Берем бота-говорилку, обучаем его на очень-очень ломаном английском — и вуаля, даже если кто поинтересуется — желание интересоваться дальше пропадет почти мгновенно.
Идиллия-идиллией, но пока у меня есть еда, одежда, крыша над головой, да еще и вдобавок доступ к почти неограниченному количеству информации по совершенно различным областям знания(это интернет) — сказать что я живу плохо «язык не повернется», что называется.
Ну значит остальные подорожают немного. Не стоит рассчитывать на утрату значительных количеств таким методом. В общем то с золотом такое тоже проходит.
Если бы хоть заговоры были интересными и запутаными. Так нет, особо избранные берут уже фактически законы, по которым работает социум, и начинают кричать «не справедливо!», «заговор!». Да всем ясно, что несправедливо. Это, блин, закон эволюции.
Вон растения собирают неорганику, органику производят. И вы только посмотрите на подлых животных! Лопают, как свое. Все, заговор!
Вот этот комментарий не приблизил эти ключевые вопросы ко мне ни на миллиметр.
Зачем мне ваша смешная реальность, а тем более заниматься поиском заговоров в ней, если та, что у меня в голове, гораздо интереснее?
Пропагандировать громкие лозунги, кричать о ключевых вопросах жизни — непродуктивно. Продуктивно — наслаждаться тем устройством мира, которое тебе нравится. Можно у себя в голове, можно в реальности(Как создатели Биткоин, например.)
Вообще, вся эта история показывает не насколько круты хакеры, а насколько слаба защита.
1) Сервер не может гарантировать уникальность соли. (И попытки это сделать — серьезное усложнение.)
2) Для того, чтобы каждый раз предлагать новую соль, необходимо держать пароль на сервере в открытом виде. (Что, конечно, используется, но крайне нежелательно. И совсем уж стыдно об этом упоминать в контексте статьи.)
Уж если думать в соленом направлении, то клиент должен посылать соль и хэш(соль+пароль). Или, чтобы не требовать от сервера хранения пароля в открытом виде, соль и хэш(соль+хэш(пароль)). А еще лучше — соль1 и хэш(соль1+хэш(пароль+соль2)), где соль2 получена от сервера.
> IP
> запрашивают
Что?
(Насколько я знаю.)
Вон растения собирают неорганику, органику производят. И вы только посмотрите на подлых животных! Лопают, как свое. Все, заговор!
Зачем мне ваша смешная реальность, а тем более заниматься поиском заговоров в ней, если та, что у меня в голове, гораздо интереснее?
Пропагандировать громкие лозунги, кричать о ключевых вопросах жизни — непродуктивно. Продуктивно — наслаждаться тем устройством мира, которое тебе нравится. Можно у себя в голове, можно в реальности(Как создатели Биткоин, например.)