А вам не кажется, что имея полный рутовый доступ на сервер хакер может например вписать код в ваш авторизационный скрипт (мы ведь про php говорим), который будет все входы пользователей в какой-нибудь лог складывать? И ему в таком случае вообще ничего подбирать не нужно.
Потому что вероятность слить базу с хэшами и не слить все остальное стремится к нулю :)
Потому что если злоумышленник слил базу с хэшами — вы об этом не узнаете, и ничего не предпримите (в отличии от попытки брутфорса логина). Узнаете когда он ее поломает, а он ее поломает. Социальная инженерия убедительно побеждает любую криптостойкость. Ведь у истоков создания пароля стоит тетя Маша, которая или выдумывает пароли из головы, или записывает выданный ей не читаемый набор букв-цифр-спецсимволов на бумажку.
Хотите безопасности — отключите сервер от сети. Или накупите вот такого рутокен-web и всем пользователя раздайте. И SMS-КИ шлите с временным токеном при логине, как это банкиры практикуют. И таймауты сделайте, и 1000к генерацию хэшей подписей, и капчи. Но все равно гарантий нет. Хотите гарантий — купите тостер :)
Че не так?
Вот сидим мы втроем на одном сером айпишнике, я тетя Маша и дядя Вова. И эдакий гипотетический кулхацкер я запросы регистрации постоянные шлю. А тетя Маша и дядя Вова добропорядочные граждане, сидят и удивляются: а что это нас не пускает, какой-такой постоянный таймаут?!
А не проще чем замедлять генерацию пароля просто сделать таймаут некий полечком в базке например, прикрутить к пользователю и при неверной попытке авторизации выставлять его в N-секунд, скажем 5. А при следующих авторизацию просто читать таймаут этот, и если он еще не прошел — сразу отлуп давать.
Так и сервер грузить не будете излишними вычислениями 1кк хэшэй.
По IP нельзя ограничивать регистрацию. Пользователи, сидящие через серые IP (wifi — adsl — свистки от сотовых операторов) после таких приколов могут и не суметь зарегаться.
зачем же еще. Сложно предположить что будет какое-то более практическое применение этому творчеству (с учетом мега-дыр в безопасности которое это творение открывает).
В бубунте долго сидел на Exaile, пока не поставил серверное ведро, теперь музыка временами лагает (слышны паузы). Пробовал все (как мне показалось) доступные версии.
Поставил клементину, в ней такой хрени не наблюдается. Хотя может быть это я такой невезучий.
Уверен, что не меньше 10-30к за лицуху (а то без откатов совсем как-то скучно)
Как в том анекдоте: приходят к китайцам заказчики и спрашивают: за сколько дом построите. Те им — за месяц и два миллиона. Приходят к туркам, те им — за два месяца и миллион. Приходят к русским, те им: за два месяца и три миллиона. Заказчики удивляются, а что типо так дорого и долго. Те им: ну как, миллион туркам чтоб построили, миллион нам, ну и вам миллион.
www.openwall.com/lists/oss-security/2011/06/20/2
Потому что если злоумышленник слил базу с хэшами — вы об этом не узнаете, и ничего не предпримите (в отличии от попытки брутфорса логина). Узнаете когда он ее поломает, а он ее поломает. Социальная инженерия убедительно побеждает любую криптостойкость. Ведь у истоков создания пароля стоит тетя Маша, которая или выдумывает пароли из головы, или записывает выданный ей не читаемый набор букв-цифр-спецсимволов на бумажку.
Хотите безопасности — отключите сервер от сети. Или накупите вот такого рутокен-web и всем пользователя раздайте. И SMS-КИ шлите с временным токеном при логине, как это банкиры практикуют. И таймауты сделайте, и 1000к генерацию хэшей подписей, и капчи. Но все равно гарантий нет. Хотите гарантий — купите тостер :)
Вот сидим мы втроем на одном сером айпишнике, я тетя Маша и дядя Вова. И эдакий гипотетический кулхацкер я запросы регистрации постоянные шлю. А тетя Маша и дядя Вова добропорядочные граждане, сидят и удивляются: а что это нас не пускает, какой-такой постоянный таймаут?!
Так и сервер грузить не будете излишними вычислениями 1кк хэшэй.
хотя по мне так PHP — лучший шаблонизатор.
$ php -r "echo 'Hello World';"зачем же еще. Сложно предположить что будет какое-то более практическое применение этому творчеству (с учетом мега-дыр в безопасности которое это творение открывает).
Теперь я знаю что сделать со злополучными четырьмя икейскими рамками которые нам ненавязчиво подсунули на новоселье :)
Единственно, очень неудобно читать с телефона скриншоты мессенджера. Неужели нельзя было просто текстом оформить переговоры?
man grep (grep -rl 'pattern' /path/to/files)
Поставил клементину, в ней такой хрени не наблюдается. Хотя может быть это я такой невезучий.
Как в том анекдоте: приходят к китайцам заказчики и спрашивают: за сколько дом построите. Те им — за месяц и два миллиона. Приходят к туркам, те им — за два месяца и миллион. Приходят к русским, те им: за два месяца и три миллиона. Заказчики удивляются, а что типо так дорого и долго. Те им: ну как, миллион туркам чтоб построили, миллион нам, ну и вам миллион.