Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 38
Мне очень жаль говорить это, но пользователь, который использует один и тот же пароль для доступа к разным сайтам, подвергает администрацию каждого такого сайта значительному искушению, пред которым способны устоять только богобоязненные и (или) высоконравственные администраторы.
Я использую несколько паролей, но ставить для каждого сайта разный — слишком неудобно.
Впрочем, вы натолкнули меня на хорошую мысль. На всех сайтах я для начала буду регистрироваться под ложным паролем и менять его на нормальный через несколько дней пользования сервисом.
Впрочем, вы натолкнули меня на хорошую мысль. На всех сайтах я для начала буду регистрироваться под ложным паролем и менять его на нормальный через несколько дней пользования сервисом.
а кого вы обманите таким способом?))
Нужно просто придумать какой-нибудь мнемонический способ генерации паролей к каждому сайту на основе, например, его доменного имени. Тогда запоминать ничего не придётся — зная домен и алгоритм, можно всегда воспроизвести пароль. При этом для каждого сайта он будет индивидуальный.
openssl или md5 как правило всегда есть под рукой.
$ echo «domain.zone+mysecret» | openssl dgst -md5
4b9f212b362e443aa81ea8292194f30e
получается
1) можно использовать один секрет не опасаясь вышеописанной тов. Мицголом этической проблемы
2) сам пароль достаточно длинный для взлома «влоб»
3) при необходимости можно подмешать дополнительную соль
$ echo «domain.zone+mysecret» | openssl dgst -md5
4b9f212b362e443aa81ea8292194f30e
получается
1) можно использовать один секрет не опасаясь вышеописанной тов. Мицголом этической проблемы
2) сам пароль достаточно длинный для взлома «влоб»
3) при необходимости можно подмешать дополнительную соль
А еще администраторы, которым пользователи собственного ресурса дороже сомнительной выгоды от реализации базы e-mail или подобных способов заработка…
В большинстве нормальных скриптов пароль хэшируется в какой-нибудь MD5 с salt, так что его фиг расшифруешь. Можно конечно поставить изменить скрипт и преехватыватьт пароль при вводе, но никакой адекватный администратор серьёзного сервиса это делать не станет. Да и для чего можно использовать сколько-то чьих-то паролей? Желающие поиграть в хакеров могут спокойно и открыто купить долларов за 40 тысячу профилей Вконтакта ломанных с фэйков, брута и пр. Это несколько разумней, нежели подставлять свой сервис.
> В большинстве нормальных скриптов пароль хэшируется в какой-нибудь MD5 с salt
Это понятно. Речь идет о другой ситуации, когда человек не хочет держать базу уникальных паролей для каждого сайта, а дарить свой «дежурный» пароль в открытом виде (не важно что с ним дальше сделает веб приложение) каждому встречному не хочется. В таком случае решение как раз хэшировние на клиентской стороне с добавлением соли, уникальной для каждого домена. Компромиссный вариант между безопасностью и удобством.
Это понятно. Речь идет о другой ситуации, когда человек не хочет держать базу уникальных паролей для каждого сайта, а дарить свой «дежурный» пароль в открытом виде (не важно что с ним дальше сделает веб приложение) каждому встречному не хочется. В таком случае решение как раз хэшировние на клиентской стороне с добавлением соли, уникальной для каждого домена. Компромиссный вариант между безопасностью и удобством.
Администрация ресурса должна использовать алгоритмы для шифрования пользовательских данных, вообще-то. А теперь посмотрите сколько вокруг сайтов — для каждого помнить пароль — это слишком. А если использовать менеджер паролей есть вероятность потери всех паролей разом + невозможность использовать эти сайты на других машинах.
а зачем поддавать себя искушению и хранить пароли? обычно хранят MD5 пароля и этого достаточно для авторизации.
Да кто ж это будет рыться в многотысячной базе, выискивая пользователя, который пользуется нужным ресурсом и пытаться совместить как логин, так и пароль? Всякое бывает, конечно, но это извращение похлеще БДСМа.
Моя знакомая ставила на многие сайты разные пароли, но они были хорошими, запоминающимися и были наподобие «dsgbljhfcsfzatz».
Моя знакомая ставила на многие сайты разные пароли, но они были хорошими, запоминающимися и были наподобие «dsgbljhfcsfzatz».
А чем вам BDSM не нравится? Вот же в интересах — «ролевые игры» :-)
На самом деле, если реально надо, то сопоставить совсем нетрудно.
При наличии базовой инфы о человеке можно найти его по логину. Емейл, или какое либо из контактный полей типа аськи тоже подойдёт. Затем по айпишнику можно выловить всех его потенциальных мультов. Джоном вскрыть хеши (шанс на то, что у чувака не просто одинаковые, но и простые пароли огромен).
При наличии базовой инфы о человеке можно найти его по логину. Емейл, или какое либо из контактный полей типа аськи тоже подойдёт. Затем по айпишнику можно выловить всех его потенциальных мультов. Джоном вскрыть хеши (шанс на то, что у чувака не просто одинаковые, но и простые пароли огромен).
напишите о сайте админам фриланс.ру и веблансер.ру. Думаю им надо знать в первую очередь. Они и рассылку тогда смогут быстро прикрыть и всех своих пользователей предупредить
Быстро закрыли. Не успели даже посмотреть что там :)
Мы еще неделю назад добавили этот сайт в свой спам-лист. А вчера написали в абуз-хостеру.
Вот ответ от хостера:
Мы передали Ваш запрос клиенту.
Если реакции не последует в течение 24 часов, то обслуживание сайта будет приостановлено.
Вот ответ от хостера:
Мы передали Ваш запрос клиенту.
Если реакции не последует в течение 24 часов, то обслуживание сайта будет приостановлено.
Какой то хостер плохой честное слово, да это и не выход, в чем проблемма просто не попадаться на такое да и для этого есть фишинг базы, номральный хостер никогда не закроет сайт из-за таково пустяка, и да если не нравиться фишинг базы есть WOT при переходе меня сразу предупредили www.mywot.com/ru/scorecard/ellance.ru вот смотрим на репутацию и пользователей…
Отлично, сайт закрыт!
Банально заебали спамить, прошу простить за тарабарский.
может у кого скриншот остался?
по названию топика я было подумал, что это поддельная биржа труда, на которой размещаются поддельные заказы от поддельных заказчиков оО
Справедливость будет тогда, когда человека, который зарегал домен, оштрафуют или посадят.
А то, что хостер закрыл сайт — не мешает этому козлику открыть десятко подобных сайтов на других хостингах.
А то, что хостер закрыл сайт — не мешает этому козлику открыть десятко подобных сайтов на других хостингах.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Ellance — поддельная биржа труда