Для меня пример классического облака — EC2.
Да, можно запустить нужную железку и заплатить только по факту.
Цена — вероятность того, что её запустить не получится, что её рубанёт в произвольный момент, и никто ничего тебе не должет.
Все крупные проекты кто живут в облаках живут по принципу «в любой момент может отвалиться половина нод».
Судя по всему, сейчас оно не так сильно и тормозит, всё-таки компы шустрее стали и js движки тоже.
Стоит просто взять и попробовать. Оптимальным будет килобит и SHA256.
Если будут тормоза — тогда уже посмотреть на полкилобита и SHA224.
Опускаться ниже полукилобита не имеет смысла из соображений безопасности.
Я видел это, потому и говорю «убоговат» а не «совсем убог» :) Всё-таки, это еще не совсем «оно». По сравнению с нативным кодом отстаёт на несколько десятичных порядков.
Хранение просто хеша от пароля тоже не радостный вариант, разве что солёный.
Я лично не раз использовал md5(pass) из чужой бд для получения pass :)
И еще один момент — SRP позволят аутентифицировать пользователя безопасно и просто, в то время как SSL требует для этого сертификаты (во всяком случае, пока OpenSSL+SRP не используются браузерами).
То есть я за выбор SRP+SSL с Fallback до простой формы логина (поверх всё того же SSL) если требуется.
Рекоммендую почитать RFC2945 — авторизация без SSL, при которой на сервере вообще не хранится пароль от пользователя, и не передаётся никогда — ни при авторизации, ни при регистрации, и прослушивание не позволяет получить информации, достаточной для доступа до системы.
Я реализовывал это на JS + PHP, и даже работало :) одна проблема, тормозило тогда.
Возможно, на современных JS движках будет работать быстро.
Если народу будет интересно — обнародую, а может даже доведу до ума — ибо самое простое решение это flash/java аутентификатор, и fallback на js если эти два недоступны.
Было бы что-нибудь вменяемое для отражения динамических графиков в реалтайме под pygtk :(
Вынужден пользовать matplotlib, который радует падениями в недрах pango, gtk, и double malloc free.
Да, можно запустить нужную железку и заплатить только по факту.
Цена — вероятность того, что её запустить не получится, что её рубанёт в произвольный момент, и никто ничего тебе не должет.
Все крупные проекты кто живут в облаках живут по принципу «в любой момент может отвалиться половина нод».
Стоит просто взять и попробовать. Оптимальным будет килобит и SHA256.
Если будут тормоза — тогда уже посмотреть на полкилобита и SHA224.
Опускаться ниже полукилобита не имеет смысла из соображений безопасности.
Я лично не раз использовал md5(pass) из чужой бд для получения pass :)
И еще один момент — SRP позволят аутентифицировать пользователя безопасно и просто, в то время как SSL требует для этого сертификаты (во всяком случае, пока OpenSSL+SRP не используются браузерами).
То есть я за выбор SRP+SSL с Fallback до простой формы логина (поверх всё того же SSL) если требуется.
Ради интересу советую на JS закодировать/раскодировать простенький запрос на 15-20К текста…
Я реализовывал это на JS + PHP, и даже работало :) одна проблема, тормозило тогда.
Возможно, на современных JS движках будет работать быстро.
Если народу будет интересно — обнародую, а может даже доведу до ума — ибо самое простое решение это flash/java аутентификатор, и fallback на js если эти два недоступны.
Вынужден пользовать matplotlib, который радует падениями в недрах pango, gtk, и double malloc free.