У меня на hostink.ru тоже виртуальный сервер для внутренних нужд имеется.
Выбирался в т.ч. по географическому принципу: там стоит часть системы мониторинга, которая не должна стоять в одном ДЦ с продакшеном.
Цена меня устраивает, по качеству: да, с сетью тоже проблемы периодически бывают, сервер иногда зачем-то перезагружается, есть баги в панели управления, лично мне не приходит уведомление о том, что баланс подходит к нулю.
Но ИМХО вполне стоит своих денег, саппорт отзывчивый (если через helpdesk, телефон не отвечает) — мне настраивали «персональную конфигурацию» ВМ в xen'е.
Вообще, складывается впечатление, что его админит один человек (он же руководитель и т.д.), есть пара человек на первой лини саппорта.
Рекламировать для серьёзного продакшена не буду, но для каких-то других нужд не плохо.
Кстати, у «баранки» есть система обратной связи — если водитель едет слишком быстро, руль начинает реагировать, так что водителю приходится снизить скорость.
М.б. вопрос не к автору топика, но как выглядит эта «система обратной связи»?
Идёшь такой себе на обгон и вдруг руль начинает «реагировать»…
И по ТТХ ничего не понятно. До 600км — это как-то ни о чём (в плане информации об автомобиле).
ИМХО если факт публикации алгоритма шифрования / хэширования или чего-либо другого относящегося к криптографии способен нанести ущерб безопасности, то это плохой алгоритм (но при этом допускаю, что в определённых ситуациях закрытый алгоритм поможет избежать дополнительных проблем). С моей точки зрения, взломщику больше усложнит жизнь, например, скорость генерации хэшей (при применении соответствующих алгоритмов).
Ничем… Или должен быть очень хитрый алгоритм (который фактом своего существования как-то защищает открытый пароль).
Во-первых, есть куча opensource проектов, где алгоритм соления известен всем.
Во-вторых, имея регистрацию в системе, жэш и соль пароля, я с определённой вероятностью (для большинства проектов) могу раскрыть алгоритм соления.
И самое главное: соление не гарантирует взломоустойчивость, оно лишь усложняет (замедляет) взлом.
По сравнению со скоростью перебора солёных паролей, скорость изучения алгоритма соления ничтожно мала.
> Естественно, лучше айца хранить по отдельным корзинам
Это бесспорно :)
> например, в серверном коде соль
Одна соль для ВСЕХ пользователей? Она тогда резко теряет смысл, разве нет?
Или вы про то, что её как-то динамически генерировать для каждого пользователя?
> В том же линукс прямой доступ к shadow имеет телько root, остальные делают запросы через сервис.
Ну так и в вебе, вроде, хэши не публичная инфа. Речь идет про компрометацию системы или хэшей.
ИМХО потеря исходников не грозит ничем (при условии, что прочитав исходники нельзя найти дыры в системе).
Хэши паролей можно потерять по-разному: может сисадмин (или какой-то другой сотрудник) «подсмотреть», могут бэкап сдёрнуть, могут доступ на сервер получить (причём при правильно организации прав доступа сам факт доступа к серверу ещё не означает фатальную угрозу). В крайнем случае, если даже получен root-доступ, вы можете быстро реальную систему перекинуть на другой сервер при этом пользователи не пострадают (но, конечно, лучше попросить сменить пароли к системе).
Конечно, если вы не наблюдаете за системой и она долгое время живёт «автономно», то ничего хорошего в доступе неавторизованного лица нет — но это уже не проблема хранения паролей / соли.
Тогда вопрос номер раз: где именно её прятать?
Вопрос номер два: в каких продуктах такое есть?
Всякие друпалы не берём. В OTRS, по-моему, соль рядом с хэшем лежит. В Linux («теневые пароли») пароль солят, по-моему, то ли uid/guid'ом, то ли логином. И т.д.
Да и при условии, что для каждого пароля собственная соль (а так и должно быть) таблицу придётся строить для каждого пароля (о чём, кстати, во всеми нелюбимой википедии написано). В том и смысл соли: не дать гарантию, что пароль невозможно подобрать, а максимально усложнить подбор.
Где хранить соль? Не опасно ли хранить ее в открытом виде? Можно ли поместить соль в код и ее использовать для всех паролей?
Все, что может быть украдено, будет украдено. Если вы уверены в защищенности кода, то свой алгоритм хеширования поможет лучше соли. Помните — соль не защищает один конкретный хеш от перебора, поэтому нет цели прятать соль — она хранится в открытом виде рядом с хешем. Задача соли — спасти набор украденных хешей, «удлинняя» пароль, а сделать она это может только в том случае, если у каждого хеша будет своя соль. Поэтому мы храним соль рядом с хешем и для каждого хеша генерируем свою уникальную последовательность символов соли.
Внутри зданий можно по уровню шума определять количество людей в разных частях помещения и на основе этих данных корректировать работу систем вентиляции и кондиционирования, составлять акустические карты помещений, помогающие более рационально спланировать реконструкцию и оптимизировать эксплуатацию здания.
На первый взгляд, мне показалось, что rubyrabbit и Мендель разыгрывают сценку «гражданин — чиновник».
Господин Мендель, Вы же, надеюсь, никак не относитесь к РОИ?
У меня на hostink.ru тоже виртуальный сервер для внутренних нужд имеется.
Выбирался в т.ч. по географическому принципу: там стоит часть системы мониторинга, которая не должна стоять в одном ДЦ с продакшеном.
Цена меня устраивает, по качеству: да, с сетью тоже проблемы периодически бывают, сервер иногда зачем-то перезагружается, есть баги в панели управления, лично мне не приходит уведомление о том, что баланс подходит к нулю.
Но ИМХО вполне стоит своих денег, саппорт отзывчивый (если через helpdesk, телефон не отвечает) — мне настраивали «персональную конфигурацию» ВМ в xen'е.
Вообще, складывается впечатление, что его админит один человек (он же руководитель и т.д.), есть пара человек на первой лини саппорта.
Рекламировать для серьёзного продакшена не буду, но для каких-то других нужд не плохо.
М.б. вопрос не к автору топика, но как выглядит эта «система обратной связи»?
Идёшь такой себе на обгон и вдруг руль начинает «реагировать»…
И по ТТХ ничего не понятно. До 600км — это как-то ни о чём (в плане информации об автомобиле).
Другой вопрос в том, что значит «соль спрятана в исходниках скрипта»? Одна соль на все пароли? Такого не должно быть.
Во-первых, есть куча opensource проектов, где алгоритм соления известен всем.
Во-вторых, имея регистрацию в системе, жэш и соль пароля, я с определённой вероятностью (для большинства проектов) могу раскрыть алгоритм соления.
И самое главное: соление не гарантирует взломоустойчивость, оно лишь усложняет (замедляет) взлом.
По сравнению со скоростью перебора солёных паролей, скорость изучения алгоритма соления ничтожно мала.
Это бесспорно :)
> например, в серверном коде соль
Одна соль для ВСЕХ пользователей? Она тогда резко теряет смысл, разве нет?
Или вы про то, что её как-то динамически генерировать для каждого пользователя?
> В том же линукс прямой доступ к shadow имеет телько root, остальные делают запросы через сервис.
Ну так и в вебе, вроде, хэши не публичная инфа. Речь идет про компрометацию системы или хэшей.
Хэши паролей можно потерять по-разному: может сисадмин (или какой-то другой сотрудник) «подсмотреть», могут бэкап сдёрнуть, могут доступ на сервер получить (причём при правильно организации прав доступа сам факт доступа к серверу ещё не означает фатальную угрозу). В крайнем случае, если даже получен root-доступ, вы можете быстро реальную систему перекинуть на другой сервер при этом пользователи не пострадают (но, конечно, лучше попросить сменить пароли к системе).
Конечно, если вы не наблюдаете за системой и она долгое время живёт «автономно», то ничего хорошего в доступе неавторизованного лица нет — но это уже не проблема хранения паролей / соли.
Вопрос номер два: в каких продуктах такое есть?
Всякие друпалы не берём. В OTRS, по-моему, соль рядом с хэшем лежит. В Linux («теневые пароли») пароль солят, по-моему, то ли uid/guid'ом, то ли логином. И т.д.
Да и при условии, что для каждого пароля собственная соль (а так и должно быть) таблицу придётся строить для каждого пароля (о чём, кстати, во всеми нелюбимой википедии написано). В том и смысл соли: не дать гарантию, что пароль невозможно подобрать, а максимально усложнить подбор.
=> я никогда не задумывалась о том, что этой песней может кто-то владеть…
В библиотеке не работает :(
А что это такое? Можно какую-нибудь ссылочку?
На первый взгляд, мне показалось, что rubyrabbit и Мендель разыгрывают сценку «гражданин — чиновник».Господин Мендель, Вы же, надеюсь, никак не относитесь к РОИ?
Ёлки, я, чуть было, не повёлся…