Их тоже с лёгкостью (ок, с той или иной степенью легкости) может заставить творить что захочет местное правительство.
А вы статью-то вообще прочитали? Она как раз о том, что "частный ЦС" отказался доверять не то что государственным сертификатам, а сертификатам компании замеченной в связях "с компаниями, у которых обнаружились связи с разведывательным сообществом США".
Попробуйте осознать разницу между "бесит" и "очень не нравится". Статья не про то, как полюбить "школоту в трамвае" и "собачье говно под ногами". Статья про то, как относиться к этому так, чтобы это меньше мешало собственной эмоциональной жизни.
Потому, что сейчас стоимость технических средств для массовой рассылки нелинейна. Организовать рассылку на несколько тысяч адресов и на миллион адресов — почти одни и те же затраты, ну разве что времени побольше займёт. А если за приём сообщения цена будет фиксирована, то и стоимость массовой рассылки выростет очень существенно, а значит и существенно снизится её привлекательность.
> 5-символьный пароль легко подбирается брутфорсом
При размере соли, прилетающей с сервера, символов в 20, пятисимвольный пароль превращается в 25. И соль на каждую попытку разная. Брутфорс уже не прокатит.
HTTPS в общем случае не исключает man-in-the-middle. В корпоративных сетях, к примеру. Или при принудительной установке в систему доверенных корневых сертификатов.
Первую половину передавать в открытом виде, а на сервере хранить только её хэш. Тогда получив доступ к таблице, хакер не будет знать первую половину пароля.
Вторую половину передавать описанным способом, для исключения перехвата.
Тогда для взлома потребуется и доступ к таблице users, и перехват первой половины пароля.
Поглядите реализацию по ссылке. Соль генерится каждый раз заново при отображении формы, и протухает или при отправке формы, или по таймауту. В любом случае, соль — одноразовая.
Угу, да. Просто выписывается платёжка в банк на миллиард долларов. Или даже через интернет-банк. Или может вообще СМС-банкингом. И никто ничего не замечает. Какой-то миллиард долларов, фигня.
Статья о том, на какой недостижимый ранее технический уровень "поднялись" статьи на Хабре.
Печаль...
А вы статью-то вообще прочитали? Она как раз о том, что "частный ЦС" отказался доверять не то что государственным сертификатам, а сертификатам компании замеченной в связях "с компаниями, у которых обнаружились связи с разведывательным сообществом США".
Может стоило прочитать первую часть и просто забить на остальные, если продолжение не нужно лично вам?
А уж автор как-нибудь сам определится с его отношением к мнению сообщества.
Разве кто-то призывал не признавать проблему "школоты в трамвае"?
И уж точно ваше "бешение" по поводу это проблемы точно никак не приближает её решение. А вот вам лично - очень даже мешает жить.
Попробуйте осознать разницу между "бесит" и "очень не нравится". Статья не про то, как полюбить "школоту в трамвае" и "собачье говно под ногами". Статья про то, как относиться к этому так, чтобы это меньше мешало собственной эмоциональной жизни.
И тогда https-трафик будет читаться не намного сложнее http.
Не совсем корректно. Если хешированная часть долетела до сервера, то соль устараеет, и перехваченные данные становятся бесполезными.
При размере соли, прилетающей с сервера, символов в 20, пятисимвольный пароль превращается в 25. И соль на каждую попытку разная. Брутфорс уже не прокатит.
Первую половину передавать в открытом виде, а на сервере хранить только её хэш. Тогда получив доступ к таблице, хакер не будет знать первую половину пароля.
Вторую половину передавать описанным способом, для исключения перехвата.
Тогда для взлома потребуется и доступ к таблице users, и перехват первой половины пароля.
Даже в уже древнем md5 изменение одного бита в исходных данных вело к полному несовпадению хеша.
На MicroOLAP Ethersensor вроде похоже.
:)
:)