А зачем пытаться "тыкаться" в "версии" страницы? Если blabla-01-01-2 существует, а blabla-01-01-2 нет, то ... наверное нет смысла дальше пытаться? Или есть какие-то edge cases (может удалили администраторы?) или... тип страница пропала каким-то образом?
Я ни в коем случае не хочу обидеть, я хочу понять.
Вы же должны понимать, что всех на три категории не поделить (а если и поделить, то как, по мифическому проценту ... чего?). +у разных контор разные требования к тайтлам. Видите, у вас еще +1 понимание сеньора, т.е. кол-во "подтонов" стремится к бесконечности. Так что считаю этот вопрос странным :)
А не собирать с миру по нитке из интернета, внося потом значительные правки на основании комментариев
Все мы учимся. Ваш комментарий импрувнул мою сеньористость на 0.013% (я три часа высчитывал процент!).
И у меня не складывается картинка, не получается рационализировать это
Что ж, похоже и у вас есть векторы для роста :) Если напишете об этом статью - дайте пожалуйста знать, с удовольствием почитаю ваше исследование и выводы ;-)
Не знаю где как, но в РНР даже джуна, если он заикнется про md5, сразу гонят взашей
А вам не кажется, что тут не от языка и технологии зависит, а от собеседующего? Или думаете, что в PHP это почему-то более типовая проблема, чем где-либо еще?
а не про то, надо ли солить пароль для хэша.
Вопрос про "надо ли солить" в разделе для Junior, не очень понятно почему у вас это вопрос уровня Senior
При этом мидл тоже облажался, упомянув SHA-256.
Чем облажался? Такой алгоритм не существует?
Причем облажался дважды — упомянув его рядом с PBKDF2 и bcryptPBKDF2 и bcrypt.
Sha-256 упомянут с PBKDF2 и bcrypt не у Middle, а у Senior.
То есть понимание того, чем принципиально отличаются эти алгоритмы, и, как следствие — ключевой проблемы хеширования паролей у автора отсутствует.
Принято, подредактировал статью.
Это вообще чушь какая-то. Откуда это в статью притащили? Рекомендации журнала "Ксакеп"?
Сеньор должен отличать виды солений и перчений, к этому и вопрос был. Такая соль не бесполезна - она а) уменьшает шанс брутфорса и б) убирает возможность использование радужных таблиц
Да, идеальный аппы - в идеальных мирах, а по факту - грабли на граблях. Но в целом это реальна картина, что тут поделать Пока нет стандартизации и каждый пилит свой велосипед - будут пользователи колоться как ежи и есть этот кактус, ибо лучшего варианта на горизонте не видно.
Да, тут на каждый пункт по статье можно, да и самих пунктов еще накидать, но уж на сколько хватило знаний и времени :) В целом, со всем согласен что написали.
Ну скажем так - параноики Телеграмом не пользуются :) Как и смартфонами, как и .... ах да, где та грань-то? :) Конечно же те, кто не хочет вводить свой телефон (и я их понимаю) - приобретают просто левые симки. Но суть такова, что если вас захотят отследить - вас отследят. Рано или поздно. Вопрос лишь в том, насколько оппоненту это нужно, тут и идёт игра "перетяни канат". Мне кажется, анонимность в наше время это просто миф. Можно обойти 99.9% кейсов по деанонимизации, но оставшийся процент, который входит в "эдж кейз" всё равно вас "убьёт", просто шанс этого очень мал. Т.к. стойкость анонимизации в самом слабом звене, а этих звеньев прилично - помнить обо всех нормальному человеку просто нереально. Только, если от этого зависит ваша жизнь и вы точно знаете, что если дадите осечку - вашей жизни будет угрожать опасность в том или ином виде. Так что тут вопрос меры анонимизации.
Вспоминаю отчёт агента в расследование ФБР о поимке владельца SilkRoad и на чём он "провалился" - хочется просто улыбнуться.
Да, пожалуй соглашусь. Вектор атаки до авторизации не очень ясен в рамках csrf, кроме описанной вами. Подумалось - а интересная идея "подставить" пользователя, опубликовав что-то запрещенное с его айпишника. Но это если креды знаешь, конечно.
> Существуют огромные базы сломанных, реально существующих паролей
Интересно, такое API кто-то предоставляет сейчас на рынке?
Да, про соц инженерию и восстановление - хорошие поинты. Кроссчек - вы имеете ввиду, что сначала должен прислаться емейл со ссылкой на изменение пароля?
Да, опечатался, сорь. Хех, да, вы правы ) это странно, конечно)
А зачем пытаться "тыкаться" в "версии" страницы? Если blabla-01-01-2 существует, а blabla-01-01-2 нет, то ... наверное нет смысла дальше пытаться? Или есть какие-то edge cases (может удалили администраторы?) или... тип страница пропала каким-то образом?
Открывается credential stuffing вектор атаки, так что вполне себе опасная дыра.
Принято, добавил. Спасибо
Вы же должны понимать, что всех на три категории не поделить (а если и поделить, то как, по мифическому проценту ... чего?). +у разных контор разные требования к тайтлам. Видите, у вас еще +1 понимание сеньора, т.е. кол-во "подтонов" стремится к бесконечности. Так что считаю этот вопрос странным :)
Все мы учимся. Ваш комментарий импрувнул мою сеньористость на 0.013% (я три часа высчитывал процент!).
Что ж, похоже и у вас есть векторы для роста :) Если напишете об этом статью - дайте пожалуйста знать, с удовольствием почитаю ваше исследование и выводы ;-)
А вам не кажется, что тут не от языка и технологии зависит, а от собеседующего? Или думаете, что в PHP это почему-то более типовая проблема, чем где-либо еще?
Вопрос про "надо ли солить" в разделе для Junior, не очень понятно почему у вас это вопрос уровня Senior
Чем облажался? Такой алгоритм не существует?
Sha-256 упомянут с PBKDF2 и bcrypt не у Middle, а у Senior.
Принято, подредактировал статью.
Прогуглите md5 length extension attack. Можно еще сюда посмотреть : https://blog.skullsecurity.org/2012/everything-you-need-to-know-about-hash-length-extension-attacks
Нет, в мирное время.
Жаль! :)А расскажите подробнее в чём нюанс
Сеньор должен отличать виды солений и перчений, к этому и вопрос был. Такая соль не бесполезна - она а) уменьшает шанс брутфорса и б) убирает возможность использование радужных таблиц
Да, идеальный аппы - в идеальных мирах, а по факту - грабли на граблях. Но в целом это реальна картина, что тут поделать Пока нет стандартизации и каждый пилит свой велосипед - будут пользователи колоться как ежи и есть этот кактус, ибо лучшего варианта на горизонте не видно.
Добавил в статью пометочку про JWT, но если так подумать - JWT и есть в том числе и CSRF токен, поэтому да, проблема решается сама собой. 👍
Подловили, подловили, вопросы отсутствуют :-D Поправил, спасибо.
Да, паззл складывается в голове. Спасибо за разъяснения!
Да, тут на каждый пункт по статье можно, да и самих пунктов еще накидать, но уж на сколько хватило знаний и времени :) В целом, со всем согласен что написали.
Ну скажем так - параноики Телеграмом не пользуются :) Как и смартфонами, как и .... ах да, где та грань-то? :) Конечно же те, кто не хочет вводить свой телефон (и я их понимаю) - приобретают просто левые симки. Но суть такова, что если вас захотят отследить - вас отследят. Рано или поздно. Вопрос лишь в том, насколько оппоненту это нужно, тут и идёт игра "перетяни канат". Мне кажется, анонимность в наше время это просто миф. Можно обойти 99.9% кейсов по деанонимизации, но оставшийся процент, который входит в "эдж кейз" всё равно вас "убьёт", просто шанс этого очень мал. Т.к. стойкость анонимизации в самом слабом звене, а этих звеньев прилично - помнить обо всех нормальному человеку просто нереально. Только, если от этого зависит ваша жизнь и вы точно знаете, что если дадите осечку - вашей жизни будет угрожать опасность в том или ином виде. Так что тут вопрос меры анонимизации.
Вспоминаю отчёт агента в расследование ФБР о поимке владельца SilkRoad и на чём он "провалился" - хочется просто улыбнуться.
Да, пожалуй соглашусь. Вектор атаки до авторизации не очень ясен в рамках csrf, кроме описанной вами. Подумалось - а интересная идея "подставить" пользователя, опубликовав что-то запрещенное с его айпишника. Но это если креды знаешь, конечно.
Резонно, принято. Правда в старых браузерах оно не работает, но сколько их там осталось... Добавлю в статью, спасибо.
> Существуют огромные базы сломанных, реально существующих паролей
Интересно, такое API кто-то предоставляет сейчас на рынке?
Да, про соц инженерию и восстановление - хорошие поинты. Кроссчек - вы имеете ввиду, что сначала должен прислаться емейл со ссылкой на изменение пароля?
Да, вы правы. Имел ввиду 2048RSA vs 128 битный симметричного
Решать-то конечно не должен (за редким исключением, если он и есть овнер сервиса), однако понимать это полезно каждому разработчику.
Поздравляю, вы приняты в профессиональные формошлёпы! Конечно, главные принципы-то плюс минус везде похожие, где есть клиент-серверное взаимодействие.