где хостинг, а где pci dss для банковских карточных данных...
23.01.2020, 21:58
Это походу Hostinger, он никогда не отличался серьезностью.
P.S. и так то компания не украинская,а литовская
P.S. и так то компания не украинская,а литовская
Сама новость https://www.ukraine.com.ua/news/hosting/povishenie-urovnya-bezopasnosti-pochti.html
Комментарии жгут не меньше.
Комментарии жгут не меньше.
"имея хеш и способ его получения" способ получения не всегда известен, доступ к базе данных не гарантирует доступа к коду который её использует. не зная алгоритма использования хеш функции и/или соли(hash sals) процент подобранных паролей может и вовсе равнятся нулю. также у перебора(bruteforce) есть два важных критерия 1) время 2) хардварные ресурсы для перебора. допустим мы готовы потратить на перебор 1 месяц, если брать хеш функцию md5 и хеш функцию используемую в wordpress(sha1 если не ошибаюсь), то время на перебор будет колосально отличаться, в итоге банальное использование sha1 даст выгоду в том плане что взломщик сможет перебрать в разы меньше паролей. опять же если вдаваться в подробности, то процент удачно подобранных паролей, при равных факторах(хеш функция/алгоритм использования хеш функции/мощности железа/времени для перебора), будет значительно отличаться если сравнивать например форум любителей котят и какой нибудь habr или lor.
Если утекла база - утечет и соль. Надеяться на то, что соль не утечет - это security by obscurity, а если уж ступил на этот путь, то лучше вообще свой алгоритм хеширования навелосипедить - дело нехитрое, а потенциальный мамкин хакер обалдеет.
Прост обычно утечка паролей означает утечку базы, а утечка базы это такой пиздец сам по себе, что о паролях думать уже как бы и смысла нет.
Я не призываю отказываться от шифрования паролей - это копеечная операция, которая считается признаком хорошего тона. Я говорю, что смысла от нее немного - поможет лишь тем, у кого сложный пароль, что тоже неплохо.
Прост обычно утечка паролей означает утечку базы, а утечка базы это такой пиздец сам по себе, что о паролях думать уже как бы и смысла нет.
Я не призываю отказываться от шифрования паролей - это копеечная операция, которая считается признаком хорошего тона. Я говорю, что смысла от нее немного - поможет лишь тем, у кого сложный пароль, что тоже неплохо.
"Если утекла база - утечет и соль." я уже говорил что не обязательно =)
1) адекватные люди не хранят соль там же где и хеш
2) база не обязательно находится на том же сервере где и сервис, который её использует
3) наличие данных хранящихся в базе не обязательно как то поможет в получение доступа к сервису, который их использует и где хранится соль
ээээ не хочу показаться грубым, но ты только что написал в_одном_посте "Надеяться на то, что соль не утечет - это security by obscurity" и тут же "то лучше вообще свой алгоритм хеширования навелосипедить - дело нехитрое, а потенциальный мамкин хакер обалдеет", упорот штоли)?
1) адекватные люди не хранят соль там же где и хеш
2) база не обязательно находится на том же сервере где и сервис, который её использует
3) наличие данных хранящихся в базе не обязательно как то поможет в получение доступа к сервису, который их использует и где хранится соль
ээээ не хочу показаться грубым, но ты только что написал в_одном_посте "Надеяться на то, что соль не утечет - это security by obscurity" и тут же "то лучше вообще свой алгоритм хеширования навелосипедить - дело нехитрое, а потенциальный мамкин хакер обалдеет", упорот штоли)?
"то лучше вообще свой алгоритм хеширования навелосипедить" не учи людей плохому! не надо велосипедить свои алгоритмы хеширования, я уже написал в прошлом посте "не зная алгоритма использования хеш функции", нужно хеш функцию использовать необычно, саму хеш функцию изобретать не надо =)
Место хранение не принципиально, хотя чаще всего это все-таки база данных. Главное как ты их хранишь: 1) просто текстом, т.е. как ты ввел так и сохранили в БД, при этом любой кто получит доступ к базе может узнать твой пароль, 2) твой пароль обрабатывается специальным алгоритмом и в результате получается другая строка(хэшированная) и уже она кладется в базу, а когда ты логинишься введенный тобой пароль так же хэгируется и проверяется на соответствие той что в базе. Во 2м случае, если алгоритм хэширования не имеет уязвимости, узнать твой настоящий пароль нереально.
У меня хуилион паролей на ukraine.com.ua От FTP, от баз данны, от почтовых ящиков, SSH... На десятках проектов. И все они сгенерированы автоматом. Их решение в пользу безопасности это блядь пиздец!!!! Хорошо, что пока только в отношении почты
никуда она не ушла
Чтобы написать коммент, необходимо залогиниться
