Полная Версия: Пуд соли
Минут 10 на все про все, но дело не в этом, дело в том, что это лишь увеличение количества итераций, а преподнесено было как мега фича, никаких особых плюсов перед обычными методами (тем же crypt)
Где про мегафичу? Эта функция вообще мирно лежит в моем бложике, есть пить не просит. Вынули её сюда, обосрали со всех сторон, а я еще и виноват...
Какие плюсы? Я не писал про плюсы. Но и минусов нету. Фишка функции в скрытом алгоритме, и если это не понравилось автору статейки в википедии, то это еще не значит, что сей подход не имеет право на существование.
Еще раз, для непонятливых. Этой функции заглаза достаточно, чтобы уберечь пароли от взлома на среднестатистическом ресурсе. Если это серьёзный ресурс, банк к примеру или другая финансовая система, то там и crypt() совершенно недостаточно. Есть другие, в тысячи раз надежнее, способы аутентификации.
Так что не вопрос, я же не против crypt(). Но писать, что моя функция несостоятельна и статья вредна - просто распальцовка. Куда мне, тут люди целую википедию пишут!!!
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Какие плюсы? Я не писал про плюсы. Но и минусов нету. Фишка функции в скрытом алгоритме, и если это не понравилось автору статейки в википедии, то это еще не значит, что сей подход не имеет право на существование.
Еще раз, для непонятливых. Этой функции заглаза достаточно, чтобы уберечь пароли от взлома на среднестатистическом ресурсе. Если это серьёзный ресурс, банк к примеру или другая финансовая система, то там и crypt() совершенно недостаточно. Есть другие, в тысячи раз надежнее, способы аутентификации.
Так что не вопрос, я же не против crypt(). Но писать, что моя функция несостоятельна и статья вредна - просто распальцовка. Куда мне, тут люди целую википедию пишут!!!
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Twin, тебя задевает тот факт, что человек знает больше тебе? Или то, что он ставит под сомнение твои уроки? Или почему ты так маниакально продолжаешь отстаивать свою, в данном случае (сделал все, чтобы выделить главную мысль), неправильную точку зрения.
_____________
Свои мозги еще никто не отменял.
Телепатов нету.
_____________
Свои мозги еще никто не отменял.
Телепатов нету.
Потому что не считаю свою точку зрения на данную проблему (тоже выделил) неверной.
Если она отличается от точки зрения человека, пусть даже знающего больше меня в данной области (не стану спорить), это не факт, что она не верная.
Меня не убедили теоретические доводы вредности моей функции. А именно так она была здесь охарактеризована. Неортогональность в программировании я считаю плюсом, а по сему буду продолжать строить велосипеды. Пусть даже я соглашусь, что crypt() предпочтительнее. Пусть. Но это совсем не значит, что это единственный вариант. Ведь даже ваших любимых фреймворков и то великая куча. Если сейчас какой-нибудь ортодокс напишет статью в вики, что Yii - круто, а Кохана - говно, это же не значит, что все кинутся менять фреймворк. Это просто чьё то частное мнение.
Принципиального отличия функций я так и не увидел. Ну если уж сильно параноиться, можно добавить в тело еще один цикл, пусть количество итераций умножится на 10, 100, 1000. Можно сделать это опционально. Это уже кому как хочется. По мне так и этого достаточно. Достаточно, еще раз повторю. Остальное - чистой воды теория.
Почему я должен отказаться от своей точки зрения?
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Если она отличается от точки зрения человека, пусть даже знающего больше меня в данной области (не стану спорить), это не факт, что она не верная.
Меня не убедили теоретические доводы вредности моей функции. А именно так она была здесь охарактеризована. Неортогональность в программировании я считаю плюсом, а по сему буду продолжать строить велосипеды. Пусть даже я соглашусь, что crypt() предпочтительнее. Пусть. Но это совсем не значит, что это единственный вариант. Ведь даже ваших любимых фреймворков и то великая куча. Если сейчас какой-нибудь ортодокс напишет статью в вики, что Yii - круто, а Кохана - говно, это же не значит, что все кинутся менять фреймворк. Это просто чьё то частное мнение.
Принципиального отличия функций я так и не увидел. Ну если уж сильно параноиться, можно добавить в тело еще один цикл, пусть количество итераций умножится на 10, 100, 1000. Можно сделать это опционально. Это уже кому как хочется. По мне так и этого достаточно. Достаточно, еще раз повторю. Остальное - чистой воды теория.
Почему я должен отказаться от своей точки зрения?
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Переписал статью, чтобы не считали меня совсем твердолобым.
Но точку зрения фиг поменяю.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Но точку зрения фиг поменяю.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Притом к чему ваши споры
http://habrahabr.ru/post/187612/
Если же это смогли , то что говорить про велосипеды
Но это другая история.
Вообще как не защищай пароль, есть шанс что какой-то бухгалтер Лена в возрасте лет так 40-45 не использует корпоративное мыло на одноклассниках или на каком-то сайте о том как избавиться от мозолй. Где связка email корпоративный и пароль уже клююч от всех дверей.
Так что как не пытайся человеческий фактор сыграет.
А если есть большое желание зная пароль и хеш, некоторые умудряться и найти алгоритм, если он сложный
http://habrahabr.ru/post/187612/
Если же это смогли , то что говорить про велосипеды
Но это другая история.
Вообще как не защищай пароль, есть шанс что какой-то бухгалтер Лена в возрасте лет так 40-45 не использует корпоративное мыло на одноклассниках или на каком-то сайте о том как избавиться от мозолй. Где связка email корпоративный и пароль уже клююч от всех дверей.
Так что как не пытайся человеческий фактор сыграет.
А если есть большое желание зная пароль и хеш, некоторые умудряться и найти алгоритм, если он сложный
Так оп чём и речь. Давно известен факт, что защитить компьютер от взлома можно только выключив его из сети и закопав на трехметровую глубину. И то это не даст 100% гарантии.
Как не перестраховывайся, если очень нужно, взломают и crypt().
Как не перестраховывайся, если очень нужно, взломают и crypt().
| Цитата |
| Несмотря на то, что пароли были зашифрованы алгоритмом SHA-512 с использованием соли, всем клиентам рекомендуется сменить свои пароли. |
А если это ресурс "готовим борщ", то вполне достаточно и простого md5 с солью. Потому что как в анекдоте про неуловимого индейца Джо. Неуловимый, потому что нахрен никому не нужен.
Так что херню сказамши товарищ из википедии. Каждый имеет право защищаться так, как считает нужным. И crypt() тут вовсе не панацея.
Кстати, о велосипедах. Может у кого-то сложилось впечатление, что я использую свой собственный алгоритм хэширования? Так это совершенно не так. Я использую несколько стандартных, проверенных алгоритмов. Тех же самых, что использует crypt(). Так что не особо это велосипед. Это скорее дополнительный моторчик к заводскому самокату.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
| Цитата (MiksIr @ 24.07.2013 - 13:25) |
| Ох... он непробиваем. |
Даже представить не можете, на сколько.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
MiksIr
| Цитата |
| Ну поздравляю, вы написали аналог crypt. Ждем теперь аналог str_replace, а там, глядишь, и до аналога регулярных выражений доберетесь. |
И это говорит мне человек, яростно болеющий за фреймворки... Вы убиваете во мне веру в человечество.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Опечатка на сайте, вместо "Наверх" - "Нверх". Это тайтл при наведении на "следы"
_____________
Если не говорить пользователям, что Linux это "Сложно и страшно", то им совершенно всё равно, в чём не разбираться
_____________
Если не говорить пользователям, что Linux это "Сложно и страшно", то им совершенно всё равно, в чём не разбираться
| Цитата |
| Слуш, ты чо, дурак? |
Тише, тише. Глубже вздохни, не нужно так нервничать, как будто тебя анально уязвили.
| Цитата |
| Я тебе чего, думаешь, пример приводил вызова crypt? |
Мне не нужно ничего тут приводить. Я ссылался на википедию, а там про итерации ничего нет. Я не зря писал раньше, что люди почитают и поверят. Все дело в том, что в мануале черным по белому:
| Цитата |
| По умолчанию используемое количество раундов равно 5000 |
И теперь ответь мне, откуда начинающему "криптографу" (простому новичку, начитавшемуся твоих статеек) знать про миллионы итераций и на сколько это важно? Ты или трусы одень или крестик сними.
Что касается этого:
Что касается этого:
| Цитата |
| Сейчас библиотека поддерживает несколько хеш-функций на базе алгоритмов: md5, sha-256, sha-512, Blowfish |
Только один из них. Только один.
А у меня несколько на выбор, что и рекомендовал Poul-Henning Kamp. А он, знаешь ли, для меня гораздо авторитетнее твоих самостийных высеров.
А у меня несколько на выбор, что и рекомендовал Poul-Henning Kamp. А он, знаешь ли, для меня гораздо авторитетнее твоих самостийных высеров.
| Цитата |
| Насчет соли - есть терминология. В терминологии хранения паролей - соль - вполне определенная вещь. Остальное - секретный ключ. |
И чья, позвольте спросить, терминология? Я за последние 5 лет впервые слышу, что это секретный ключ. Если вдаваться в терминологию, то ключ это инструмент открывания. А если обратиться к твоей любимой вики, то это секретная информация, используемая криптографическим алгоритмом при шифровании/расшифровке
Ты мне будешь утверждать, что в данном контексте этот набор символов позволяет расшифровать данные? Из хэша?
Идем учить матчасть.
Ты мне будешь утверждать, что в данном контексте этот набор символов позволяет расшифровать данные? Из хэша?
Идем учить матчасть.
| Цитата |
| Да, подмешивать секретный ключ можно, я даже писал выше как. |
Ну и что, что выше... Толку то? Я еще раз повторю, если кто-либо начнет свято верить в тот бред. что написан в вики, он обретет геморрой. И ему не покажешь, что кто-то тут чего-то писал выше. Я писал статью не как продолжение спора, а как альтернативную точку зрения на вышеупомянутую статью. И могу ответить тем же:
| Цитата |
| Сотри свой бложик, ты уже просто позорится начинаешь. |
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
| Цитата (DedMorozzz @ 24.07.2013 - 14:36) |
| Опечатка на сайте, вместо "Наверх" - "Нверх". Это тайтл при наведении на "следы" |
Спасибо, поправил
_____________
Если вам недостаточно собственных заблуждений, можно расширить их мнениями экспертов.
Нужно уважать мнение оппонета. Ведь заблуждаться - его святое право.
Настаивал, настаиваю и буду настаивать на своем. На кедровых орешках.
Здесь расположена полная версия этой страницы.