KD
Все всегда зависит от требований безопасности разрабатываемой системы
Size: a a a
2020 February 18
ИК
Все всегда зависит от требований безопасности разрабатываемой системы
вот
λР
Собсно вот со ссылки
GS
Все всегда зависит от требований безопасности разрабатываемой системы
и местного законодательства*
λР
Второй скрин к тому, что я увидела в беседе, что хэш по сети якобы летает
λР
Он не должен
MV
читаю тред - может я ошибаюсь, но когда уводят базу, то это зачастую проблема другого уровня? инфраструктурного, не?
засунуть бд под vpc, зарестриктить айпишники, секьюрити группы, роллинг полиси для паролей к ней?
засунуть бд под vpc, зарестриктить айпишники, секьюрити группы, роллинг полиси для паролей к ней?
MV
у нас был проект где соль была для каждого юзера, хранилась в сыром виде в постгресе - ничего криминального
ИК
читаю тред - может я ошибаюсь, но когда уводят базу, то это зачастую проблема другого уровня? инфраструктурного, не?
засунуть бд под vpc, зарестриктить айпишники, секьюрити группы, роллинг полиси для паролей к ней?
засунуть бд под vpc, зарестриктить айпишники, секьюрити группы, роллинг полиси для паролей к ней?
я про то же) а то начали тут про соли фасоли
MV
для бкрипта соль не нужна - он кажись автоматом соль сетает
MV
не помню как
MV
но всё же, - солить сверху не нужно
KD
Да, хранится вместе с хэшированным паролем в сгенерированной строке
MV
я про то же) а то начали тут про соли фасоли
соль-не соль, но если всё это гонять по http (не https), то все соли до задници - а это опять инфраструктурный вопрос)
KD
bcrypt, argon2 дополнительно солить не нужно. По крайней мере их реализации для ноды
MV
а я такое видел в индуской апишке =(
GS
соль-не соль, но если всё это гонять по http (не https), то все соли до задници - а это опять инфраструктурный вопрос)
в каком сценарии надо гнать по хттп хеш пароля?
MV
в каком сценарии надо гнать по хттп хеш пароля?
я не про хеш, я в целом (ну допустим jwt токен)
MV
я к примеру