SS
))))))
Size: a a a
2020 March 13
OA
если у тебя есть функция "забыл пароль", то пароль - это дополнительная дыра в системе, а вовсе не фича.
OA
лучше тогда просто "send me a magic link" как слак делает, и все тут
SS
если это не для мега-секьюрного банка, то лучше вообще без пароля - шли код/ссылку на почту и все тут
Ну да, замечание очень хорошее..
OA
причем это можно сделать полностью stateless. Присылаешь https://.../?exptime=...&mac=HMAC(user_id,exptime,server_secret) и все тут. Главное проверить мак в const-time на сервере
OA
Олег же криптоэксперт) Олег все знает (не сарказм)
я не эксперт, я сраный вебдизайнер
SS
причем это можно сделать полностью stateless. Присылаешь https://.../?exptime=...&mac=HMAC(user_id,exptime,server_secret) и все тут. Главное проверить мак в const-time на сервере
А что значит "мак" в этом всем деле?
OA
message auth code
SS
Ага, понял
OA
внимание: HMAC-SHA1/256 - это хак потому что sha1/256 имеют length extension attack
OA
поэтому там вложенная структура и ебанутый паддинг
OA
если взять норм функцию, типа shake128, то ты просто делаешь shake128(user_id || exptime || secret) и вынимаешь 32 байта
OA
главное, сделать domain separation / length prefixing нормальный или проверить что все поля фиксированного размера
OA
тут сразу есть все фичи что тебе нужны
SS
Спасибо)
OA
t.append_bytes(b"user_id", user_id)
t.append_u64(b"exptime", expiration_time)
t.append_bytes(b"secret", server_secret)
t.append_u64(b"exptime", expiration_time)
t.append_bytes(b"secret", server_secret)
OA
одна тонкость с проверкой MAC-ов - что ты не можешь делать if received_mac == computed_mac { ...}