OA
потому что тривиально подбирать по одному байту и смотреть насколько быстро получаешь отлуп. Потому что == возвращает ответ с задержкой пропорционально длине угаданного префикса
Size: a a a
2020 March 13
OA
тебе нужен ct_eq
SS
Просто спросил чем хешировать пароли 😁 А теперь столько всего на выбор..
SS
Это как однажды Алекс Жуковский спросил какой ему Линукс выбрать)
p
Тебе учебный проект, или это прод?
Т8
не надо использовать sha1/md5 никогда ни для чего, и просто хеш для паролей - тоже
А чё там щас для поддержания аутентификации на сервере популярно? JWT или просто куки?
OA
тл;др:
1. пароли не нужны
2. сделай кнопку "send me a link by email"
3. положи статический секрет на сервер. Лучше всего генери его случайно на время жизни сервера, и держи в памяти, если это один инстанс и он не ребутится каждые 5 минут.
4. возьми merlin Transcript чтоб посчитать мак с таймаутом, user_id и секретом.
5. пришли ссылку с мак-кодом, user_id и таймаутом.
6. при входе - проверь что exp_time > now
7. сосчитай мак на сервере и сравни с полученным.
8. положи куки
1. пароли не нужны
2. сделай кнопку "send me a link by email"
3. положи статический секрет на сервер. Лучше всего генери его случайно на время жизни сервера, и держи в памяти, если это один инстанс и он не ребутится каждые 5 минут.
4. возьми merlin Transcript чтоб посчитать мак с таймаутом, user_id и секретом.
5. пришли ссылку с мак-кодом, user_id и таймаутом.
6. при входе - проверь что exp_time > now
7. сосчитай мак на сервере и сравни с полученным.
8. положи куки
p
тл;др:
1. пароли не нужны
2. сделай кнопку "send me a link by email"
3. положи статический секрет на сервер. Лучше всего генери его случайно на время жизни сервера, и держи в памяти, если это один инстанс и он не ребутится каждые 5 минут.
4. возьми merlin Transcript чтоб посчитать мак с таймаутом, user_id и секретом.
5. пришли ссылку с мак-кодом, user_id и таймаутом.
6. при входе - проверь что exp_time > now
7. сосчитай мак на сервере и сравни с полученным.
8. положи куки
1. пароли не нужны
2. сделай кнопку "send me a link by email"
3. положи статический секрет на сервер. Лучше всего генери его случайно на время жизни сервера, и держи в памяти, если это один инстанс и он не ребутится каждые 5 минут.
4. возьми merlin Transcript чтоб посчитать мак с таймаутом, user_id и секретом.
5. пришли ссылку с мак-кодом, user_id и таймаутом.
6. при входе - проверь что exp_time > now
7. сосчитай мак на сервере и сравни с полученным.
8. положи куки
То есть постоянно будет присылаться на почту сообщение если зашёл с нового устройства/после перезагрузки браузера?
OA
нет
OA
только когда ты логинишься
OA
потом в твоем браузере лежит кука
OA
см. как Slack работает
p
Хм, гениально
Почему сразу так не сделали все? Зачем тогда пароли
Почему сразу так не сделали все? Зачем тогда пароли
OA
перезагрузка браузера не удаляет куки у которых срок проставлен
OA
Хм, гениально
Почему сразу так не сделали все? Зачем тогда пароли
Почему сразу так не сделали все? Зачем тогда пароли
потому что все вокруг школьники
OA
смотри - я пишу блокчейн. У меня опыт - пхп и руби
OA
меня нельзя слушать
Т8
смотри - я пишу блокчейн. У меня опыт - пхп и руби
Свифт же
OA
мало свифта