Size: a a a

2020 March 13

OA

Oleg Andreev in rust_offtopic
потому что тривиально подбирать по одному байту и смотреть насколько быстро получаешь отлуп. Потому что == возвращает ответ с задержкой пропорционально длине угаданного префикса
источник

OA

Oleg Andreev in rust_offtopic
тебе нужен ct_eq
источник

OA

Oleg Andreev in rust_offtopic
источник

SS

Stanislav Sagan in rust_offtopic
Просто спросил чем хешировать пароли 😁 А теперь столько всего на выбор..
источник

SS

Stanislav Sagan in rust_offtopic
Это как однажды Алекс Жуковский спросил какой ему Линукс выбрать)
источник

p

polunin.ai in rust_offtopic
Тебе учебный проект, или это прод?
источник

Т8

Т-34 85 in rust_offtopic
Oleg Andreev
не надо использовать sha1/md5 никогда ни для чего, и просто хеш для паролей - тоже
А чё там щас для поддержания аутентификации на сервере популярно? JWT или просто куки?
источник

OA

Oleg Andreev in rust_offtopic
тл;др:

1. пароли не нужны
2. сделай кнопку "send me a link by email"
3. положи статический секрет на сервер. Лучше всего генери его случайно на время жизни сервера, и держи в памяти, если это один инстанс и он не ребутится каждые 5 минут.
4. возьми merlin Transcript чтоб посчитать мак с таймаутом, user_id и секретом.
5. пришли ссылку с мак-кодом, user_id и таймаутом.
6. при входе - проверь что exp_time > now
7. сосчитай мак на сервере и сравни с полученным.
8. положи куки
источник

p

polunin.ai in rust_offtopic
Oleg Andreev
тл;др:

1. пароли не нужны
2. сделай кнопку "send me a link by email"
3. положи статический секрет на сервер. Лучше всего генери его случайно на время жизни сервера, и держи в памяти, если это один инстанс и он не ребутится каждые 5 минут.
4. возьми merlin Transcript чтоб посчитать мак с таймаутом, user_id и секретом.
5. пришли ссылку с мак-кодом, user_id и таймаутом.
6. при входе - проверь что exp_time > now
7. сосчитай мак на сервере и сравни с полученным.
8. положи куки
То есть постоянно будет присылаться на почту сообщение если зашёл с нового устройства/после перезагрузки браузера?
источник

OA

Oleg Andreev in rust_offtopic
нет
источник

OA

Oleg Andreev in rust_offtopic
только когда ты логинишься
источник

OA

Oleg Andreev in rust_offtopic
потом в твоем браузере лежит кука
источник

OA

Oleg Andreev in rust_offtopic
см. как Slack работает
источник

p

polunin.ai in rust_offtopic
Хм, гениально
Почему сразу так не сделали все? Зачем тогда пароли
источник

OA

Oleg Andreev in rust_offtopic
перезагрузка браузера не удаляет куки у которых срок проставлен
источник

OA

Oleg Andreev in rust_offtopic
polunin.ai
Хм, гениально
Почему сразу так не сделали все? Зачем тогда пароли
потому что все вокруг школьники
источник

OA

Oleg Andreev in rust_offtopic
смотри - я пишу блокчейн. У меня опыт - пхп и руби
источник

OA

Oleg Andreev in rust_offtopic
меня нельзя слушать
источник

Т8

Т-34 85 in rust_offtopic
Oleg Andreev
смотри - я пишу блокчейн. У меня опыт - пхп и руби
Свифт же
источник

OA

Oleg Andreev in rust_offtopic
мало свифта
источник