НС
сорс на твит — https://twitter.com/a_okshus/status/1302716911558504456, ответ сбера там же
Size: a a a
2020 September 07
A
Норма, если ты вместо хэширования и прочих непонятных манипуляций кладешь пароли в базу в открытом виде, и потом в таком же виде сравниваешь их при аутентификации, иначе было бы слишком сложно выполнять посимвольное сравнение с учетом регистра, слишком долгая проверка да и багануться может с кодировками. Короче вы ничего не понимаете в безопасной разработке, если задаете такие вопросы %)
S
😂👍
AK
криптостойкость среднего звена
S
Alex
Норма, если ты вместо хэширования и прочих непонятных манипуляций кладешь пароли в базу в открытом виде, и потом в таком же виде сравниваешь их при аутентификации, иначе было бы слишком сложно выполнять посимвольное сравнение с учетом регистра, слишком долгая проверка да и багануться может с кодировками. Короче вы ничего не понимаете в безопасной разработке, если задаете такие вопросы %)
Нет, вы не понимаете в найме полных нулей на оклады от 120тр
НС
Alex
Норма, если ты вместо хэширования и прочих непонятных манипуляций кладешь пароли в базу в открытом виде, и потом в таком же виде сравниваешь их при аутентификации, иначе было бы слишком сложно выполнять посимвольное сравнение с учетом регистра, слишком долгая проверка да и багануться может с кодировками. Короче вы ничего не понимаете в безопасной разработке, если задаете такие вопросы %)
тычо
а зашифровать?
а зашифровать?
S
тычо
а зашифровать?
а зашифровать?
Тогда 100500 систем рухнут, ты шо, этош банк!!!1111
A
тычо
а зашифровать?
а зашифровать?
сначала по ГОСТу ТЗ писать научитесь, а потом уже "шифруйте" и стройте из себя хацкеров
НС
Тогда 100500 систем рухнут, ты шо, этош банк!!!1111
да не, базу зашифовать, в памяти расшифровывать, а потом сравнивать плейнтекстом
можно и в кэше оставить, чтобы лишний раз не расшифровывать
😂
можно и в кэше оставить, чтобы лишний раз не расшифровывать
😂
AK
почему в открытом виде. Они их при вводе приводят к нижнему регистру, хранят хеш и сверяют хеш от введенного
НС
почему в открытом виде. Они их при вводе приводят к нижнему регистру, хранят хеш и сверяют хеш от введенного
Да понятно же, что шутят.
НС
@akirsanov кстати, будет очень интересно
НС
То есть если там действительно хранится в виде хэша от нижнего регистра, то они не смогут это отключить (для уже существующих паролей).
НС
А если они хранят либо оба хэша, либо плейнтекст — то смогут.
AK
в любом случае это существенное снижение криптостойкости паролей, такое себе
НС
Хотя нет, ок, я вру. Это можно отключить для уже существующих, запомнив регистр, в котором пользователь его ввёл первый раз после отключения.
Но это чревато воплями, что всё сломалось.
Но это чревато воплями, что всё сломалось.
НС
в любом случае это существенное снижение криптостойкости паролей, такое себе
Да это понятно.
q
и все таки, зачем?
НС
Переслано от MaxGraey
А на тот случай если вы забудете свой оригинальный пароль мы так же еще всегда принимает пароли вроде qwerty и 123456. Не переживайте это безопасно. Ваш Сбербанк
A
