EI
есть публичное приложение, оно дополняется контентом через веб, к которому имеют доступ 2 человека(там логин окошко). Как этот веб сделать приватным? поместить его за впнку? или каждый день менять порт, чтоб типо +- спрятать?
Size: a a a
2021 January 26
AE
то что выдал гугл испробовал, они в конфиге ServerListRefreshInterval, leaseRenewalIntervalInSeconds, registryFetchIntervalSeconds, response-cache-update-interval-ms
да, оно
A
есть публичное приложение, оно дополняется контентом через веб, к которому имеют доступ 2 человека(там логин окошко). Как этот веб сделать приватным? поместить его за впнку? или каждый день менять порт, чтоб типо +- спрятать?
Почему авторизации не достаточно?
EI
Почему авторизации не достаточно?
Не должны ли быть интернал вещи недоступны в паблик?
C
Ну впнка и не вывешивай в публичный веб.
C
Впнка, если кому-то извне надо коннектиться.
EI
Спасибо
М
Добрый день. В 4 версии спринг секьюрити был ShaPasswordEncoder , который мог кодировать с солью
shaPasswordEncoder.encodePassword("5566", "5");
Как можно заменить это 5 версией спринга если там соль не принимается в PasswordEncoder?
shaPasswordEncoder.encodePassword("5566", "5");
Как можно заменить это 5 версией спринга если там соль не принимается в PasswordEncoder?
EI
@Schedule методы в паралель запускаются?
C
@Schedule методы в паралель запускаются?
Посмотри доку, там два основным параметра - перерыв между запуском и перерыв между окончанием одного и запуском следующего, насколько я помню. Соответственно в первом случае если один запуск ещё не закончился, то второй начинается в параллель.
М
Максим
Добрый день. В 4 версии спринг секьюрити был ShaPasswordEncoder , который мог кодировать с солью
shaPasswordEncoder.encodePassword("5566", "5");
Как можно заменить это 5 версией спринга если там соль не принимается в PasswordEncoder?
shaPasswordEncoder.encodePassword("5566", "5");
Как можно заменить это 5 версией спринга если там соль не принимается в PasswordEncoder?
Красиво и из коробки никак. Поменялся сам интерфейс PasswordEncoder, теперь никак снаружи нельзя передать соль для хэш функции. И засетить кастомный генератор соли в спринговые энкодеры тоже нельзя. А все потому, что такой подход при хэшировании паролей не является безопасным
https://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D0%BB%D1%8C_(%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B3%D1%80%D0%B0%D1%84%D0%B8%D1%8F)#%D0%9F%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%8B,_%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BD%D1%8B%D0%B5_%D1%81_%D1%81%D0%BE%D0%BB%D1%8C%D1%8E_%D0%B8_%D0%BD%D0%B0%D0%B4%D1%91%D0%B6%D0%BD%D0%BE%D1%81%D1%82%D1%8C%D1%8E_%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B5%D0%B9
https://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D0%BB%D1%8C_(%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B3%D1%80%D0%B0%D1%84%D0%B8%D1%8F)#%D0%9F%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%8B,_%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BD%D1%8B%D0%B5_%D1%81_%D1%81%D0%BE%D0%BB%D1%8C%D1%8E_%D0%B8_%D0%BD%D0%B0%D0%B4%D1%91%D0%B6%D0%BD%D0%BE%D1%81%D1%82%D1%8C%D1%8E_%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B5%D0%B9
A
Максим
Добрый день. В 4 версии спринг секьюрити был ShaPasswordEncoder , который мог кодировать с солью
shaPasswordEncoder.encodePassword("5566", "5");
Как можно заменить это 5 версией спринга если там соль не принимается в PasswordEncoder?
shaPasswordEncoder.encodePassword("5566", "5");
Как можно заменить это 5 версией спринга если там соль не принимается в PasswordEncoder?
Для тестирования можно использовать, например, LdapShaPasswordEncoder, он принимает BytesKeyGenerator.
А так взять готовую реализацию SHA и самому подмешать соль к исходному массиву, но это всё for testing only.
А так взять готовую реализацию SHA и самому подмешать соль к исходному массиву, но это всё for testing only.
C
Красиво и из коробки никак. Поменялся сам интерфейс PasswordEncoder, теперь никак снаружи нельзя передать соль для хэш функции. И засетить кастомный генератор соли в спринговые энкодеры тоже нельзя. А все потому, что такой подход при хэшировании паролей не является безопасным
https://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D0%BB%D1%8C_(%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B3%D1%80%D0%B0%D1%84%D0%B8%D1%8F)#%D0%9F%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%8B,_%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BD%D1%8B%D0%B5_%D1%81_%D1%81%D0%BE%D0%BB%D1%8C%D1%8E_%D0%B8_%D0%BD%D0%B0%D0%B4%D1%91%D0%B6%D0%BD%D0%BE%D1%81%D1%82%D1%8C%D1%8E_%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B5%D0%B9
https://ru.wikipedia.org/wiki/%D0%A1%D0%BE%D0%BB%D1%8C_(%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%BE%D0%B3%D1%80%D0%B0%D1%84%D0%B8%D1%8F)#%D0%9F%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%8B,_%D1%81%D0%B2%D1%8F%D0%B7%D0%B0%D0%BD%D0%BD%D1%8B%D0%B5_%D1%81_%D1%81%D0%BE%D0%BB%D1%8C%D1%8E_%D0%B8_%D0%BD%D0%B0%D0%B4%D1%91%D0%B6%D0%BD%D0%BE%D1%81%D1%82%D1%8C%D1%8E_%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B5%D0%B9
Можно для лл, что именно не является безопасным?
М
Можно для лл, что именно не является безопасным?
ну я ссыль скинул на кусочек статьи, там читать немного. если вкратце, то слабая соль упрощает обращение хэш функции
EI
Посмотри доку, там два основным параметра - перерыв между запуском и перерыв между окончанием одного и запуском следующего, насколько я помню. Соответственно в первом случае если один запуск ещё не закончился, то второй начинается в параллель.
Спасибо
C
ну я ссыль скинул на кусочек статьи, там читать немного. если вкратце, то слабая соль упрощает обращение хэш функции
Ну, ладно, я написал "для лл", но статью-то посмотрел перед этим. По-моему, здесь написано, что слабая соль хуже защищает, чем сильная (очевидно). А ты имеешь в виду, что слабая соль хуже, чем без соли?
A
Ну, ладно, я написал "для лл", но статью-то посмотрел перед этим. По-моему, здесь написано, что слабая соль хуже защищает, чем сильная (очевидно). А ты имеешь в виду, что слабая соль хуже, чем без соли?
Для соли важно, чтобы она была уникальна для каждого хеша пароля, тогда brute force каждого пароля нужно проводить отдельно.
М
Ну, ладно, я написал "для лл", но статью-то посмотрел перед этим. По-моему, здесь написано, что слабая соль хуже защищает, чем сильная (очевидно). А ты имеешь в виду, что слабая соль хуже, чем без соли?
Хэшированый пароль без соли еще хуже, потому что забрутфорсирть пароль (особенно простой), который прошел только через голую хэш функцию еще проще
AM
очень плохо работает эклипс, собирает компилит и выводит подсказки (Если я этого дождусь) медленно
имею hdd 4оперативки 2ядра амд 1.8гц
что лучше, 8оперативки (один слот имею) или ssd ?
имею hdd 4оперативки 2ядра амд 1.8гц
что лучше, 8оперативки (один слот имею) или ssd ?
EI
очень плохо работает эклипс, собирает компилит и выводит подсказки (Если я этого дождусь) медленно
имею hdd 4оперативки 2ядра амд 1.8гц
что лучше, 8оперативки (один слот имею) или ssd ?
имею hdd 4оперативки 2ядра амд 1.8гц
что лучше, 8оперативки (один слот имею) или ssd ?
оператива