НС
Лучше потратить время на то, чтобы пароли вообще выпилить по-максимуму, и сделать вход через гугл и по ключам.
Size: a a a
2019 April 15
НС
А вход по паролю сделать по кнопке «я ссзб»^W^W «зарегистрироваться, используя пароль».
DZ
не ну просто я первый раз встречаю
DZ
чтобы с клиента слать хеш пароля
НС
Но это не совсем о том. Тут ключ всё равно есть и там и там.
НС
@pumano Если он хотел чтобы и при регистрации только хэш отправлялся, то это с точки зрения бэкенда не отличается ничем от плейнтекста. То есть клиент может вместо хэша отправить aa
aaa…aaaa не обладая прообразом и бэкенд это проглотит.НС
Это и правда можно накрутить как попытку защиты от переиспользования паролей, но это решит только проблему того, что ты опасаешься упустить пароль клиента до хэширования на сервере.
MK
не очень понятно какую задачу решает хэширование на клиенте
НС
Michael K
не очень понятно какую задачу решает хэширование на клиенте
Вон примерно ту, как я написал выше. Странную.
НС
И это не означает, что хэшировать на сервере не надо.
MK
ну может бекендер хочет "немножко безопаснее", не очень разбираясь в проблематике
MK
более чем уверен, что дело в этом :)
НС
@pumano Плюс учти, что это дополнительный вектор атаки.
НС
То есть если ты сделаешь хэширование на клиенте мд5 без соли + хэширование на сервере через scrypt с солью, то ты огребёшь коллизии от md5.
DZ
И это не означает, что хэшировать на сервере не надо.
тут все понятно но с клиента - хз
НС
Короче, генерация клиенту случайного пароля и сохранение в бумажник — решит эту проблему лучше.
А лучше — вход без пароля вообще.
А лучше — вход без пароля вообще.
KA
Короче, генерация клиенту случайного пароля и сохранение в бумажник — решит эту проблему лучше.
А лучше — вход без пароля вообще.
А лучше — вход без пароля вообще.
по смс не лучше ли?