ReSQL.ru
     
powered by simpleCommunicator - 2.0.38     © 2025 Programmizd 02
Мобильная версия    Контакт    Правила    FAQ    Помощь
Доб. в избранное | Игнор. тему | Прикреп. тему | Пометить прочит. / непрочит. | Фильтр
Форумы / Обсуждение нашего сайта (архив) [закрыт] [закрыт для гостей] / Храните пароль открытым текстом? Ну спасибо
22 сообщений из 72, страница 3 из 3
  3  все
Храните пароль открытым текстом? Ну спасибо
    #12603978
Аригато
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Аригато
Участник
Согласен с ТС, если пароль в базе хранится в открытом виде или даже зашифрованном виде с возможностью расшифровки, то это для студенческой курсовой подошло бы, но странно для весьма крупного ресурса
...
Рейтинг: 0 / 0
23.05.2012, 19:14
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12603986
Гавриленко Сергей Алексеевич
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гавриленко Сергей Алексеевич
Участник
Аригато 
Согласен с ТС, если пароль в базе хранится в открытом виде или даже зашифрованном виде с возможностью расшифровки, то это для студенческой курсовой подошло бы, но странно для весьма крупного ресурса
Беда-беда.
...
Рейтинг: 0 / 0
23.05.2012, 19:16
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604030
Аригато
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Аригато
Участник
Гавриленко Сергей Алексеевич 
Беда-беда.
В чем беда? Или вы считаете, что хранение открытых паролей в БД это нормально?
Тогда зачем в современных движках мало того, что используют хеши, так еще и соль применяют, паранойя?
...
Рейтинг: 0 / 0
23.05.2012, 19:28
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604374
ShSerge
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
ShSerge
Участник
Аригато,

Вполне нормально. Не надо то, в чём Вы не копенгаген. В вэбе это дело - вполне приемлемо, если сервер не у какого-то дяди.
...
Рейтинг: 0 / 0
23.05.2012, 20:42
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604641
Гавриленко Сергей Алексеевич
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гавриленко Сергей Алексеевич
Участник
Аригато 
Гавриленко Сергей Алексеевич 
Беда-беда.
В чем беда? Или вы считаете, что хранение открытых паролей в БД это нормально?
Если он открытый, то вас, наверное, не затруднит сказать пароль judje'а 12591402 ?
...
Рейтинг: 0 / 0
23.05.2012, 21:57
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604864
Аригато
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Аригато
Участник
Серьезно, ппц, дискуссия. Сервер не у какого-то дяди, а у кого тогда, у какой-то тети?
Гавриленко Сергей Алексеевич 
Если он открытый, то вас, наверное, не затруднит сказать пароль judje'а 12591402 ?
Не затруднит, имея доступ к БД.
...
Рейтинг: 0 / 0
23.05.2012, 23:20
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604865
Аригато
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Аригато
Участник
Гавриленко Сергей Алексеевич, на счет шифрования, то это хорошо, но если движок способен расшифровать данный пароль, то это может сделать любой, имеющий доступ к движку или просто знающий алгоритм.
...
Рейтинг: 0 / 0
23.05.2012, 23:22
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604874
locky
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
locky
Участник
Аригато 
Гавриленко Сергей Алексеевич, на счет шифрования, то это хорошо, но если движок способен расшифровать данный пароль, то это может сделать любой, имеющий доступ к движку или просто знающий алгоритм.
как правило, большинство алгоритмов шифрования доступны в исходных текстах.
И, опять-таки, как правило, знание алгоритма помогает только при наличии весьма и весьма неслабой специфической подготовки.
...
Рейтинг: 0 / 0
23.05.2012, 23:27
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604880
Гавриленко Сергей Алексеевич
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гавриленко Сергей Алексеевич
Участник
Аригато 
Гавриленко Сергей Алексеевич, на счет шифрования, то это хорошо, но если движок способен расшифровать данный пароль, то это может сделать любой, имеющий доступ к движку или просто знающий алгоритм.
У открытости паролей данного сайта как-то много ограничений, вы не находите? И доступ надо иметь и к движку, и к базе, и алгоритм знать. А после узнавания алгоритма, выяснится, что и ключ еще какой-то надо знать. В общем, почти "приходи, кто хочешь, бери, что хочешь".
...
Рейтинг: 0 / 0
23.05.2012, 23:30
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604889
Гавриленко Сергей Алексеевич
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гавриленко Сергей Алексеевич
Участник
locky 
Аригато 
Гавриленко Сергей Алексеевич, на счет шифрования, то это хорошо, но если движок способен расшифровать данный пароль, то это может сделать любой, имеющий доступ к движку или просто знающий алгоритм.
как правило, большинство алгоритмов шифрования доступны в исходных текстах.
И, опять-таки, как правило, знание алгоритма помогает только при наличии весьма и весьма неслабой специфической подготовки.
Да уже даже услужливо все реализовано в винде в CryptoApi. Только функцию с правильными параметрами вызвать надо. Делов-то.
...
Рейтинг: 0 / 0
23.05.2012, 23:33
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604894
locky
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
locky
Участник
Гавриленко Сергей Алексеевич 
locky 
пропущено...

как правило, большинство алгоритмов шифрования доступны в исходных текстах.
И, опять-таки, как правило, знание алгоритма помогает только при наличии весьма и весьма неслабой специфической подготовки.
Да уже даже услужливо все реализовано в винде в CryptoApi. Только функцию с правильными параметрами вызвать надо. Делов-то.
Знание алгоритма и наличие спецподготовки позволяет использовать другие методы, кроме брут-форса.
да! Под знанием алгоритма, разумеется, подразумевается не только банальное знание его названия, но и как он собственно устроен/работает/етк
...
Рейтинг: 0 / 0
23.05.2012, 23:35
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604903
Гавриленко Сергей Алексеевич
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гавриленко Сергей Алексеевич
Участник
Аригато,

А, кстати, у вас пластиковая карта есть? Если есть, вы тоже на форумах банка пишите, что он ее номер хранит в "открытом" виде?
...
Рейтинг: 0 / 0
23.05.2012, 23:41
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12604935
Фотография Borland
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Borland
Участник
Гавриленко Сергей Алексеевич 
Аригато,

А, кстати, у вас пластиковая карта есть? Если есть, вы тоже на форумах банка пишите, что он ее номер хранит в "открытом" виде?
Не только номер но и CVV-коды:)))
...
Рейтинг: 0 / 0
23.05.2012, 23:52
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12605062
Аригато
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Аригато
Участник
Гавриленко Сергей Алексеевич 
У открытости паролей данного сайта как-то много ограничений, вы не находите? И доступ надо иметь и к движку, и к базе, и алгоритм знать. А после узнавания алгоритма, выяснится, что и ключ еще какой-то надо знать. В общем, почти "приходи, кто хочешь, бери, что хочешь".
Если иметь доступ к скриптам и БД, то никакой ключ не остановит. Сколько человек имеют свободный доступ к этим данным?
Я еще раз повторю, большинство современных движков мало того, что хранят хеши, так еще и соль применяют. Это паранойя?
...
Рейтинг: 0 / 0
24.05.2012, 00:42
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12605067
Фотография iscrafm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
iscrafm
Участник
Аригато 
Серьезно, ппц, дискуссия. Сервер не у какого-то дяди, а у кого тогда, у какой-то тети?
Гавриленко Сергей Алексеевич 
Если он открытый, то вас, наверное, не затруднит сказать пароль judje'а 12591402 ?
Не затруднит, имея доступ к БД.
:)))
...
Рейтинг: 0 / 0
24.05.2012, 00:45
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12605070
Аригато
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Аригато
Участник
Гавриленко Сергей Алексеевич 
И доступ надо иметь и к движку, и к базе, и алгоритм знать. А после узнавания алгоритма, выяснится, что и ключ еще какой-то надо знать.
Алгоритм и ключ знать не обязательно. Достаточно доступа к движку и базе. Проще говоря, если сайт взломают и сольют базу, то пароли ВСЕХ пользователей будут у злоумышленников. Уверен, что многие эти пароли используют еще где-то. Ведь защита хешем делается как раз: а. на случай слива базы; б. против возможности получить доступ к данным имеющим доступ к серверу. Опять паранойя?
...
Рейтинг: 0 / 0
24.05.2012, 00:46
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12605074
Фотография iscrafm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
iscrafm
Участник
locky 
как правило, большинство алгоритмов шифрования доступны в исходных текстах
ну не нужно так парня разочаровывать!
...
Рейтинг: 0 / 0
24.05.2012, 00:47
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12605077
Гавриленко Сергей Алексеевич
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гавриленко Сергей Алексеевич
Участник
Аригато 
Гавриленко Сергей Алексеевич 
У открытости паролей данного сайта как-то много ограничений, вы не находите? И доступ надо иметь и к движку, и к базе, и алгоритм знать. А после узнавания алгоритма, выяснится, что и ключ еще какой-то надо знать. В общем, почти "приходи, кто хочешь, бери, что хочешь".
Если иметь доступ к скриптам и БД, то никакой ключ не остановит. Сколько человек имеют свободный доступ к этим данным?
Я еще раз повторю, большинство современных движков мало того, что хранят хеши, так еще и соль применяют. Это паранойя?
Соль, нас всех соль спасет! А чеснок нет, уже не помогает?

Раз вы доступа не имеете, не надо говорить, что пароли хранятся в открытом виде. Это примерно как говорить, что "некоторое бабло в некотором баблохранилище плохо защищено, потому что лежит в открытом виде, не закопано, да еще и адрес не секретный; чтобы его спереть, надо всего-лишь получить туда свободный доступ на несколько минут". Дерзайте, получайте.
...
Рейтинг: 0 / 0
24.05.2012, 00:48
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12605082
Фотография iscrafm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
iscrafm
Участник
Цитата 
соль применяют
а что такое "соль"? Или это студенческий сленг какой-то? подскажите плз
...
Рейтинг: 0 / 0
24.05.2012, 00:50
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12605086
Гавриленко Сергей Алексеевич
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
Гавриленко Сергей Алексеевич
Участник
iscrafm 
Цитата 
соль применяют
а что такое "соль"? Или это студенческий сленг какой-то? подскажите плз
Это дословный перевод. http://en.wikipedia.org/wiki/Salt_(cryptography)
...
Рейтинг: 0 / 0
24.05.2012, 00:53
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12605094
Фотография iscrafm
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
iscrafm
Участник
Гавриленко Сергей Алексеевич 
iscrafm 
пропущено...

а что такое "соль"? Или это студенческий сленг какой-то? подскажите плз
Это дословный перевод. http://en.wikipedia.org/wiki/Salt_(cryptography)
нашел(вспомнил) уже, спасибо. Глупо говорить конечно о таком при условии "имея полный доступ к БД"
...
Рейтинг: 0 / 0
24.05.2012, 00:58
| Цитировать для копирования  
Храните пароль открытым текстом? Ну спасибо
    #12605111
Фотография judge
Скрыть профиль Поместить в игнор-лист Сообщения автора в теме
judge
Участник
Как я это уже сказал выше - хеширование в любом случае в списке задач по доработке и ближайшие месяцы будет реализовано.
На текущий момент, защита является вполне адекватной, относительно ценности хранимых данных. (пароли зашифрованы, алгоритм и база на разных серверах)
На этом тему закрываю, во избежании holy wars.
...
Рейтинг: 0 / 0
24.05.2012, 01:18
| Цитировать для копирования  
22 сообщений из 72, страница 3 из 3
  3  все
Форумы / Обсуждение нашего сайта (архив) [закрыт] [закрыт для гостей] / Храните пароль открытым текстом? Ну спасибо
Целевая тема:
Создать новую тему:
Автор:
Закрыть
Цитировать
Найденые пользователи ...
Разблокировать пользователей ...
Читали тему (0):
Читали форум (0):
Пользователи онлайн (0):
Польз. соглашение
NoSQL.ru             Фотоальбом: Участники, Встречи
Закрыть
start [/forum/topic.php?fid=8&msg=12605086&tid=942698]:
 0ms
get settings:
 11ms
get forum list:
 14ms
check forum access:
 4ms
check topic access:
 4ms
track hit:
 34ms
get topic data:
 11ms
get forum data:
 2ms
get page messages:
 53ms
get tp. blocked users:
 1ms
others: 21ms
total:  155ms
созд. / загр.: 155ms
x
x
Закрыть


Просмотр
0 / 0
Close
Debug Console [Select Text]