- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Переиграть и победить: как анализировать конкурентов для продвижения сайта
С помощью Ahrefs
Александр Шестаков
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Не создаёт для тех, кто не понимает в безопасности.
Напротив, но для понимания этого надо разбираться как это все работает, а не полагаться на когда-то зазубренные статьи.
Пароли не должны даже храниться в открытом виде, не то что "передаваться".
То что он посылается в письме, не значит что он хранится в открытом виде.
Ни одна уважающая себя система не должна поступать опираясь на верования в неуловимости Джо.
Равно как и создавать дымовую завесу.
Не также.
Про время жизни ссылки для восстановления пароля (ограниченое несколькими [десятком] минутами) надо рассказывать ?
А про сверку соответствия IP/UA/етс?
А про разные контрольные вопросы?
Так же.
Про время на вход по присланному паролю (ограниченое несколькими [десятком] минутами) надо рассказывать?
А про сверку соответствия IP/UA/етс при входе по этому паролю в течении того времени?
А про то что контрольные вопросы можно спросить при первом входе по этому паролю?
Давайте уже без этих двойных стандартов, все это точно так же реализуется и для пароля, ключевое слово - так же.
Основное отличие в том, что автосгенеренный пароль с хорошей вероятностью окажется достаточной сложности и не будет совпадать с паролями других сервисов. А вот что там юзер напридумывает....
Я про эту тему:
Я эту же ссылку дал :)
А там не я говорил что"md5 и т.п. уже не очень" и вообще это смотря в каком контексте рассматривать.
ЗЫ. там на первом месте Base64 :) Вот это реально лажа.
MD5 и SHA-1 вполне могут быть норм если используются длинные пароли + доп данные авторизации (напр двухфакторка (но только не через СМС) или хотя бы уникальный не палящийся логин).
---------- Добавлено 19.05.2019 в 22:48 ----------
То что он посылается в письме, не значит что он хранится в открытом виде.
На бис: "Пароли не должны даже храниться в открытом виде, не то что "передаваться".
Давайте уже без этих двойных стандартов, все это точно так же реализуется и для пароля, ключевое слово - так же.
Что-что?
Основное отличие в том, что автосгенеренный пароль с хорошей вероятностью окажется достаточной сложности и не будет совпадать с паролями других сервисов. А вот что там юзер напридумывает....
Нда, печалько..
У меня не хватит сил доказывать сложность запоминания юзером генерёного пароля (и как следствие ему придётся его где-то сохранять снижая таким образом безопасность), но именно юзер САМ должен вводить пароль. Известный только ему одному, а не где-то ещё хранившийся.
Я один не понял, о какой CMS "с ТП" идет речь? :)
Мудро говорите, но более не понятно 🤪
На бис: "Пароли не должны храниться в открытом виде,
Хранить в открытом виде никто тут не предлагал. Вам лишь бы на бис выступить, по фиг на какую тему?
Что-что?
Что-то уровня выше чем "пароли не должны хранится в открытом виде" уже слишком сложно?
У меня не хватит сил доказывать сложность запоминания юзером генерёного пароля (и как следствие ему придётся его где-то сохранять снижая таким образом безопасность)
Юзер запоминает пароли только в одном случае - если они одинаковы/схожи для многих сервисов. Но мы даже не будем пытаться объяснить Вам чем это опасно.
но именно юзер САМ должен вводить пароль.
Не-а. Автогенерация уникальных паролей нужной сложности адекватный вариант.
Известный только ему одному, а не где-то ещё хранившийся.
Пароли в открытом виде хранить никто тут и не предлагал. Очередное выступление на бис, да?
Хранить в открытом виде никто тут не предлагал. Вам лишь бы на бис выступить, по фиг на какую тему?
Хранить нельзя, а передать можно? ОМГ.. Трава забористая, или умный человек опять передал акк тупому?
Попробуйте включить свой коллективный разум и понять что "передавать" это прежде всего есть "хранить". Но в наиболее небезопасном месте(ах).
Юзер запоминает пароли только в одном случае - если они одинаковы/схожи для многих сервисов. Но мы даже не будем пытаться объяснить Вам чем это опасно.
Во первых - это проблемы юзера (и не так страшны, как малюют). А сервис не должен диктовать свои правила, если это не грозит безопасности сервиса.
Во вторых - это не всегда так: /ru/forum/comment/11439770
---------- Добавлено 19.05.2019 в 23:12 ----------
Не-а. Автогенерация уникальных паролей нужной сложности адекватный вариант.
Автогенерация уникальных паролей нужной сложности без возможности его смены (с отправкой его на почту/СМС/рупором) - НЕадекватный вариант.
Трава забористая, или умный человек опять передал акк тупому?
У Вас шаблон диалога так и не поменялся - когда Вам нечем аргументировать по сути - Вы начинаете хамить собеседнику, что бы он или слился с топика или начал хамить в ответ и Вы бы его забанили. Неужели за столько лет не придумали ничего пооригинальнее?
Хранить нельзя, а передать можно? ОМГ..
"передавать" это прежде всего есть "хранить". ).
Если Вы хотите пословоблудить, то не хранить в открытом виде вообще невозможно, ведь с момента когда юзер передает пароль на сервер и до момента его обработки он хранится в открытом виде. Ах ах ах, ужас, все хранят пароли в открытом виде какое-то время (ну кроме воблы, которая шифрует мд5 перед передачей 😂 ).
Если же Вы постараетесь разобраться в вопросе, то поймете, что никто не мешает отправить пароль в смс, а сам пароль сохранить не в открытом виде.
сервис не должен диктовать свои правила, если это не грозит безопасности сервиса.
Правило "сходи сначала по ссылке перед тем как выставить новый пароль" это именно диктат своих правил, которые не грозят безопасности сервера.
Еще раз - словоблудие словоблудием, но от Вас так и нет ни одного реалистичного сценария, при котором посылка ссылки от чего-то защитила бы, по сравнению с посылкой пароля.
Во вторых - это не всегда так: /ru/forum/comment/11439770
Никак не спасает от одинаковых паролей на всех сервисах.
Вы бы его забанили
Это такая же необразованность как и по теме вопроса.
Если Вы хотите пословоблудить, то не хранить в открытом виде вообще невозможно,
Это как раз ты словоблудишь и не понимаешь очевидного. :(
Никак не спасает от одинаковых паролей на всех сервисах.
Если совсем нет фантазии (чтобы добавить в него, напр. домен ресурса), то конечно не спасает.
Но это не так страшно, как передача пароля в открытом виде, принудительная генерация или принудительная же смена со временем.
Это такая же необразованность как и по теме вопроса.
Это как раз ты словоблудишь и не понимаешь очевидного. :(
И снова - вместо ответа по делу, переход на личности и хамство. ЧТД.
Если совсем нет фантазии (чтобы добавить в него, напр. домен ресурса), то конечно не спасает.
Но это не так страшно, как передача пароля в открытом виде, принудительная генерация или принудительная же смена со временем.
Много слов, но до сих от Вас так и нет ни одного реалистичного сценария, при котором посылка ссылки от чего-то защитила бы, по сравнению с посылкой пароля. Который мы уже дважды просили до этого. Но Вам интереснее выступать на бис с банальными очевидностями не имеющими отношения к делу и хамить собеседникам. Жаль.
Который мы уже дважды просили до этого.
Враньё. Не было никакого "дважды". До этого ни разу не было. Но как я вижу было добавлено после моего ответа. Манипулятор, фигов.
нет ни одного реалистичного сценария, при котором посылка ссылки от чего-то защитила бы, по сравнению с посылкой пароля.
Рассказывать очевидное не понимающему про хранение-передачу? Дануна..
Впрочем, вот один, не связанный с технической составляющей "сценарий": пароль в открытом виде может УВИДЕТЬ (из почты/телефона) и ИСПОЛЬЗОВАТЬ любое несанкционированное лицо.
И пож. не надо рассказывать про автогенерацию и сложность - снимки экрана, случайное открытие в неподходящем месте/время и фотографическую память [ковбоя ДЖО] никто не отменял. От ссылки же, даже если она (вдруг!) будет полностью отображаться и её запомнить, вреда не будет.
Для альтернативно одарённых особо подчеркиваю: тут речь не о смене пароля, а об его использовании.
---------- Добавлено 20.05.2019 в 00:10 ----------
от Вас так и нет ни одного реалистичного сценария, при котором посылка ссылки от чего-то защитила бы, по сравнению с посылкой пароля
И кстати это тоже враньё.
Я два раза писал, что принудиловка - есть зло. Она заставляет юзера где-то хранить пароли. А это снижает безопасность. Фантазии насчёт "общий пароль для всех" я слышал и комментировал.