Необратимость хэшей при хранении паролей (настал уже *ц что-ли в свете приказа ФСБ)

А вы за что переживаете? Вас же не будут сажать за то, что юзер окажется террористом, который заходит на ваш сайт заказать пиццу.

Эти правовые акты породили у меня обязанности. Под страхом наказания. Если вам обязанности без разницы, ну, поздравляю вас.

В газете как-то работал. Имел дело с правоохранителями. Они приходят, все изымают. Компы и т.п. Все. И говорят - порвем, как тузик тряпку вашу газетенку.

Тогда газета, сейчас сайт - не суть. Главное - опыт общения с правоохранителями, я его изложил.

В общем, это агония еще та. Не факт, что оживешь. Да и штраф.

Компы, кстати, не отдадут. По коап - они идут как орудие совершения правонарушения. Ну, в общем, все будет печально.

Давайте по теме. Зачем меня обсуждать.

Так как раз все по теме - что лично вам до пароля юзера, а точнее до самого юзера? Конечно, если у вас сервак для Жабы и вы его позиционируете как безопасный для общения, тогда да, вашему проекту угрожает вннезапная смерть. А если у вас пиццерия или магазин шмоток, то что вам угрожает?

А закон или приказ что оговаривают, что пицца выпадает из его сферы?

Давайте так - если у вас интернет-магазин, существуют риски парализации бизнеса путем ложного доноса. Вот одного доноса от конкурента будет достаточно, чтобы к вам пришли. И безопасникам об этом прекрасно известно. Так что какой-нибудь крупный магазин, думаю, напряжется тоже. Риски, риски.

Так что давайте будем анализировать правовое положение владельцев сайтов в целом. Мы закон обязаны соблюдать. Так ведь?

Для доступа в аккаунт магазина нужен еще и логин. Но если в шифровании пароля не присутствует зависимость от логина, то что дальше? Ну дали вы им возможность расшифровать пароль, а он вида "qwerty" или "пароль", но по одному паролю в базу не войти. Логина же нет. Речь идет только про зашифрованный пароль.

Далее, "...представлять .... необходимую для декодирования..." То есть тут не требуют предоставить еще и зашифрованный пароль, а лишь алгоритм шифрования этого пароля.

Логин хранится в базе в открытом виде.

Возвращаясь к теме - а как я им дам расшифровать пароль, если он необратимо зашифрован? Вот я про то и спрашиваю - что теперь, сайт переделывать? Безопасность пострадает, однако. Ну, можно секретный ключик зашить где-то, конечно. Так и будет, я думаю. Но вот типовые решения для многих CMS и фреймворков - они псу под хвост, получается.

Кстати, вы неправы насчет алгоритма. Одного названия алгоритма будет недостаточно. Им надо вскрыть шифр. А шифрование бывает стойкое. Так что не проканает - нужно им дать все для расшифровки.

И еще один нюанс. Все текущие пароли придется выкинуть нафиг. И заставить юзеров перерегиться. Нехорошо. Очень нехорошо.

А разве интернет-магазины являются организаторами распространения информации? Законодатель вообще то хитро поступил: издал закон, по которому организатором распространения информации является даже мелкий блог или форум, но... конкретно решать кто является организатором распространения информации законодатель переложил на органы исполнительной власти, которое издало постановление, что организатором распространения информации является лицо, которому направлено соответствующее уведомление. Т.е. не смотря на то, что под закон формально подпадают почти все, в реале это касается только тех, на кого укажут пальцем.

Владелец любого сайта является организатором распространения информации.

---------- Добавлено 15.08.2016 в 01:25 ----------

Так когда они укажут пальцем, мы же не сможем выполнить, если заранее не подготовиться.

No. There is a registry of "information distributors": https://reestr.rublacklist.net/distributors/

Реестр ведется. И что? Так ты сам обязан уведомить роскомнадзор о том, что у тебя есть сайт. Исключение - сайты для личных и семейных нужд.