Необратимость хэшей при хранении паролей (настал уже *ц что-ли в свете приказа ФСБ)

123
Оптимизайка
На сайте с 11.03.2012
Offline
396
#11

Kifsif,


Постановление от 31 июля 2014 г. N 747 «О перечне личных, семейных и домашних нужд, удовлетворение которых не влечет исполнения обязанностей, предусмотренных частями 2 - 4 статьи 10.1 Федерального закона "Об информации, информационных технологиях и о защите информации»:

1. Потребности граждан, связанные с приобретением знаний, умений, навыков, ценностных установок, опыта деятельности и компетенции в целях интеллектуального, духовно-нравственного, культурного, творческого, физического и (или) профессионального развития человека, удовлетворения его образовательных потребностей и интересов (образовательные потребности).

2. Потребности граждан, связанные с осуществлением деятельности, направленной на получение и применение новых знаний (научные потребности).

3. Потребности граждан, связанные с созданием результатов творческой деятельности, в том числе программ для электронных вычислительных машин, включая внесение изменений в указанные программы.

4. Потребности граждан, связанные с приобретением товаров, работ, услуг, поиском работников, размещением информации о вакансиях.

5. Потребности граждан, связанные с ведением домашнего хозяйства, садоводства, разведением животных и уходом за ними.

6. Потребности граждан, связанные с получением информации о технических характеристиках и потребительских свойствах товаров, качестве услуг, результатах работ.

7. Потребности граждан, связанные с организацией досуга и (или) воспитанием детей.

So, any web sites are created for "personal, family, or domestic" reasons.

⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
Private Person
На сайте с 11.10.2013
Offline
42
#12
Оптимизайка:
Kifsif,



So, any web sites are created for "personal, family, or domestic" reasons.

足夠的英語寫累已經翻譯

K
На сайте с 23.03.2011
Offline
69
#13
Оптимизайка:
Kifsif,



So, any web sites are created for "personal, family, or domestic" reasons.

Так вы сами себе противоречите. Говорите - любой сайт для личных нужд. И рядом даете реестр. А в реестре том сайты, которые точно обязаны предоставить фсб-шникам возможность расшифровать все на сайте.

И процитировано плохо - выше-то указано, что если за 10000 посетителей в день перевалил, то ой, ты уже точно организатор.

А десятка тысяч посетителей - ну, у многих она есть.

И еще самое главное. В процитированном вами постановлении речь о сайтах, не взаимодействующих с юзером.

Я процитирую, что под личные цели не попадаешь, если имеются "возможности приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет", составляющих неопределенный круг лиц". Вот он пароль вылез - это сообщение же, я выше писал. Ну, вот. И приплыли.

L
На сайте с 07.12.2007
Offline
351
#14

Придётся делать авторизацию пользователей через соцсети, лучше - буржуйские. Тогда тебе ничего хранить не надо, пользователи приходят к тебе уже авторизованными.

Artisan
На сайте с 04.03.2005
Offline
375
#15
Оптимизайка:
So, any web sites are created

any (любой) редко используют

со множественным числом.

https://en.wiktionary.org/wiki/any

At least one; of at least one kind. One at all.

Лучше использовать

единственное число.

any web site is created

www.leak.info / ДАРОМ линки конкурентов и забытых доменов
zexis
На сайте с 09.08.2005
Offline
388
#16

Бесполезно искать смысл в бессмысленном, непродуманном законе яровой и связанных с ним постановлениях.

Эти законы писали некомпетентные люди не задумывающиеся о их последствиях.

ФСБ дали задание придумать способ передачи паролей для расшифровки. Они написали, что могли, понимая нереализуемочть этой затеи.

Использующиеся сейчас алгоритмы шифрования не предоставляют возможностей расшифровки сообщений третьими лицами.

Выполнить закон можно только обязав всех использовать слабые алгоритмы шифрования.

Но это нереализуемо и опасно.

B
На сайте с 13.02.2008
Offline
262
#17
Kifsif:
И что? Так ты сам обязан уведомить роскомнадзор о том, что у тебя есть сайт.

Посмотрите порядок применения этого закона. Там четко указано, что обязанность исполнения этого закона возникает только после направления владельцу ресурса уведомления из Роскомнадзора.

Я давно заметил за госдумой такую фишку: они принимают законы в такой общей трактовке, что под них подпадают практически все, но порядок применения закона спускают исполнительным властям - им дают право решать как именно закон применять и в отношении кого. Таким образом исполнительные власти могут дергать практически кого угодно по своему усмотрению, и все будет по закону. Но также совершенно ясно, что всех дергать они не будут - им такой огромный объем лишней работы просто не нужен.

K
На сайте с 23.03.2011
Offline
69
#18

А где конкретно смотреть порядок применения закона?

doctorpc
На сайте с 12.07.2009
Offline
112
#19
Kifsif:
Т.е. юзер пароль нам передал. А мы его зашифровали. И уже не отмажешься, что это не сообщение - дескать, он пароль просто сам вводит, а обратной связи нет. Мы же обрабатываем этот пароль.

Вроде как, все попадает и под закон, и под приказ - мы обязаны предоставить фсбшникам возможность расшифровать пароль. Так что необратимое шифрование вне закона. Штрафы там могут быть крайне чувствительные. И не спасет, что у тебя сайт не про политику.

Что думаете?

Имхо, вы сюда хеши паролей не в тему притянули.

Пароль или хеш пароля (зависит от вашей архитектуры, что вы передаете) - это информация, сообщение, которое передается.

А вот, чтобы обеспечить дополнительное кодирование для приема, передачи, доставки и (или) обработки электронных сообщений пользователей сети "Интернет", используется ssl и разные виды end-to-end шифрования и т.д. Вот это их больше и инетересует, а не пароль по хешу.

K
На сайте с 23.03.2011
Offline
69
#20

Перестраховка. В сми говорят, там штраф для юрика от 800 тысяч. Что их интересует - под разбери. Почему передача и шифровка пароля попадает под закон, я написал выше с указанием пунктов.

Гадать абстрактно нежелательно. Давайте пункты и свою трактовку.

123

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий