- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как удалить плохие SEO-ссылки и очистить ссылочную массу сайта
Применяем отклонение ссылок
Сервис Rookee
В 2023 году Google заблокировал более 170 млн фальшивых отзывов на Картах
Это на 45% больше, чем в 2022 году
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Изначально я хотел хешировать пароль, который задает клиент еще в браузере (средствами JavaScript). На стороне сервера пароль будет хешироваться в любом случае.
Но я тут столкнулся с тем, что средств встроенных в JavaScript для хеширования нет (во всяком случае я не нашел, искал в основном MD5). Есть внешние библиотеки, но что-то они не вызывают много доверия. Какие-то хостились на гугл.коде, но теперь их там уже нет (взято отсюда: How to generate MD5 file hash on javascript?).
Вот я и подумал, может быть это паранойя и хеширование у клиента - лишняя морока? Если уж строить секьюрное приложение все равно нужно делать это по-другому (HTTPS). Я прав?
MD5 - довольно простой и хорошо задокументированный алгоритм, самому написать функцию хеширования на любом языке не составит труда. Но, вы правы, главный вопрос - нужно ли? Все равно однажды (при регистрации) вам придется отправить пароль в чистом виде, чтобы проконтролировать его сложность и прочее, не вижу смысла изощряться.
Насколько помню, на форумах у забугорного вебмастерского сообщества digitalpoint.com пароли перед отправкой на сервер хешировались (хешируются).
Так что, наверно, какой-то смысл в этом есть.
А поповоду проверки сложности - что мешает её сделать на клиенте?
Ну а так - если хеширование - это защита от перехвата траффика - то посмотрите в сторону https.
Ну есть тут некое рациональное зерно, но не при хэшировании, а при шифровании. Таким образом можно защититься от перехвата пользовательских паролей.
А какие вы цели преследуете хешированием? Ну, ясно что безопасность. Конкретнее, от каких атак защищаетесь?
Вы дыру этим самым делаете в безопасности. С размеров с Луну.
md5 и другие методы хэширования в чистом виде для хранения паролей это дыра. Всегда используется пароль+соль, и даже соль1+пароль+соль2.
А вы хотите без соли хэшировать? Дыг сольют вашу базу и вот они все пароли всех юзерей.
А если с солью, то что? Тоже её передавать в javascript? Ну и какой смысл тогда в ней? Опять дыра.
LEOnidUKG, от MITM может помочь.
LEOnidUKG, от MITM может помочь.
Да на стороне юзера хоть пусть все вирусы мира сидят и перехватывают данные. Важнее безопасность остальных на сервере и их данных. Если у одного проблемы, это не должно касаться других. Если перехватывать, то перехватят куки и всю сессию, пароль нафиг никому не сдался.
Все равно однажды (при регистрации) вам придется отправить пароль в чистом виде,
Все нормальные сервисы (и даже CMS) давно не шлют пароли в открытом виде, а дают юзерам задать их самостоятельно.
Если уж строить секьюрное приложение все равно нужно делать это по-другому (HTTPS). Я прав?
https - фиговый листик. Никому нафик не нужно снифить траф для получения паролей. Вернее да, есть куча любопытствующих соседей по вайваю в макдональдсах, но это можно сказать частный случай и забота юзера.
Коме того - тот же юзер может легко принять (и примет!) левый сертификат от роутера, который весь трафик (https в тч) будет читать без проблем.
А вот двухфакторная авторизация/енум/етс (если юзер захочет юзать) - это решение.
LEOnidUKG, допустим, кто-то взломал сайт и поставил скрипт, читающий $_POST. И при чём тут вирусы на клиенте? Пароли всех юзеров сайта у злоумышленника в кармане. А если будет приходить шифрованный пароль, то тут ещё повозиться придётся, просто так голый пароль уже не вытащишь.
LEOnidUKG, допустим, кто-то взломал сайт и поставил скрипт, читающий $_POST. И при чём тут вирусы на клиенте? Пароли всех юзеров сайта у злоумышленника в кармане. А если будет приходить шифрованный пароль, то тут ещё повозиться придётся, просто так голый пароль уже не вытащишь.
Если взломали сайт, то слили уже базу и посмотрели соль. И пошли счастливые перебирать пароли. На ко хрен им какой-то post вставлять и считывать пароли?! Ну он может также и Ajax вставить и отправлять пароль при вводе символов.
А может ещё поле ввода заменить...
А может ещё...
А может...
А...