Хеширование пароля на стороне клиента в браузере: есть резон?

12
S
На сайте с 30.09.2016
Offline
469
#11
LEOnidUKG:
Если взломали сайт, то слили уже базу и посмотрели соль. И пошли счастливые перебирать пароли.

Согласитесь, что проще взять готовенькое, чем подбирать варианты. Затраты времени несоизмеримые, когда на каком-нибудь ресурсе тысячи юзеров, да плюс к этому они ещё и часто меняют свои пароли. Задача ведь в чём - максимально осложнить жизнь злоумышленнику, и минимизировать потери от взлома.

Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.
SeVlad
На сайте с 03.11.2008
Offline
1609
#12
Sitealert:
допустим, кто-то взломал сайт и поставил скрипт, читающий $_POST.

Это как разрушив стену дома, лазить в него через форточку в кухне. ;)

Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям. Связь со мной через http://wp.me/P3YHjQ-3.
LEOnidUKG
На сайте с 25.11.2006
Offline
1753
#13
Sitealert:
Согласитесь, что проще взять готовенькое, чем подбирать варианты. Затраты времени несоизмеримые, когда на каком-нибудь ресурсе тысячи юзеров, да плюс к этому они ещё и часто меняют свои пароли. Задача ведь в чём - максимально осложнить жизнь злоумышленнику, и минимизировать потери от взлома.

Потеря это уже пароли слили и почты их. Аккаунты можно продавать, а на почты можно слать спам, а на сам хостинг или цепануть вирус или продавать ссылки или дорвеи заливать.

Поезд уже ушёл. 🍿

✅ Мой Телеграм канал по SEO, оптимизации сайтов и серверов: https://t.me/leonidukgLIVE ✅ Качественное и рабочее размещение SEO статей СНГ и Бурж: https://getmanylinks.ru/ ✅ Настройка и оптимизация серверов https://getmanyspeed.ru/
SeVlad
На сайте с 03.11.2008
Offline
1609
#14
Sitealert:
Согласитесь, что проще взять готовенькое, чем подбирать варианты. Затраты времени несоизмеримые, когда на каком-нибудь ресурсе тысячи юзеров, да плюс к этому они ещё и часто меняют свои пароли. Задача ведь в чём - максимально осложнить жизнь злоумышленнику, и минимизировать потери от взлома.

Для начала не мешает понять ЗАЧЕМ нужны эти акаунты.

И какой смысл в скрипте (на взломанном!!!! сервере), перехватывающем пароли через POST.

:)

S
На сайте с 30.09.2016
Offline
469
#15

Зачем нужны? Хотя бы затем, что очень многие не заморачиваются, и ставят один и то же пароль на все сервисы. Какой смысл в скрипте? Получить готовый пароль, а не пытаться подбирать пароль из, скажем, 12 знаков, через хэш и соль.

SeVlad
На сайте с 03.11.2008
Offline
1609
#16
Sitealert:
Хотя бы затем, что очень многие не заморачиваются, и ставят один и то же пароль на все сервисы

Смешно :)

Т.е. ты предполагаешь, что взломщик будет подбирать ВСЕ эти комбинации на ВСЕ доступные

(ок самые популярные/нужные) сервисы? мамадорагая..

Нет, если пофантазировать, то наверное теоретически возможно. Но если подумать о соотношении затраченные ресурсы/профит, то ИМХО взломщики будут в жестком минусе.

При том, что добравшись до базы (сайт уже вломан же), они ЛЕГКО поимеют разный профит - начиная от спам-рекламы, продажи баз и заканчивая фишинговыми письмами от тех же сервисов. (ещё тот же вопрос - зачем те акки, если это не биллинг/почта/етс)

S
На сайте с 30.09.2016
Offline
469
#17

Увы, не смешно:o. Допустим, кто-то взломал этот форум. Скачал отсюда 10000 паролей активных юзеров. Из них 1000, допустим, "на всё подряд". Значит - это пароль на почту, и может быть, не одну. И пароль на другие сайты, где, может быть этот юзер уже админ. И пароли на ящики с деньгами. Другое дело, что важные сервисы уже обложились SMS-подтверждениями и прочими приблудами, потому что в курсе про эти фокусы - но это уже второй вопрос.

danforth
На сайте с 18.12.2015
Offline
153
#18
LEOnidUKG:
Да на стороне юзера хоть пусть все вирусы мира сидят и перехватывают данные. Важнее безопасность остальных на сервере и их данных. Если у одного проблемы, это не должно касаться других. Если перехватывать, то перехватят куки и всю сессию, пароль нафиг никому не сдался.

В том то и дело, что в MITM перхватывают не на стороне юзера, а между, проксируя запросы через себя на сервер. Тут никто и не говорит о том, что хеш на клиенте == хеш пароля в базе на сервере. Представь что я сижу в кафе, и вижу пост запрос: admin;abcdefg. Или в другом случае, я вижу пост запрос: admin;78f3257f94d5fb85e397ee44914e8eb4. Даже на Android есть приложухи, позволяющие сниффить пакеты Wi-Fi, и просматривать данные. Там и пароли, и прочая веселуха, для тех, кто не по SSL данные передает.

LEOnidUKG:
На ко хрен им какой-то post вставлять и считывать пароли?!

На тот случай, когда хеш не md5, а какой нибудь BCrypt. Зачем расшифровывать хеш, когда можно просто собрать пароли в чистом виде?

Junior Web Developer
SeVlad
На сайте с 03.11.2008
Offline
1609
#19
Sitealert:
Увы, не смешно. Допустим, кто-то взломал этот форум. Скачал отсюда 10000 паролей активных юзеров. Из них 1000, допустим, "на всё подряд". Значит - это пароль на почту, и может быть, не одну.

Всё смешнее и смешнее :) Ну серьёзно. Почта у юзера в базе указана только одна. Это раз.

Два... писал-писал, удалил. - см выше про профит. Тем более что ты понимаешь, про защиту серьёзных сервисов.

Sitealert:
И пароль на другие сайты, где, может быть этот юзер уже админ.

Серьёзно?!! Админ будет использовать на сторонних ресурсах те же данные? А ты умеешь рассмешить :)

S
На сайте с 30.09.2016
Offline
469
#20
SeVlad:
А ты умеешь рассмешить :)

Ну хоть что-то умею - и то приятно :).

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий