Для папки редирект выше был.
Для всех картинок (по аналогии можно добавить .txt, .doc, .pdf и прочие "не-PHP" расширения)
RewriteCond %{HTTPS} off RewriteRule ^(.*).(jpg|jpeg|png|gif)$ https://%{HTTP_HOST}%{REQUEST_URI} [R=301,NC,L]
p.s. Главное, чтоб не nginx фронтендом стоял.. )) а то до обработки .htaccess-а может и не дойти
Именно эта строчка с MD5 признана безопасной (единичка двумя столбцами ранее) и набрала 4 балла (из 7 возможных, при том, что максимально набранное число баллов - 6)
А Iteration - это параметр, указывающий количество итераций, использованных при хэшировании. В алгоритмах PBKDF2, Bcrypt и Scrypt он задаётся для увеличения сложности вычислений. Для md5 его фактически нет.. Что-то подобное могло бы быть реализовано, к примеру в виде md5(md5(...))
В соответствии с рекомендациями Nist (2017 года) для PBKDF2 минимальное значение 10000.. (и соль - минимум 32 бита), но должно быть "настолько большим, насколько позволяет сервер верификации".
К вопросу о DOS атаке при использовании функции хэширования с большой вычислительной сложностью - одновременная аутентификация большого количества пользователей может занять значительную часть вычислительных мощностей сервера. В уме держим по HTTP-соединению на пользователя, подключение к БД, активную сессию.. и всё это висит и ждёт, пока "нас посчитают", отъедая ресурсы у "обычных" пользователей (доступность).
Вообще, есть мнение, что в 2019 уже и bcrypt с PBKDF2 не стоит использовать.. хэшируйте "Аргоном" (Argon2 - победитель Password Hashing Competition)...
Табличку в пруф-посте посмотрел ;) столбик Salt
---------- Добавлено 22.05.2019 в 19:01 ----------Там, на самом деле в исходной статье интересностей хватает. Народ не понимает разницы между хешированием, кодированием и шифрованием. Если хочешь, чтоб было "безопасно" - имеет смысл это указать, но сам факт указания пожеланий к безопасности её совсем не гарантирует..
Были те, кто для безопасности хранения пароля использовал Base64 (видимо, искренне аргументируя тем, что "ну не понятно же")), использовали симметричное шифрование, будучи уверенными, что “It will be almost impossible to break”..
("Да ты успаакойся, я сто раз так делал.. " (с))
И шикарное:
p.s. Справедливости ради следует отметить, что в эксперименте были задействованы не ТОП-овые разработчики..
Если речь о первом посте - то по ссылке (в том же сообщении) есть подробности:
Ещё интересный момент..
В контексте:
И да, справедливости ради...
Пароли "солили" 15 человек.. В том числе трое из тех, кто "небезопасной" функцией пользовался.
Чтобы не поменялась логика запроса, при замене Left Join на Right Join следует и таблички поменять местами.. :)
Логика, конечно, изменится - если для некоторых xy_firm_items отсутствуют xy_firm_items, то этих строк (с нулями) не будет в итоговом отчёте.
if ($_SERVER['REMOTE_ADDR'] == 'xxx.xxx.xxx.xxx') { /// ... }
Строго говоря, она (регулярка, учитывающая все требования RFC822) чуть-чуть больше..
http://ex-parrot.com/~pdw/Mail-RFC822-Address.html
p.s. А под указанную не подходит, например bla-bla@new-mail.com
На конкретные вопросы иногда дают конкретные ответы.
Nginx? 10 nginx-ов
/ru/forum/681372
http://www.cbr.ru/scripts/Root.asp?PrtId=SXML
http://monavista.ru/informer_kurs_valut/
