Вернуться   Форум об интернет-маркетинге > >
Ответ
 
Опции темы
Старый 22.05.2019, 08:17   #21
Solmyr
Академик
 
Аватар для Solmyr
 
Регистрация: 10.09.2007
Сообщений: 5,660
Репутация: 645999

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Только 12 фрилансеров применили безопасные методы, такие как bcrypt и PBKDF2.
Кстати да.

То что bcrypt является "безопасным" - этого никто не доказал. Сразу вычеркивайте.

Что касаемо PBKDF2 - если его использовать, так сайт или приложение сразу можно будет задосить фэйковыми логинами вполпинка. Это надо еще к нему серьезную защиту от флуда программировать. Совершенно правильно делают лансеры, что не программируют такое по умолчанию, если клиент явно не попросил.
Solmyr вне форума   Ответить с цитированием

Реклама
Старый 22.05.2019, 08:35   #22
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 18,062
Репутация: 1446633

ТопикСтартер Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от ivan-lev Посмотреть сообщение
Пароли "солили" 15 человек..
Я имел ввиду что при упоминании SHA в хабропосте ничего не было сказано про соль.

Цитата:
Сообщение от ivan-lev Посмотреть сообщение
В том числе трое из тех, кто "небезопасной" функцией пользовался.
С чего ты решил, что они "в том числе"? Они совершенно отдельно:
Цитата:
Из 18 участников, которые получили специальные указания использовать криптографию, трое решили использовать Base64 и утверждали, например: «[Я] всё зашифровал, так что пароль не виден» и «Его очень сложно расшифровать».
ничего про применении ими солей тут нет (а как раз наоборот - если не указано, но и значит их не было).
Цитата:
Сообщение от Solmyr Посмотреть сообщение
То что bcrypt является "безопасным" - этого никто не доказал. Сразу вычеркивайте.
В нём же соль по дефолту алгоритму.

Ида. Термин "безопасный" не следует читать как "безопасный на 100%". Скорее так: "на сегодня является одним из самых безопасных относительно других"
Цитата:
Сообщение от Solmyr Посмотреть сообщение
Что касаемо PBKDF2 - если его использовать, так сайт или приложение сразу можно будет задосить фэйковыми логинами вполпинка.
Каким боком ДДОС к криптованию?
Заддоссить можно и вообще без логинов А защита от ДДОСа/флуда - совершено др история.
__________________
Делаю хорошие сайты хорошим людям. Предпочтение коммерческим направлениям.
Топики помощи с ⓌordPress и основы безопасности сайтов.
*** Помощь\консультации в топиках форума - БЕСПЛАТНО. Через личку - с бюджетом от 150$ ***
SeVlad вне форума   Ответить с цитированием
Старый 22.05.2019, 16:53   #23
_SP_
Академик
 
Регистрация: 24.03.2008
Адрес: MSK
Сообщений: 3,743
Репутация: 373376

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Каким боком ДДОС к криптованию?
Прямым. Если алгоритм дорог, то можно даже заДОСить, так что "мама не горюй".
Вся тема не стоит и выеденного яйца.
В 99.999% проектов не о шифровании паролей надо париться, а о других вещах...
Волосы реально на башке шевелятся, когда в код вполне себе широкоиспользуемых "движков" смотришь.
_SP_ вне форума   Ответить с цитированием
Сказали спасибо 3 пользователей:
Старый 22.05.2019, 16:57   #24
Апокалипсис
Пишу мемуары
 
Аватар для Апокалипсис
 
Регистрация: 02.11.2008
Сообщений: 5,257
Репутация: 355017

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Ну хранение паролей в открытом виде, это сразу уже профнепригодность.

Хотя, вот у меня был свой офис и 10 прогеров. 20% программистов с опытом работы в 5 лет не знаю что такое SQL инъекций. А все почему? Потому что они не умеют писать SQL запросы, только через конструктор. А если у них отобрать PHPStorm то вообще они ничего не напишут.

Но проблема тут в другом. в 99% нет архитектора у системы, который и должен этим всем заниматься касательно паролей.
__________________
Записки нищего - мой личный блог
Мои услуги: php программирование / руководство разработкой / поведенческий аудит сайта
Апокалипсис вне форума   Ответить с цитированием
Старый 22.05.2019, 17:10   #25
ivan-lev
Академик
 
Регистрация: 20.04.2007
Сообщений: 4,008
Репутация: 895383

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от SeVlad Посмотреть сообщение
С чего ты решил, что они "в том числе"? Они совершенно отдельно:
Табличку в пруф-посте посмотрел столбик Salt


---------- Добавлено 22.05.2019 в 19:01 ----------

Там, на самом деле в исходной статье интересностей хватает. Народ не понимает разницы между хешированием, кодированием и шифрованием. Если хочешь, чтоб было "безопасно" - имеет смысл это указать, но сам факт указания пожеланий к безопасности её совсем не гарантирует..

Были те, кто для безопасности хранения пароля использовал Base64 (видимо, искренне аргументируя тем, что "ну не понятно же")), использовали симметричное шифрование, будучи уверенными, что “It will be almost impossible to break”..

Цитата:
“I’ve used this technique many times to store passwords and have not faced any security issues.”
("Да ты успаакойся, я сто раз так делал.. " (с))

И шикарное:
Цитата:
“I can add, but I’ll have to implement md5 encryption at client end. Its a couple hrs job. Can you please increase budget a little?
p.s. Справедливости ради следует отметить, что в эксперименте были задействованы не ТОП-овые разработчики..
__________________
.. :)
ivan-lev вне форума   Ответить с цитированием
Сказали спасибо 2 пользователей:
Старый 22.05.2019, 19:58   #26
SeVlad
Guru-Editor
 
Регистрация: 03.11.2008
Адрес: Donbass
Сообщений: 18,062
Репутация: 1446633

ТопикСтартер Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от _SP_ Посмотреть сообщение
Прямым. Если алгоритм дорог, то можно даже заДОСить, так что "мама не горюй".
Расскажешь, каким это "прямым"?
Как влияет тип посуды в твоём в шкафу на устойчивость дома при стуке в двери?
Цитата:
Сообщение от ivan-lev Посмотреть сообщение
Табличку в пруф-посте посмотрел столбик Salt
Спс, я так глубоко не копал.
Однако, глянув - что-то не понял с чего это MD5 c солью записан в фуфломицын? Или я не правильно понял назначение Itertion?
Цитата:
Сообщение от ivan-lev Посмотреть сообщение
Справедливости ради следует отметить, что в эксперименте были задействованы не ТОП-овые разработчики..
Тем не менее в среднем по больнице:
Цитата:
Низкооплачиваемые и высокооплачиваемые группы сработали примерно на одном уровне качества.
Да что там индусы - наши местные, которые позиционируется себя суперспецами осваивающими миллионные бюджеты тоже всерьёз полагают, что ничего страшного в передаче паролей открытым текстом.

Последний раз редактировалось SeVlad; 22.05.2019 в 21:19..
SeVlad вне форума   Ответить с цитированием
Старый 22.05.2019, 21:29   #27
ivan-lev
Академик
 
Регистрация: 20.04.2007
Сообщений: 4,008
Репутация: 895383

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Однако, глянув - что-то не понял с чего это MD5 c солью записан фуфломицын? Или я не правильно понял назначение Itertion?
Именно эта строчка с MD5 признана безопасной (единичка двумя столбцами ранее) и набрала 4 балла (из 7 возможных, при том, что максимально набранное число баллов - 6)



А Iteration - это параметр, указывающий количество итераций, использованных при хэшировании. В алгоритмах PBKDF2, Bcrypt и Scrypt он задаётся для увеличения сложности вычислений. Для md5 его фактически нет.. Что-то подобное могло бы быть реализовано, к примеру в виде md5(md5(...))

В соответствии с рекомендациями Nist (2017 года) для PBKDF2 минимальное значение 10000.. (и соль - минимум 32 бита), но должно быть "настолько большим, насколько позволяет сервер верификации".

К вопросу о DOS атаке при использовании функции хэширования с большой вычислительной сложностью - одновременная аутентификация большого количества пользователей может занять значительную часть вычислительных мощностей сервера. В уме держим по HTTP-соединению на пользователя, подключение к БД, активную сессию.. и всё это висит и ждёт, пока "нас посчитают", отъедая ресурсы у "обычных" пользователей (доступность).

Вообще, есть мнение, что в 2019 уже и bcrypt с PBKDF2 не стоит использовать.. хэшируйте "Аргоном" (Argon2 - победитель Password Hashing Competition)...
ivan-lev вне форума   Ответить с цитированием
Сказали спасибо:
Старый 23.05.2019, 11:06   #28
_SP_
Академик
 
Регистрация: 24.03.2008
Адрес: MSK
Сообщений: 3,743
Репутация: 373376

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от SeVlad Посмотреть сообщение
Расскажешь, каким это "прямым"?
Много писать, для простоты можете начать изучать типы зависимостей с линейных.
В википедии довольно четко всё описано.
https://ru.wikipedia.org/wiki/%D0%9B...86%D0%B8%D1%8F
_SP_ вне форума   Ответить с цитированием
Старый 23.05.2019, 22:19   #29
awx5
seo-маркетинг
 
Регистрация: 02.06.2009
Сообщений: 980
Репутация: 141282

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от _SP_ Посмотреть сообщение
Прямым. Если алгоритм дорог, то можно даже заДОСить, так что "мама не горюй".
Волосы реально на башке шевелятся, когда в код вполне себе широкоиспользуемых "движков" смотришь.
Зачем досить? Многие "широкоиспользуемые движки" из коробки и под естественной нагрузкой чувствуют себя, мягко говоря, не очень.
awx5 вне форума   Ответить с цитированием
Старый 23.05.2019, 23:31   #30
Aisamiery
Full stack web developer
 
Аватар для Aisamiery
 
Регистрация: 12.04.2015
Адрес: Санкт-Петербург
Сообщений: 1,513
Репутация: 126164

По умолчанию Re: Веб-разработчики пишут небезопасный код по умолчанию

Цитата:
Сообщение от Апокалипсис Посмотреть сообщение
20% программистов с опытом работы в 5 лет не знаю что такое SQL инъекций. А все почему? Потому что они не умеют писать SQL запросы, только через конструктор.
Так и не понял из контекста это хорошо или плохо? Ведь здорово, когда программисты не пишут код уязвимый для SQL инъекций. Кстати эта атака рассчитана не на сам SQL, а на язык программирования который формирует SQL строку, что никак не связано - знает человек SQL или нет.
__________________
Разработка проектов на Symfony 3/4, Laravel, 1C-Bitrix, UMI.CMS, OctoberCMS
Aisamiery вне форума   Ответить с цитированием
Ответ



Опции темы

Быстрый переход


Регистрация Справка Календарь Поддержка Все разделы прочитаны