Feature, která neprošla

7. 9. 2007, 12.50 - Computer$

Komentáře

RSS feed komentářů k tomuto článku

1.BoB » 7. 9. 2007 16.14 » Reagovat

Mám hádat? ;o)

2.Jirka » 8. 9. 2007 13.27 » Reagovat

me ta featura pripada velmi originalni a VELMI prakticka. Protoze verte tomu nebo ne, kdyz vam tohle blog zahlasi, tak si to heslo sakra rychle zmenite, protoze vas to proste bude srat. Dokud vam nezahlasi ze jste s danym heslem jediny, nebudete mit klidny spanek a TO JE SPRAVNE !! :-)

3.Jirka » 8. 9. 2007 13.29 » Reagovat

jinak samozrejme lepsi reseni je ale pouzit klasicky naseptavac „sily hesla“, ktery se treba muze opirat i o tu cetnost hesla v databazi aniz by primo vysolil presny pocet… to by asi bylo lepsi

4.Pavel » 10. 9. 2007 10.52 » Reagovat

Jirka bude zřejmě vegetarián :)

5.Finwe » 10. 9. 2007 11.05 » Reagovat

Nu, jak tak nad tím přemýšlím, úplně marný nápad to není, nicméně vzhledem k tomu, že hesla hashujeme a solíme, je pro nás zjištění počtu hesel nemožná věc. Nebo tedy v nejbližší době bude.

6.Andrew » 10. 9. 2007 18.19 » Reagovat

Tak to jsi přemýšlel spatně. I u hashovaných osolených hesel to jde ;)

7.Finwe » 10. 9. 2007 20.28 » Reagovat

Přemýšlel jsem o indikátoru síly hesla, ostatní jsem pronesl jako fakt :)

Tak, jak solíme a šifujeme, to jde jen velmi, velmi špatně – s velkou zátěží a mnoha požadavky na server. Tudíž je to pro nás nereálné (dobře, ne nemožné, ale nereálné).

8.Shaman » 15. 9. 2007 12.52 » Reagovat

1. Možná bych raději neprozrazoval, kolik uživatelů má stejné heslo, přece jen se to myslím dá zneužít. Jasně, že člověk musí ještě uhodnout login, ale když zná heslo, nebude to u některých kombinací takový problém.

2. Indikátor síly hesla má smysl především ve chvíli, kdy si uživatel to heslo vybírá, resp. se ho snaží uložit. V tu chvíli však to heslo známe a není ani osolené, ani hashované (za předpokladu, že nehashujeme javascriptem už na straně klienta, abychom omezili odposlech typu man-in-the-middle).

Možná mi něco uniklo?

9.Andrew » 15. 9. 2007 17.28 » Reagovat

#8 - Shaman Myslím, že to samé, co Jirkovi #3 - Jirka

10.Jan Tichý » 30. 10. 2007 0.37 » Reagovat

Podle toho screenshotu jsem chtěl poznamenat něco ve smyslu, že by nebylo od věci se zamyslet nad solením hesel. Následně mi došlo, že tohle máslo by záhy přistálo na mé vlastní hlavě. Mno a teď jsem si navíc všiml komentáře #5 - Finwe. Takže radši nebudu rejpat a zbývá už jenom reagovat na #6 - Andrew – milý Andrew, nemáš pravdu, v okamžiku, kdy se hashe solí pokaždé jinou solí, to skutečně nejde, protože pak i dvě totožná hesla dávají pokaždé jiný hash.

11.Finwe » 30. 10. 2007 1.23 » Reagovat

#10 - Jan Tichý Ale ano, jde to :) Jen ne tak, aby to bylo rozumně proveditelné řekněme AJAXem – musela by se projít všechna jména v databázi, u každého provést osolení solí pro dané jméno (ať už je to samotné uživatelské jméno nebo nějaký jiný random řetězec uložený v db) a ohashování zadaného hesla a porovnat s otiskem, uloženým v databázi. Pokud odpovídá, $i++.

12.Andrew » 30. 10. 2007 13.52 » Reagovat

#10 - Jan Tichý Milý Jene, jistě, že by to šlo. Finwe od svého příspěvku #5 - Finwe přišel na to, jak. Zvládneš to taky? Příspěvek #11 - Finwe s řešením si nečti! :D

13.Andrew » 30. 10. 2007 14.12 » Reagovat

#11 - Finwe Ono dost záleží na konkrétní implementaci solení. Jestli je to nějaká operace, kterou databáze (třeba MySQL) neumí (HMAC), musel bys to dělat ve skriptu postupně pro každého uživatele. Jestli je to ale prosté spojení hesla a soli a z toho hash, který databáze umí (MD5, SHA1), dá se to vyřešit jedním SQL dotazem.

14.Finwe » 30. 10. 2007 14.13 » Reagovat

#13 - Andrew No, právě.

15.Andrew » 30. 10. 2007 14.24 » Reagovat

#14 - Finwe Tak v tom případě bych to označil za chybu návrhu a killing-feature další verze :D

16.Jan Tichý » 30. 10. 2007 22.01 » Reagovat

#11 - Finwe Aha, špatně jsem to pochopil, beru zpět. Aneb jde to :).

Reagujte!
Jméno e-mail (nezobrazí se)
web 3 plus 2 je

Jak komentovat?

  • Tady formátuje Texy! Co a jak se dozvíte v dokumentaci syntaxe
  • příklad: *kurzíva* **tučně** "text odkazu":http://finwe.info
  • Na nový odstavec jsou potřeba DVA entery!