Size: a a a

2020 September 10

MV

Mikko Vedru in ctodailychat
Dmitry Badanin
Откуда дровишки про «не используют хеширование»?
1. Они в твиттере сами об этом написали.
2. Даже если СММщик чего-то не понял, то тут уже встает вопрос доверия. У меня нулевое доверие к квалификации "безопасников" у которых пароли caseinsensitive.
3. И у которых верхнее ограничение на пароли в 30 знаков.
4. Ну и сама цифра "30" знаков может намекать на то, что это просто размер поля в базе данных, где в чистом виде хранятся пароли.
5. Т.е. в этом случае презумция невиновности не работает и пока они сами не докажут что у них всё нормально (в т.ч. с хешами), полезнее всего предполагать некомпетентность и разруху.
источник

VF

Vadim Fedosov in ctodailychat
Yaroslav
Я тут в соседнем чате заебался объяснять что верхнее ограничение это норм
А есть какая-то норма? Типа 30 знаков норм, а 12 — не норм
источник

MV

Mikko Vedru in ctodailychat
Yaroslav
Я тут в соседнем чате заебался объяснять что верхнее ограничение это норм
Объясни почему.
источник

С

Слава in ctodailychat
Сергей Аксёнов
Здесь должна быть какая-то наколка. Если я могу отправить email - то что мне помешает тут же выслать юзеру оффер "оплати подписку через сайт и получи 30% скидки, которую у нас всё равно заберут захребетники из Купертино"? Epic так бы и сделал и никакого кейса бы не было.
Это прочитают очень немногие, а претензии от Apple всё равно будут при массовой рассылке
источник

Y

Yaroslav in ctodailychat
Vadim Fedosov
А есть какая-то норма? Типа 30 знаков норм, а 12 — не норм
Нет, овасп рекомендуют не слишком маленькое ограничение. Норм делать до 64 символов
источник

AS

Alexey Shcherbak in ctodailychat
Сергей Аксёнов
Здесь должна быть какая-то наколка. Если я могу отправить email - то что мне помешает тут же выслать юзеру оффер "оплати подписку через сайт и получи 30% скидки, которую у нас всё равно заберут захребетники из Купертино"? Epic так бы и сделал и никакого кейса бы не было.
Может быть вктивация юзера долгая, куда удобнее одну кнопку в приложении жмакнуть. Ну и такие вещи скорей всего тоже нарушают соглашение с эпплом
источник

СА

Сергей Аксёнов... in ctodailychat
Слава
Это прочитают очень немногие, а претензии от Apple всё равно будут при массовой рассылке
Есть способ поднять раскрываемость такой рассылки: "ты разлочил ачивку, читай секретное послание у себя в почте (не забудь проверить спам!)"
источник

AR

Anton Revyako in ctodailychat
Vadim Fedosov
А есть какая-то норма? Типа 30 знаков норм, а 12 — не норм
если ты хешируешь перед записью, какая разница сколько символов? хоть килобайт
источник

J

JvK in ctodailychat
в сбере поди просто пароли в плайнтексте хранятся. а вы тут развели rocket science
источник

Y

Yaroslav in ctodailychat
Anton Revyako
если ты хешируешь перед записью, какая разница сколько символов? хоть килобайт
Оп, дба эксперт подъехал :) не все так просто
источник

VF

Vadim Fedosov in ctodailychat
Yaroslav
Нет, овасп рекомендуют не слишком маленькое ограничение. Норм делать до 64 символов
Не слишком маленькое — это очень странное число, непонятно даже какая система счисления
источник

DB

Dmitry Badanin in ctodailychat
Mikko Vedru
1. Они в твиттере сами об этом написали.
2. Даже если СММщик чего-то не понял, то тут уже встает вопрос доверия. У меня нулевое доверие к квалификации "безопасников" у которых пароли caseinsensitive.
3. И у которых верхнее ограничение на пароли в 30 знаков.
4. Ну и сама цифра "30" знаков может намекать на то, что это просто размер поля в базе данных, где в чистом виде хранятся пароли.
5. Т.е. в этом случае презумция невиновности не работает и пока они сами не докажут что у них всё нормально (в т.ч. с хешами), полезнее всего предполагать некомпетентность и разруху.
Да камон. Большинству из 42 лямов пользователей на это пофиг, только ИТ сообщество возбудилось. Из плюсов вижу: задолбавшие шутки про «где получали туда и идите» сменятся на что-то посвежее.
источник

AR

Anton Revyako in ctodailychat
Yaroslav
Оп, дба эксперт подъехал :) не все так просто
я не он, ты перепутал )
источник

MV

Mikko Vedru in ctodailychat
Dmitry Badanin
Да камон. Большинству из 42 лямов пользователей на это пофиг, только ИТ сообщество возбудилось. Из плюсов вижу: задолбавшие шутки про «где получали туда и идите» сменятся на что-то посвежее.
Твой аргумент вообще не в тему. Да и не аргумент это никакой.
источник

AS

Alexey Shcherbak in ctodailychat
Сергей Аксёнов
Есть способ поднять раскрываемость такой рассылки: "ты разлочил ачивку, читай секретное послание у себя в почте (не забудь проверить спам!)"
Для эпика это как мелочь по карманам тырить. Куда интересней судебный баттл где они герои и на их стороне толпа школоты
источник

Y

Yaroslav in ctodailychat
ладно, ща расскажу очевидные для СТО проблемы, потом расскажу неочевидные
источник

Y

Yaroslav in ctodailychat
вопервых есть баги в библиотеках - bcrypt например не умее хэшировать длинные пароли
источник

Y

Yaroslav in ctodailychat
есть даже атака, когда делаешь dos посредством слишком длинных паролей (~1gb)
источник

DB

Dmitry Badanin in ctodailychat
Mikko Vedru
Твой аргумент вообще не в тему. Да и не аргумент это никакой.
ОК. Истерики со ссылкой на СММщика и кучей домыслов это сильно.
источник

VF

Vadim Fedosov in ctodailychat
Alexey Shcherbak
Для эпика это как мелочь по карманам тырить. Куда интересней судебный баттл где они герои и на их стороне толпа школоты
Так пишете, как будто на их стороне только школота, а это, очевидно, не так
источник