J
40 лет ему. сидел на jQuery до 2020, упорствовал
Size: a a a
2020 September 10
J
щас выкатил нечто для деплоя там мля реакты-херакты какие-то
MS
MS
сентри молодцы
J
надо на http://vanilla-js.com/ переходить
MS
не, я там был в 2001
MS
нахер-нахер
J
там теперь вроде модно
MS
не, я дальше на реакте каком
MS
или свелте, как в вебшторм для него тс завезут
J
или свелте, как в вебшторм для него тс завезут
а шо скажешь за vue.js?
J
а то мне иногда что-то надо а я даже в них не разбираюсь
AS
Webassembly наше всьо :)
MS
а шо скажешь за vue.js?
да норм таки, те же яйца
С
я щас общую шину пытаюсь построить
С общими спицами?
MV
есть примерно 100к слов и длина в 30 символов это примерно 5-6 слов. вот и получается вся ваша псевдобезопасноть особо радости не приносит
1. Двухфакторка не везде.
2. Двухфакторка бывает разного качества. Например в Телеграме до сих пор есть возможность получить код по SMS и что самое отстойное - нет возможности ее отключить и взамен использовать что-нибудь типа Authy. Это несмотря на то что за эти годы в Телеграме неоднократно ломали аккаунты используя именно перехватывание SMS.
3. Я не знаю какие косяки сделали разработчики каждого из сотен используемых мной сервисов, какие алгоритмы используют, и т.д. Даже если они используют библиотеку, то может поставили на самый легкий/быстрый режим работы. В таких случаях размер ключа может иметь значение, особенно если это атака на всех и злоумышленникам достаточно взломать не всех, а только самых слабых.
4. Не надо забывать про прогресс с вычислительными технологиями (и количественные и качественные) и технологиями в здравоохранении. Я хочу такие пароли, которые бы Мировая Закулиса не смогла взломать и через 200 лет. Т.к. пароли у меня храняться в хранилище паролей, то мне одинаково легко хранить пароль на 12 и на 60 знаков.
5. Базовый размер генерируемых паролей у меня достаточно высокий. Поэтому уменьшать его - это лишние движения. Тем более что обычно о мизерном верхнем ограничении узнаешь только когда регистрация не удалась - приходится заполнять всё заново. Это как минимум бесит.
6. А так, я натыкался на совершенно ничем не объяснимые органичения. Типа "Минимум 8, максимум 18 знаков". К таким разработчикам мне хочется применить физическое воздействие (как минимум растормошить; хотя и понимаю, что с детьми это делать опасно 😉 ).
7. Знаешь какой самый идиотский ограничитель я видел в реальной жизни, в крайне успешном онлайн-магазине?.. 8 знаков! Нет, не минимум! У них реально стояло ограничение "Пароль должен быть не больше 8 знаков!" (я сейчас перепроверил и в цифре не ошибаюсь) Когда я это заметил, то хотел взять в руки автомат! Хорошо что у меня его нет. В принципе что 8, что 30 - это одной поляны ягоды. И там и там ничем не объяснимые органичения, которые ухудшают безопасность.
8. Само наличие низкого ограничения - это уже фактор, который принимается злоумышленниками во внимание. Одно дело "если поставим перебирать, то за две недели точно найдем пароль!" и совсем другое "если поставим перебирать, то скорее всего две недели хватит; но если юзер заморочился и взял пароль подлиннее, то тогда никакого времени может не хватить!". Это как с разрешением специальных символов в паролях - сама возможность их использовать повышает безопасность (хотя бы в качестве уменьшения уверенности злоумышленников в получении результата) даже если их (практически) никто в паролях не использует.
9. Если же говорить о реальном мире, то в нем существуют разные способы и алгоритмы запоминания паролей (не пользуясь менеджером паролей). Один из способов: иметь какую-то часть хорошего пароля, а потом к нему приставлять часть идентифицирующую конкретный сайт. В этом случае знаков может не хватить. А это уже крайне плохо - теперь у человека вместо не самой лучшей, но легкой и простой системы запоминания паролей, каша в голове. Теперь ему надо отдельно помнить на каких сайтах его обычная система не работает, делать отдельный пароль для таких сайтов с глупыми ограничениями, фрустрироваться, придумывать легкий/одинаковый пароль или вообще записывать его на бумажке (т.е. из-за излишних ограничений разработчика, теперь человек вернулся в самое начало по уровню паролебезопасности; огромное спасибо разработчикам от злоумышленников!)
10. Этот комикс xkcd крайне популярен. Уверен, что он многих убедил использовать такую или похожую на эту схему. Несмотря на то что в чистом виде это плохая идея (полностью игнорирует как пароли ломаются в реальности), то всё равно лучше чтобы человек имел пароль состоящий из 6-8 слов, а не 3-4. И лучше так, чем обычный пароль родительский пароль "Moscow1960".
2. Двухфакторка бывает разного качества. Например в Телеграме до сих пор есть возможность получить код по SMS и что самое отстойное - нет возможности ее отключить и взамен использовать что-нибудь типа Authy. Это несмотря на то что за эти годы в Телеграме неоднократно ломали аккаунты используя именно перехватывание SMS.
3. Я не знаю какие косяки сделали разработчики каждого из сотен используемых мной сервисов, какие алгоритмы используют, и т.д. Даже если они используют библиотеку, то может поставили на самый легкий/быстрый режим работы. В таких случаях размер ключа может иметь значение, особенно если это атака на всех и злоумышленникам достаточно взломать не всех, а только самых слабых.
4. Не надо забывать про прогресс с вычислительными технологиями (и количественные и качественные) и технологиями в здравоохранении. Я хочу такие пароли, которые бы Мировая Закулиса не смогла взломать и через 200 лет. Т.к. пароли у меня храняться в хранилище паролей, то мне одинаково легко хранить пароль на 12 и на 60 знаков.
5. Базовый размер генерируемых паролей у меня достаточно высокий. Поэтому уменьшать его - это лишние движения. Тем более что обычно о мизерном верхнем ограничении узнаешь только когда регистрация не удалась - приходится заполнять всё заново. Это как минимум бесит.
6. А так, я натыкался на совершенно ничем не объяснимые органичения. Типа "Минимум 8, максимум 18 знаков". К таким разработчикам мне хочется применить физическое воздействие (как минимум растормошить; хотя и понимаю, что с детьми это делать опасно 😉 ).
7. Знаешь какой самый идиотский ограничитель я видел в реальной жизни, в крайне успешном онлайн-магазине?.. 8 знаков! Нет, не минимум! У них реально стояло ограничение "Пароль должен быть не больше 8 знаков!" (я сейчас перепроверил и в цифре не ошибаюсь) Когда я это заметил, то хотел взять в руки автомат! Хорошо что у меня его нет. В принципе что 8, что 30 - это одной поляны ягоды. И там и там ничем не объяснимые органичения, которые ухудшают безопасность.
8. Само наличие низкого ограничения - это уже фактор, который принимается злоумышленниками во внимание. Одно дело "если поставим перебирать, то за две недели точно найдем пароль!" и совсем другое "если поставим перебирать, то скорее всего две недели хватит; но если юзер заморочился и взял пароль подлиннее, то тогда никакого времени может не хватить!". Это как с разрешением специальных символов в паролях - сама возможность их использовать повышает безопасность (хотя бы в качестве уменьшения уверенности злоумышленников в получении результата) даже если их (практически) никто в паролях не использует.
9. Если же говорить о реальном мире, то в нем существуют разные способы и алгоритмы запоминания паролей (не пользуясь менеджером паролей). Один из способов: иметь какую-то часть хорошего пароля, а потом к нему приставлять часть идентифицирующую конкретный сайт. В этом случае знаков может не хватить. А это уже крайне плохо - теперь у человека вместо не самой лучшей, но легкой и простой системы запоминания паролей, каша в голове. Теперь ему надо отдельно помнить на каких сайтах его обычная система не работает, делать отдельный пароль для таких сайтов с глупыми ограничениями, фрустрироваться, придумывать легкий/одинаковый пароль или вообще записывать его на бумажке (т.е. из-за излишних ограничений разработчика, теперь человек вернулся в самое начало по уровню паролебезопасности; огромное спасибо разработчикам от злоумышленников!)
10. Этот комикс xkcd крайне популярен. Уверен, что он многих убедил использовать такую или похожую на эту схему. Несмотря на то что в чистом виде это плохая идея (полностью игнорирует как пароли ломаются в реальности), то всё равно лучше чтобы человек имел пароль состоящий из 6-8 слов, а не 3-4. И лучше так, чем обычный пароль родительский пароль "Moscow1960".
MV
есть примерно 100к слов и длина в 30 символов это примерно 5-6 слов. вот и получается вся ваша псевдобезопасноть особо радости не приносит
11. Если человек хочет и готов запоминать/использовать пароль из сотни знаков, то почему не дать такую возможность? Хотя бы ради удобства пользователя, даже если пароль длиннее чем сложность алгоритма. Причем не делать это таким образом чтобы просто отрезать с конца "лишние" символы. Ничего сложного. Берешь пароль, хешируешь быстрым не-парольным алгоритмом типа MD5/SHA-2, а уже этот хеш (частично?) вместе с солью хешируешь нормальным стойким алгоритмом. От этого еще такая теоретическая польза, что потом можно поменять алгоритм на более устойчивый (который может взять в себя больше битов) и таким образом задействовать на данным момент излишнюю длину пароля.
Наверняка еще до чего-нибудь не успел додуматься и дописаться.
Наверняка еще до чего-нибудь не успел додуматься и дописаться.
M
надо на http://vanilla-js.com/ переходить
MV
эммммм, стесняюсь спросить: все ведь в курсе, что в твиттере отвечает 1-tier техподдеркжа какого-нибудь коллцентра в твери по скрипту и они небось даже не знают, что их ответ в твиттере?)) пришел тикет - ушел тикет...
но нет, итшнеги уже разнесли на мемы
но нет, итшнеги уже разнесли на мемы
Ну согласись, что если поддержка имеет смелость отвечать на вопросы в которых не разбирается (т.е. или отвечает правдиво и раскрывает "тайну компании" или же говорит неправду и напрасно очерняет облик работодателя), и это не исправляется много (десятков?) часов - то это само по себе показатель работы компании, даже если окажется что с точки зрения безопасности всё ок. Хотя не окажется, видно по одному верхнему ограничению длины пароля, что ситуация там не идеальная.
С
Ну согласись, что если поддержка имеет смелость отвечать на вопросы в которых не разбирается (т.е. или отвечает правдиво и раскрывает "тайну компании" или же говорит неправду и напрасно очерняет облик работодателя), и это не исправляется много (десятков?) часов - то это само по себе показатель работы компании, даже если окажется что с точки зрения безопасности всё ок. Хотя не окажется, видно по одному верхнему ограничению длины пароля, что ситуация там не идеальная.
У сбера карты в офисе на руки выдаются без конвертов