R3
С другой - сервер может поставить кто угодно и попытаться спиздить чистый пароль, а если этот кусок дебила под именем юзер еще и пин от карточки прописал, как пароль то эт пизда
Size: a a a
2020 February 10
БГ
С одной стороны клиент может попробовать это абузить и как-то наебать + хотелось бы добавить соли к хешам, чтоб если брутфорсят, то это было бы тяжелее
Я так и не понял как соль работает
Муть ебаная
Муть ебаная
БГ
Типа суть ясна
VA
with russian as f:
words = f.readlines()
for i in words:
existing_word = str(i)
if existing_word.find(word[u]) == -1:
words = f.readlines()
for i in words:
existing_word = str(i)
if existing_word.find(word[u]) == -1:
где-то раньше назвал переменную str? ))
VK
не судите строго, я еще даже не джун, только учусь
БГ
Но блять, как чекать хеш с солью на сходимость с оригиналом?
R3
Ну, там можно в принципе немного её добавлять как строку к уже имеющейся и считать хеш результирующей строки
R3
Но блять, как чекать хеш с солью на сходимость с оригиналом?
А вот в этом и весь подъеб
VK
где-то раньше назвал переменную str? ))
+
A
kvfromcv (0) увеличил карму k4m454k (274.84)
R3
Но блять, как чекать хеш с солью на сходимость с оригиналом?
Хотя можно было бы передавать соль клиенту при создании подключения, и он сначала считает хеш пароля, докидывает к нему соль и считает второй раз хеш
R3
И на сервер сайде выбирать хеш пароля, а потом к нему соль и снова делать хеш
A
А вот в этом и весь подъеб
Хеш солится и хранится на сервере, там же и соль хранится, но открытый пароль не хранится.
Клиент передаёт открытый пароль. Сервер его солит и хеширует, затем сравнивает с имеющимся хешем
Клиент передаёт открытый пароль. Сервер его солит и хеширует, затем сравнивает с имеющимся хешем
БГ
Муть ебанутая
A
Можно и так называемым chap sequence сделать, чтобы сгенерированная в рамках сессии последовательность использовалась клиентом как соль к паролю для обратимого симметричного алгоритма
A
А дальше как выше было
БГ
Ну его нахуй эту вашу соль
БГ
Сделаю md5 пока что
БГ
И похуям вообще