LINUX.ORG.RU

Вопрос по правилам


0

0

www.linux.org.ru/rules.jsp

... Личная информация о пользователях Модераторы сайта имеют доступ к информации о пользователе, не доступной обычным пользователям. Следующая информация считается личной:

  • e-mail пользователя, указанный при регистрации
  • IP адрес пользователя, географическое местоположение, факт наличия статического IP, факт наличия нескольких пользователей на этом IP
  • используемый броузер/операционная система
  • пароль пользователя

Модераторы сайта обязаются не разглашать данные сведения в открытый доступ. ...

Это как понимать? Пароли хранятся в текстовом файлике или в ином формате, позволяющем восстановить исходный вид?

★★★★★

Re: Вопрос по правилам

пароли не шифруются
если проверите отсылку пароля по почте - то приходит оригинальный пароль,
а не ссылка на его изменение.

Sylvia ★★★★★ ()
Ответ на: Re: Вопрос по правилам от edigaryev

Re: Вопрос по правилам

кхм.. а сами как думаете?
просто encryption is not implemented
а почему, вопрос не ко мне )

Sylvia ★★★★★ ()
Ответ на: Re: Вопрос по правилам от Sylvia

Re: Вопрос по правилам

>пароли не шифруются
>если проверите отсылку пароля по почте - то приходит оригинальный пароль,

>а не ссылка на его изменение.


Спасибо за информацию. Нехорошо это.

aidaho ★★★★★ ()
Ответ на: Re: Вопрос по правилам от aidaho

Re: Вопрос по правилам

>Нехорошо это.

Нехорошо было, когда кое-кто из модераторов в качестве пруфа виртуальности виртуала выложил кусок базы с паролем в plain text.

(Доказательством являлось совпадение паролей)

Davidov ★★★★ ()
Ответ на: Re: Вопрос по правилам от Davidov

Re: Вопрос по правилам

А если бы они выложили два хеша от одинаковых паролей, вы полагаете хеши бы оказались бы различными и доказательство не состоялось бы?

kilolife ★★★★★ ()

Re: Вопрос по правилам

К паролям имеют доступ не все модераторы, а только те, у кого есть доступ к базе. Вроде так.

hibou ★★★★★ ()
Ответ на: Re: Вопрос по правилам от kilolife

Re: Вопрос по правилам

>А если бы они выложили два хеша

Это вообще к чему вопрос?

Я говорю о том, что выкладывать на ЛОРе пароли даже заблокированных пользователей не очень-то хорошо.

Davidov ★★★★ ()
Ответ на: Re: Вопрос по правилам от Davidov

Re: Вопрос по правилам

> Я говорю о том, что выкладывать на ЛОРе пароли даже заблокированных пользователей не очень-то хорошо.

У того многократно заблокированного и многократно уходившего пользователя был один пароль во всех логинах на ЛОРе и ещё на нескольких форумах и в почте. И какой-то злоумышленник этим воспользовался. Потому и запретили.

question4 ★★★★★ ()
Ответ на: Re: Вопрос по правилам от question4

Re: Вопрос по правилам

>> Я говорю о том, что выкладывать на ЛОРе пароли даже заблокированных пользователей не очень-то хорошо.

>У того многократно заблокированного и многократно уходившего пользователя был один пароль во всех логинах на ЛОРе и ещё на нескольких форумах и в почте. И какой-то злоумышленник этим воспользовался. Потому и запретили.

Аналогично мой регистрационный пароль так же использовался еще в некоторых местах, до прочтения правил. Хеширование все же не для красоты придумано; полномочий запрета утечки паролей пока ни у кого на этом свете нет.

aidaho ★★★★★ ()
Ответ на: Re: Вопрос по правилам от kilolife

Re: Вопрос по правилам

> А если бы они выложили два хеша от одинаковых паролей, вы полагаете хеши бы оказались бы различными и доказательство не состоялось бы?

Вообще-то в хеши добавляют случайный компонент как раз для того, чтобы хеши одинаковых паролей выглядели по разному. Попробуй создать двух пользователей, указать им одинаковые пароли, а потом сравнить хеши.

gaa ★★ ()
Ответ на: Re: Вопрос по правилам от gaa

Re: Вопрос по правилам

зависит от алгоритма
в нормальных алгоритмах используются сальты, те самые несколько символов которые добавляются к паролю, чтобы сделать хеши разными

если сальтов нет или они одинаковы ( такого по идее не должно быть что одинаковы , в любом случае вероятность мала ) то хеши тоже будут одинаковы

а вообще и правда нехорошо что не шифруется

Sylvia ★★★★★ ()
Ответ на: Re: Вопрос по правилам от gaa

Re: Вопрос по правилам

>Вообще-то в хеши добавляют случайный компонент как раз для того, чтобы хеши одинаковых паролей выглядели по разному.

Как в таком случае их сравнивать?

В простейшем случае INSERT INTO users VALUES (login, password_hash). Ну и потом сверять password_hash из дб и введённого пароля.

Или речь идёт о том, что для каждого сервера нужно завести secret_string и считать password_hash=sha1(password+secret_string)?

Davidov ★★★★ ()
Ответ на: Re: Вопрос по правилам от Davidov

Re: Вопрос по правилам

> как в таком случае их сравнивать?

сальт не шифруется

пример можете найти в /etc/shadow


$1$AZZZZZ$VVKQHJKSHSHJSHJSHGYGFGGFS

$1$ указывает на то что пароль использует MD5 hash

AZZZZZZ - используемый сальт, незашифрован

оставшаяся часть после $ - хеш пароля

логин получает пароль от пользователя, берет сальт, зашифровывает полученое с его помощью, сравнивает с имеющимся хешем

если изменить сальт - изменится и хеш. сами сальты не шифруются. да, можно ввести некий secret , в таком случае это будет работать как статический сальт, который в поле пароля можно и не указывать, если он один для всех.

Sylvia ★★★★★ ()
Ответ на: Re: Вопрос по правилам от Sylvia

Re: Вопрос по правилам

Спасибо, здорово. Странно, почему это так редко используют в веб-приложениях (по крайней мере я никогда не видел).

Davidov ★★★★ ()

Re: Вопрос по правилам

Еще вопрос: история паролей хранится?..

madcore ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.